[資訊教學] IDS（入侵檢測係統）術語

IDS（入侵檢測係統）術語
時間：2002-10-22 15:10:00

第一部分: A - H
by A. Cliff last updated July 3, 2001
Translated by Mad，last updated July 9, 2001
雖然入侵檢測技術還不是很成熟，但是其發展卻是很迅速。與IDS相關的新名詞也日新月異。這裏按字母順序羅列了相關的術語，有的可能很普遍了，但是有的卻很少見，或者定義不明確。IDS的迅速發展以及一些IDS生産廠商的市場影響力使得一些名詞的含義混亂：同一個名詞，不同廠商卻用它表示不同的意義。

術語添加或者需要解釋, Pls mailto:talisker@networkintrusion.co.uk
中文解釋的問題,Pls mailto:mad@email.com.cn

警報（Alerts）
警報是IDS向係統操作員發出的有入侵正在發生或者正在嘗試的消息。一旦偵測到入侵，IDS會以各種方式向分析員發出警報。如果控制台在本地，IDS警報通常會顯示在監視器上。IDS還可以通過聲音報警（但在繁忙的IDS上，建議關閉聲音）。警報還可以通過廠商的通信手段發送到遠程控制台，除此之外，還有利用SNMP協議（安全性有待考慮）、email、SMS/Pager或者這幾種方式的組合進行報警。

異常（Anomaly）
大多IDS在檢測到與已知攻擊特征匹配的事件就會發出警報，而基於異常的IDS會用一段時間建立一個主機或者網絡活動的輪廓。在這個輪廓之外的事件會引起IDS警報，也就是說，當有人進行以前從沒有過的活動，IDS就會發出警報。比如一個用戶突然獲得管理員權限（或者root權限）。一些廠商把這種方法稱爲啓發式IDS，但是真正的啓發式IDS比這種方法有更高的智能性。

硬件IDS（Appliance ）
現在的IDS做成硬件放到機架上，而不是安裝到現有的操作係統中，這樣很容易就可以把IDS嵌入網絡。這樣的IDS産品如CaptIO, Cisco Secure IDS, OpenSnort, Dragon and SecureNetPro。

網絡入侵特征數據庫（ArachNIDS - Advanced Reference Archive of Current Heuristics for Network Intrusion Detection Systems）

由白帽子住持Max Vision開發維護的ArachNIDS是一個動態更新的攻擊特征數據庫，適用於多種基於網絡的入侵檢測係統。（白帽子成員相繼入獄， Max Butler還未出獄，Max Vision又被判18月監禁，但願白帽子能夠好好維持）
URL： http://www.whiteh...m/ids/

攻擊注冊和信息服務（ARIS - Attack Registry & Intelligence Service ）
ARIS是SecurityFocus推出的一項安全信息服務，允許用戶向SecurityFocus匿名報告網絡安全事件。SecurityFocus整理這些數據，並和其它信息綜合，形成詳細的網絡安全統計分析和趨勢預測。

攻擊（Attacks ）
攻擊可以定義爲試圖滲透係統或者繞過係統安全策略獲取信息，更改信息或者中斷目標網絡或者係統的正常運行的活動。下面是一些IDS可以檢測的常見攻擊的列表和解釋：
攻擊1：拒絕服務攻擊（Attacks: DOS - Denial Of Service attack ）
DOS攻擊只是使係統無法向其用戶提供服務，而不是通過黑客手段滲透係統。拒絕服務攻擊的方法從緩沖區溢出到通過洪流耗盡係統資源，不一而足。隨著對拒絕服務攻擊的認識和防範不斷加強，又出現了
分布式拒絕服務攻擊。

攻擊2：分布式拒絕服務攻擊（Attacks: DDOS - Distributed Denial of Service ）
分布式拒絕服務攻擊是一種標準的拒絕服務攻擊，通過控制多台分布的遠程主機向單一主機發送大量數據，並因此得名。

攻擊3：Smurf攻擊（Attacks: Smurf ）
Smurf攻擊是以最初發動這種攻擊的程序名Smurf來命名。這種攻擊方法通過欺騙方法向“Smurf放大器”的網絡發送廣播地址的ping，放大器網絡向欺騙地址——攻擊目標係統返回大量的ICMP回複消息，引起目標係統的拒絕服務。
這裏有每5分鍾更新一次的可用的“放大器”： http://www.powert...smurf/ （但願你的網絡不在此列…）

攻擊4：特洛伊木馬（Attacks: Trojans ）
特洛伊密碼來自於古希臘著名的木馬攻擊特洛伊城的故事。在計算機術語中最初指的是貌似合法但其中包含惡意軟件的程序。當合法程序執行時，惡意軟件在用戶毫無察覺的情況下被安裝。後來大多數的這類惡意軟件都是遠程控制工具，特洛伊木馬也就專指這類工具，如BackOrifice, SubSeven, NetBus 等。

自動響應（Automated Response ）
如對攻擊發出警報，一些IDS 能夠自動對攻擊作出防禦性反應，可以通過以下途徑實現：
1 重新配置路由器或者防火牆，拒絕來自相同地址的流量；
2 發送reset包切斷連接。
這兩種方法都有問題。攻擊者可以通過信任地址欺騙實施攻擊，引起設備重新配置，使得設備拒絕這些信任地址，達到拒絕服務的目的。發包需要有一個活動的網絡接口，又使得其本身易受攻擊。解決辦法是可以把活動網卡放在防火牆內，或者使用專門的發包程序，避開標準IP棧的需求。
C
ERT計算機應急響應組(CERT - Computer Emergency Response Team )
CERT來自成立於Carnegie Mellon University的第一支計算機安全事件響應隊伍的名稱。今天許多組織都有自己的CERT(計算機安全事件處理隊伍)。同CIRT（計算機事件響應組）相區別，CERT側重於緊急事件的快速反應，而不是長期監視。

通用入侵檢測框架：（CIDF - Common Intrusion Detection Framework ）
CIDF是爲了在某種程度上對入侵檢測進行標準化，開發了一些協議和應用程序接口，使得入侵檢測研究項目的軟件能夠共享信息和資源，同樣入侵檢測係統組件也可以被其他係統應用。

計算機事件響應組（CIRT - Computer Incident Response Team ）
源自CERT, CIRT的不同在於對安全事件的處理方式。CERT的目標是特殊的計算機緊急事件。而CIRT中的事件並不都是緊急事件，還包括其它安全事件。

通用入侵描述語言(CISL - Common Intrusion Specification Language )
CISL是爲了在CIDF組件之間進行通信而描述入侵的通用語言。同CIDF的標準化工作一樣，CISL也是試圖對入侵檢測研究的描述語言進行標準化。

通用漏洞披露（CVE - Common Vulnerabilities and Exposures ）
關於漏洞一個問題就是當設計漏洞掃描或者采取應對策略時，不同廠商對漏洞的稱謂完全不同。此外有的廠商用幾種特征去描述一條漏洞，並解釋爲可以檢測更多的攻擊。MITRE建設了CVE，對漏洞名稱進行了標準化，加入CVE的廠商都使用標準化漏洞描述。
URL： CVE.mitre.org... .

構造數據包（Crafting Packets ）
不遵循通常的數據包結構，通過構造自己的數據包，能夠進行數據包欺騙,或者使接收者無法處理這樣的

數據包。 Nemesis就是這樣一個工具，最新版本1.32（當然你可以自己用libnet寫）. URL： http://jeff.chi.wwt...emesis/

同步失效（見“躲避”）( Desyncronization (see also Evasion) )
最初，同步實效是指利用序列號的躲避IDS的方法。一些IDS無法確定期望的序列號，從而對這種數據包無能爲力，無法重構數據包。這種技術98年産生，現在已經過時。有的文章用來指代其他IDS躲避方法。

Eleet
黑客們在寫漏洞開發程序時，經常會留下標記，最常見的就是“elite” （精華，精銳），通常是elite = eleet，轉換爲數字就是31337. 31337 經常被用作端口號或者序列號等。現在流行的詞是"skillz".

列舉（Enumeration ）
在經過被動探測和社會工程學的工作之後，攻擊者開始列舉網絡資源。列舉就是當攻擊者主動探測一個網絡來發現有哪些漏洞可以利用。由於這個活動是主動的，並且可以被探測到，但是攻擊者的活動仍會盡可能地隱蔽，避免被探測到。

躲避（見“同步失效”）（Evasion (see also Desynchronization) ）
躲避是實施攻擊計劃，避開IDS檢測的過程。躲避的技巧就是使IDS只看到攻擊的一面，而目標卻在其它。一種躲避的形式就是爲不同的數據包設置不同的TTL值。因此經過IDS的信息看上去並沒有什麽問題，然而，這些並不影響攻擊到達目標。一旦到達目標，就只有有用的攻擊了。這裏大大簡化了實際躲避的複雜性。Ptacek and Nesham的文章《嵌入、逃避和拒絕服務：如何躲避網絡入侵檢測》（Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection）講述了實施躲避的基本原理和方法。
http://www.robertgraham.com/mirror/...Evasion-98.html

漏洞利用（Exploits ）
對於每一個漏洞，都有利用此漏洞進行攻擊的機制。爲了攻擊係統，攻擊者編寫出漏洞利用代碼或教本。

漏洞利用：零時間利用（Exploits: Zero Day Exploit）
零時間漏洞利用指的是還沒有被公布或者傳播的漏洞利用。一旦安全界發現一個漏洞，廠商會發布補丁，IDS係統會加入相應的攻擊特征檢測。對攻擊者而言，零時間漏洞利用的價值最大。
漏報（False Negatives ）
漏報：攻擊事件沒有被IDS檢測到或者逃過分析員的眼睛。
誤報（False Positives ）
誤報：IDS對正常事件識別爲攻擊並進行報警。
防火牆（Firewalls ）
防火牆作爲網絡安全的第一道閘門，它與IDS功能不同，但其日志可以爲IDS提供有用的信息。防火牆依據對IP地址或者端口的規則拒絕非法連接。
FIRST - Forum of Incident Response and Security Teams
FIRST是一個由國際上政府或者民間組織建立的聯盟，以進行安全信息交換和協調安全事件響應。FIRST年會總是受到很大關注。
URL: http://www.f....org

分片（Fragmentation ）
如果數據包過大，將會被分片傳輸。分片依據是網絡最大傳輸單元（MTU）。例如靈牌環網是4464，而以太網是1500。當一個數據包從令牌環網向以太網傳輸，它將被按照以太網的MTU進行分片。在有限的網絡條件下，分片傳輸是很正常的。但是黑客們利用分片來逃避IDS檢測，有幾種臭名昭著的DOS攻擊也是利用了分片技術。

黑客規範：（Hacker Ethics ）
盡管每個人的認識不同，對大多數成熟的黑客而言，黑客規範是神聖的，應該受到尊敬並得到遵守。例如無條件信息共享，不得偷竊、修改和泄漏被攻擊係統的數據信息等。
URL： http://www.tuxedo.org/~esr/jargon...ker-ethic.html
黑客規範1：黑帽子（Hacker Ethics: Black Hat ）
藐視法律，做事不考慮任何約束的反面黑客。一旦發現漏洞他們往往會私下傳播利用，而不是向社會公布。
黑客規範2：白帽子（Hacker Ethics: White Hat ）
正面黑客：一旦發現漏洞，他們首先通知廠商，在發布修補補丁之前，他們不會公布漏洞。關於白帽對黑客規範的觀點和一些免費的IDS工具，見Jude Thaddeus的文章Confessions of a white hat hacker.
URL： http://www.idg.net/english/...480552.html
黑客規範3：灰帽子（Hacker Ethics: Grey Hat ）
灰帽黑客介於前兩者之間，一旦發現漏洞，他們會向黑客群體發布，同時通知廠商，然後觀察事態發展。他們遵循了黑客守則的兩點道德規範。許多人認爲廠商應該最先得到通知，很多廠商利用這些信息。Rain Forest Puppy 發布了一個策略既能保證廠商利益，又不影響安全研究。
URL： http://www.wiretrip.ne...icy.html

啓發（Heuristics ）
“啓發“中包含了應用於IDS中的人工智能的思想。啓發式IDS已經提出近十年，然而至今仍進展不大，而黑客卻可以“訓練”IDS使其忽視惡意攻擊。一些IDS使用異常模型來探測入侵攻擊，然而IDS需要大量時間來“學習”以識別正常事件。廠商在市場上把這稱爲啓發式IDS，但至少這種IDS並沒有應用人工智能對輸入數據進行分析。

Honeynet 工程（Honeynet Project ）
根據Honeynet 工程的定義：Honeynet是一個學習工具，是一個被設計含有缺陷的網絡係統。一旦係統安全受到威脅，相關信息就會被捕捉，並被小組人員分析和學習。因此Honeynet是一個非常有用的，透視攻擊全過程的資源。Honeynet小組由30個安全專家組成，每人都設置了一係列的“蜜罐”來引誘攻擊者，通過觀察研究策略、工具和黑客行爲。
URL： http://project.honeyne...ject.html

蜜罐（Honeypot ）
蜜罐是模擬存在漏洞的係統，爲攻擊者提供攻擊目標。蜜罐在網絡中沒有任何用途，因此任何連接都是可能的攻擊。蜜罐的另一個目的就是誘惑攻擊者在其上浪費時間，延緩對真正目標的攻擊。盡管蜜罐的最初設計目標是爲起訴攻擊者提供證據收集，但是關於應用蜜罐做陷阱的討論很多。如果蜜罐在網絡內部，攻擊者至少要攻陷一個網絡設備。有的國家法律規定，蜜罐收集的證據不能最爲起訴證據。