Le firme di attacco nel contesto del rilevamento delle intrusioni di rete (specialmente in relazione alle applicazioni web) sono euristiche e schemi di dati che possono essere utilizzati per identificare il traffico che costituisce un attacco.
Ad esempio, il pattern regex union\s+select
potrebbe essere usato per (anche se molto ingenuamente) rilevare attacchi di SQL injection. Un altro pattern potrebbe essere semplicemente 0x31303235343830303536
, che è un valore che Havij (uno strumento di iniezione SQL) usa nelle sue richieste.
Le firme non devono essere correlate ai dati dell'applicazione. Potrebbero anche essere basati su flag di pacchetto, modelli di traffico (ad esempio molti pacchetti di risposta DNS imprevisti), tentativi di accesso errati, ecc.
Queste firme combinate possono costituire la spina dorsale di un sistema di rilevamento delle intrusioni (IDS), che si basa su questi modelli ed euristica per identificare gli attacchi e avvisare l'amministratore.