* Protocolo: El protocolo de red utilizado (por ejemplo, TCP, UDP, ICMP). Este es un elemento fundamental.
* Números de puerto: Los números de puerto de origen y destino. Los puertos específicos a menudo se asocian con aplicaciones particulares (por ejemplo, puerto 80 para HTTP, puerto 443 para HTTPS).
* Datos de carga útil: Partes de los datos reales que se transmiten. Esto podría ser palabras clave específicas, secuencias de bytes o patrones de coincidencia de expresiones regulares en los datos. Esta es a menudo la parte más específica de la firma, dirigida a cargas útiles de ataque conocidas o código malicioso.
* Direcciones IP: Las direcciones IP de origen y destino. Si bien es menos confiable por sí solo (fácilmente falsificada), puede ser útil junto con otros elementos.
* Tamaño y estructura del paquete: El tamaño de los paquetes y la disposición de los datos dentro de ellos. Los tamaños o estructuras de paquetes inusuales pueden indicar actividad maliciosa.
* Tiempo/frecuencia: La tarifa a la que se envían los paquetes. Una explosión repentina de paquetes o una corriente constante de paquetes a una frecuencia específica podría ser sospechoso.
* banderas: Los indicadores TCP (SYN, ACK, FIN, etc.) pueden revelar el estado de una conexión e indicar un comportamiento inusual.
* Datos específicos de la aplicación: Información específica para la aplicación involucrada, como encabezados HTTP o comandos FTP. Estas son firmas altamente específicas que identifican con precisión el comportamiento malicioso de una aplicación particular.
Es importante tener en cuenta que la complejidad y la especificidad de una firma varía según la situación. Algunas firmas son muy amplias y detectan actividades sospechosas generales, mientras que otras son altamente específicas y se dirigen a una vulnerabilidad o exploit en particular. Una firma bien elaborada apunta a una alta precisión (pocos falsos positivos) y una alta tasa de detección (pocos falsos negativos). El equilibrio entre estos dos es crítico en seguridad efectiva.