Host-based intrusion detection system: differenze tra le versioni

Contenuto cancellato Contenuto aggiunto

Versione delle 03:32, 2 mag 2019 modifica LauBot (discussione \| contributi) Bot 870 120 modifiche m Bot: passaggio degli url da HTTP a HTTPS ← Differenza precedente		Versione attuale delle 10:36, 19 dic 2024 modifica annulla Xr1blu (discussione \| contributi) 3 512 modifiche Funzionalità collegamenti suggeriti: 1 collegamento inserito. Etichette: Modifica visuale Attività per i nuovi utenti Suggerito: aggiungi collegamenti
(Una versione intermedia di un altro utente non mostrate)
Riga 20: In generale gli HIDS utilizzano un database degli elementi da controllare. Questi spesso sono memorizzati nel file system ma non sempre. Non vi è motivo infatti perché un HIDS non debba periodicamente controllare alcune aree di memoria alla ricerca di violazioni. Anche la tabella delle system-call è un componente che può essere controllato proficuamente dato che molti virus tendono ad alterarla. Per ogni elemento l'HIDS normalmente memorizza gli attributi (permessi di scrittura, dimensione, data modifica, ecc) e effettua un calcolo del checksum con algoritmi tipo hash [[~~hash~~MD5]] ~~MD5~~ o simili. Questi dati vengono memorizzati nel database per le future comparazioni. Da notare che l'MD5 non garantisce una completa sicurezza dato che è possibile modificare il file senza variare l'MD5. Recenti studi (2004) hanno dimostrato che la possibilità che ciò avvenga non è così ridotta come si pensava all'inizio. ==== Funzionamento ====