什么是签名?
一般来说,签名是指“书面签名或数字签名”。 在编程的背景下,签名是指用于识别方法的信息,例如其名称、参数类型、数量、顺序和返回类型(定义可能因编程语言而异)。 然而,在计算机安全的背景下,签名是指恶意活动的独特模式,例如恶意软件或未授权访问。 聚合这些模式的文件称为签名文件,使用签名来检测和阻止攻击的功能称为签名功能。
使用签名来防御攻击通常遵循黑名单方法,其中维护已知威胁的列表以阻止危险活动。 这提供了可靠且迅速地应对已知攻击的优势。 然而,这种方法的局限性在于无法解决未知攻击或尚未列入黑名单的新威胁。
为了解决这一限制,建议将黑名单方法与白名单方法结合起来。 通过白名单,只允许明确允许的活动。 通过允许白名单上的活动、阻止黑名单上的模式并将其他所有内容视为需要验证的灰色区域,可以实现更全面的防御策略。
F5 的 BIG-IP利用黑名单类型的签名来识别攻击模式,并利用白名单来识别合法流量,从而有效地检测和预防攻击。