Signature d'attaque (Attack signature)

Une signature d’attaque est une modélisation d’activité malveillante. Les signatures sont regroupées dans des bases qui servent aux équipements de détection d’intrusion. Si l’on utilise indifféremment les termes de signature et de marqueur*, il convient de privilégier celui de « marqueur » car « signature » est également utilisé dans d’autres contextes (notamment cryptographique), mais également parce qu’un marqueur n’est pas nécessairement une « signature » du fait de l’existence de faux positifs. Ainsi, un marqueur peut être détecté sans être relié à une activité malveillante, il n’en constitue donc pas une « signature ». De même on trouve également l’expression « marqueur de compromission » qui gagnerait à être appelé plus largement « marqueur d’activité malveillante » car un marqueur réseau peut détecter une attaque en déni de service sans pour autant qu’il y ait eu compromission du système au sens strict. Voir Marqueur.