1 Phạm vi áp dụng
5.5.2Công cụ kiểm tra tính toàn vẹn của tập tin
Kiểm tra tính toàn vẹn của tập tin là một lớp công cụ an toàn khác bổ sung cho IDPS. Chúng sử dụng hàm băm hoặc tổng kiểm tra mật mã cho các tập tin hoặc đối tượng quan trọng, so sánh với giá trị tham chiếu và đánh dấu sự khác biệt hoặc thay đổi. Việc sử dụng tổng kiểm tra mật mã là quan trọng vì kẻ tấn công thường thay đổi các tập tin hệ thống ở ba giai đoạn của tấn công. Giai đoạn đầu tiên kẻ tấn công thay đổi tập tin hệ thống theo như mục tiêu tấn công (ví dụ đặt Trojan Hourse). Giai đoạn thứ hai kẻ tấn công cố gắng để lại cổng sau trong hệ thống để có thể quay lại hệ thống sau này. Cuối cùng, kẻ tấn công cố gắng che đậy dấu vết của chúng làm cho chủ sở hữu không biết về tấn công.
Ưu điểm:
- Nhận biết xem có các bản vá lỗi của nhà cung cấp hoặc các thay đổi được áp dụng tới các tập tin nhị phân hệ thống;
- Cho phép chuẩn đoán nhanh và tin cậy dấu hiệu của tấn công, đặc biệt khi thực hiện kiểm tra pháp lý các hệ thống đã bị tấn công
- Kẻ tấn công thường thay đổi hoặc thay thế các tập tin hệ thống và sử dụng các kỹ thuật để duy trì các thuộc tính của tập tin thường xuyên bị soát xét bởi các quản trị hệ thống. Các công cụ kiểm tra tính toàn vẹn sử dụng tổng kiểm tra mật mã có thể phát hiện bất kỳ thay đổi hoặc chỉnh sửa nào.
- Cho phép nhận dạng dữ liệu các tập tin thay đổi.
Nhược điểm:
- Có thể yêu cầu hệ thống thông tin hoặc ít nhất là hệ thống đang được xác minh ra khỏi mạng và ngừng hoạt động trong suốt quá trình phân tích.