入侵檢測術語全接觸(轉)

入侵檢測術語全接觸(轉)[@more@]

隨著IDS（入侵檢測系統）的超速發展，與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語，其中一些是非常基本

並相對通用的，而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力，不同的產商可能會用同一個術語表示

不同的意義，從而導致某些術語的確切意義出現了混亂。

入侵檢測術語全接觸

作者：千里行工作室 文章來源：賽迪網 2001年12月20日

隨著IDS（入侵檢測系統）的超速發展，與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語，其中一些是非常基本並相對通用的，而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力，不同的產商可能會用同一個術語表示不同的意義，從而導致某些術語的確切意義出現了混亂。對此，本文會試圖將所有的術語都囊括進來。

Alerts（警報）

當一個入侵正在發生或者試圖發生時，IDS系統將釋出一個alert資訊通知系統管理員。如果控制檯與IDS系統同在一臺機器，alert資訊將顯示在監視器上，也可能伴隨著聲音提示。如果是遠端控制檯，那麼alert將透過IDS系統內建方法（通常是加密的）、SNMP（簡單網路管理協議，通常不加密）、email、SMS（簡訊息）或者以上幾種方法的混合方式傳遞給管理員。

Anomaly（異常）

當有某個事件與一個已知攻擊的訊號相匹配時，多數IDS都會告警。一個基於anomaly（異常）的IDS會構造一個當時活動的主機或網路的大致輪廓，當有一個在這個輪廓以外的事件發生時，IDS就會告警，例如有人做了以前他沒有做過的事情的時候，例如，一個使用者突然獲取了管理員或根目錄的許可權。有些 IDS廠商將此方法看做啟發式功能，但一個啟發式的IDS應該在其推理判斷方面具有更多的智慧。

Appliance（IDS硬體）

除了那些要安裝到現有系統上去的IDS軟體外，在市場的貨架上還可以買到一些現成的IDS硬體，只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。

ArachNIDS

ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫，它是動態更新的，適用於多種基於網路的入侵檢測系統，它的URL地址是。

ARIS：Attack Registry & Intelligence Service（攻擊事件註冊及智慧服務）

ARIS是SecurityFocus公司提供的一個附加服務，它允許使用者以網路匿名方式連線到Internet上向SecurityFocus報送網路安全事件，隨後SecurityFocus會將這些資料與許多其它參與者的資料結合起來，最終形成詳細的網路安全統計分析及趨勢預測，釋出在網路上。它的 URL地址是http://aris.securityfocus.com/。

Attacks（攻擊）

Attacks可以理解為試圖滲透系統或繞過系統的安全策略，以獲取資訊、修改資訊以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊型別：

●攻擊型別1－DOS（Denial Of Service attack，拒絕服務攻擊）：DOS攻擊不是透過駭客手段破壞一個系統的安全，它只是使系統癱瘓，使系統拒絕向其使用者提供服務。其種類包括緩衝區溢位、透過洪流（flooding）耗盡系統資源等等。

●攻擊型別2－DDOS（Distributed Denial of Service，分散式拒絕服務攻擊）：一個標準的DOS攻擊使用大量來自一個主機的資料向一個遠端主機發動攻擊，卻無法發出足夠的資訊包來達到理想的結果，因此就產生了DDOS，即從多個分散的主機一個目標發動攻擊，耗盡遠端系統的資源，或者使其連線失效。

●攻擊型別3－Smurf：這是一種老式的攻擊，但目前還時有發生，攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作，然後所有活動主機都會向該目標應答，從而中斷網路連線。以下是10大smurf放大器的參考資料URL：。

●攻擊型別4－Trojans（特洛伊木馬）：Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬，木馬中藏有希臘士兵，當木馬運到城裡，士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中，它原本是指那些以合法程式的形式出現，其實包藏了惡意軟體的那些軟體。這樣，當使用者執行合法程式時，在不知情的情況下，惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程式都是遠端控制工具，Trojan這個術語很快就演變為專指這類工具，例如BackOrifice、SubSeven、NetBus等等。

Automated Response（自動響應）

除了對攻擊發出警報，有些IDS還能自動抵禦這些攻擊。抵禦方式有很多：首先，可以透過重新配置路由器和防火牆，拒絕那些來自同一地址的資訊流；其次，透過在網路上傳送reset包切斷連線。但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的裝置，其方法是：透過偽裝成一個友方的地址來發動攻擊，然後IDS就會配置路由器和防火牆來拒絕這些地址，這樣實際上就是對“自己人”拒絕服務了。傳送reset包的方法要求有一個活動的網路介面，這樣它將置於攻擊之下，一個補救的辦法是：使活動網路介面位於防火牆內，或者使用專門的發包程式，從而避開標準IP棧需求。

CERT（Computer Emergency Response Team，計算機應急響應小組）

這個術語是由第一支計算機應急反映小組選擇的，這支團隊建立在Carnegie Mellon大學，他們對電腦保安方面的事件做出反應、採取行動。現在許多組織都有了CERT，比如CNCERT/CC（中國計算機網路應急處理協調中心）。由於emergency這個詞有些不夠明確，因此許多組織都用Incident這個詞來取代它，產生了新詞Computer Incident Response Team（CIRT），即計算機事件反應團隊。response這個詞有時也用handling來代替，其含義是response表示緊急行動，而非長期的研究。

CIDF（Common Intrusion Detection Framework；通用入侵檢測框架）

CIDF力圖在某種程度上將入侵檢測標準化，開發一些協議和應用程式介面，以使入侵檢測的研究專案之間能夠共享資訊和資源，並且入侵檢測元件也能夠在其它系統中再利用。CIDF的URL地址是：。

CIRT（Computer Incident Response Team，計算機事件響應小組）

CIRT是從CERT演變而來的，CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的，而CIRT中的術語 incident則表明並不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是 incidents。

CISL（Common Intrusion Specification Language，通用入侵規範語言）

CISL是CIDF元件間彼此通訊的語言。由於CIDF就是對協議和介面標準化的嘗試，因此CISL就是對入侵檢測研究的語言進行標準化的嘗試。

CVE（Common Vulnerabilities and Exposures，通用漏洞披露）

關於漏洞的一個老問題就是在設計掃描程式或應對策略時，不同的廠商對漏洞的稱謂也會完全不同。還有，一些產商會對一個漏洞定義多種特徵並應用到他們的 IDS系統中，這樣就給人一種錯覺，好像他們的產品更加有效。MITRE建立了CVE，將漏洞名稱進行標準化，參與的廠商也就順理成章按照這個標準開發 IDS產品。CVE的URL地址是：。

Crafting Packets（自定義資料包）

建立自定義資料包，就可以避開一些慣用規定的資料包結構，從而製造資料包欺騙，或者使得收到它的計算機不知該如何處理它。製作自定義資料包的一個可用程式Nemesis，它的URL地址是：。

Desynchronization（同步失效）

desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑，從而導致無法重新構建資料。這一技術在1998年很流行，現在已經過時了，有些文章把desynchronization這個術語代指其它IDS逃避方法。

Eleet

當駭客編寫漏洞開發程式時，他們通常會留下一個簽名，其中最聲名狼藉的一個就是elite。如果將eleet轉換成數字，它就是31337，而當它是指他們的能力時，elite=eleet，表示精英。31337通常被用做一個埠號或序列號。目前流行的詞是“skillz”。

Enumeration（列舉）

經過被動研究和社會工程學的工作後，攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於現在的行動不再是被動的，它就有可能被檢測出來。當然為了避免被檢測到，他們會盡可能地悄悄進行。

Evasion（躲避）

Evasion是指發動一次攻擊，而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面，而實際攻擊的卻是另一個目標，所謂明修棧道，暗渡陳倉。Evasion的一種形式是為不同的資訊包設定不同的TTL（有效時間）值，這樣，經過IDS的資訊看起來好像是無害的，而在無害資訊位上的TTL 比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標，無害的部分就會被丟掉，只剩下有害的。

Exploits（漏洞利用）

對於每一個漏洞，都有利用此漏洞進行攻擊的機制。為了攻擊系統，攻擊者編寫出漏洞利用程式碼或教本。

對每個漏洞都會存在利用這個漏洞執行攻擊的方式，這個方式就是Exploit。為了攻擊系統，駭客會編寫出漏洞利用程式。

漏洞利用：Zero Day Exploit（零時間漏洞利用）

零時間漏洞利用是指還未被瞭解且仍在肆意橫行的漏洞利用，也就是說這種型別的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現，很快就會出現針對它的補丁程式，並在IDS中寫入其特徵標識資訊，使這個漏洞利用無效，有效地捕獲它。

False Negatives（漏報）

漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。

False Positives（誤報）

誤報是指實際無害的事件卻被IDS檢測為攻擊事件。

Firewalls（防火牆）

防火牆是網路安全的第一道關卡，雖然它不是IDS，但是防火牆日誌可以為IDS提供寶貴資訊。防火牆工作的原理是根據規則或標準，如源地址、埠等，將危險連線阻擋在外。

FIRST（Forum of Incident Response and Security Teams，事件響應和安全團隊論壇）

FIRST是由國際性政府和私人組織聯合起來交換資訊並協調響應行動的聯盟，一年一度的FIRST受到高度的重視，它的URL地址是：。

Fragmentation（分片）

如果一個資訊包太大而無法裝載，它就不得不被分成片斷。分片的依據是網路的MTU（Maximum Transmission Units，最大傳輸單元）。例如，靈牌環網（token ring）的MTU是4464，乙太網（Ethernet）的MTU是1500，因此，如果一個資訊包要從靈牌環網傳輸到乙太網，它就要被分裂成一些小的片斷，然後再在目的地重建。雖然這樣處理會造成效率降低，但是分片的效果還是很好的。駭客將分片視為躲避IDS的方法，另外還有一些DOS攻擊也使用分片技術。

Heuristics（啟發）

Heuristics就是指在入侵檢測中使用AI（artificial intelligence，人工智慧）思想。真正使用啟發理論的IDS已經出現大約10年了，但他們還不夠“聰明”，攻擊者可以透過訓練它而使它忽視那些惡意的資訊流。有些IDS使用異常模式去檢測入侵，這樣的IDS必須要不斷地學習什麼是正常事件。一些產商認為這已經是相當“聰明”的IDS了，所以就將它們看做是啟發式IDS。但實際上，真正應用AI技術對輸入資料進行分析的IDS還很少很少。

Honeynet Project（Honeynet工程）

Honeynet是一種學習工具，是一個包含安全缺陷的網路系統。當它受到安全威脅時，入侵資訊就會被捕獲並接受分析，這樣就可以瞭解駭客的一些情況。 Honeynet是一個由30餘名安全專業組織成員組成、專門致力於瞭解駭客團體使用的工具、策略和動機以及共享他們所掌握的知識的專案。他們已經建立了一系列的honeypots，提供了看似易受攻擊的Honeynet網路，觀察入侵到這些系統中的駭客，研究駭客的戰術、動機及行為。

Honeypot（蜜罐）

蜜罐是一個包含漏洞的系統，它模擬一個或多個易受攻擊的主機，給駭客提供一個容易攻擊的目標。由於蜜罐沒有其它任務需要完成，因此所有連線的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。與此同時，最初的攻擊目標受到了保護，真正有價值的內容將不受侵犯。

蜜罐最初的目的之一是為起訴惡意駭客蒐集證據，這看起來有“誘捕”的感覺。但是在一些國家中，是不能利用蜜罐收集證據起訴駭客的。

IDS Categories（IDS分類）

有許多不同型別的IDS，以下分別列出：

●IDS分類1－Application IDS（應用程式IDS）：應用程式IDS為一些特殊的應用程式發現入侵訊號，這些應用程式通常是指那些比較易受攻擊的應用程式，如Web伺服器、資料庫等。有許多原本著眼於作業系統的基於主機的IDS，雖然在預設狀態下並不針對應用程式，但也可以經過訓練，應用於應用程式。例如，KSE（一個基於主機的 IDS）可以告訴我們在事件日誌中正在進行的一切，包括事件日誌報告中有關應用程式的輸出內容。應用程式IDS的一個例子是Entercept的Web Server Edition。

●IDS分類2－Consoles IDS（控制檯IDS）：為了使IDS適用於協同環境，分散式IDS代理需要向中心控制檯報告資訊。現在的許多中心控制檯還可以接收其它來源的資料，如其它產商的IDS、防火牆、路由器等。將這些資訊綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制檯還將它們自己的攻擊特徵新增到代理級別的控制檯，並提供遠端管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。

●IDS分類3－File Integrity Checkers（檔案完整性檢查器）：當一個系統受到攻擊者的威脅時，它經常會改變某些關鍵檔案來提供持續的訪問和預防檢測。透過為關鍵檔案附加資訊摘要（加密的雜亂訊號），就可以定時地檢查檔案，檢視它們是否被改變，這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化，完整性檢查器就會發出一個警報。而且，當一個系統已經受到攻擊後，系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的檔案檢查器在事件發生好久之後才能將入侵檢測出來，是“事後諸葛亮”，最近出現的許多產品能在檔案被訪問的同時就進行檢查，可以看做是實時IDS產品了。該類產品有Tripwire和Intact。

●IDS分類4－Honeypots（蜜罐）：關於蜜罐，前面已經介紹過。蜜罐的例子包括Mantrap和Sting。

●IDS分類5－Host-based IDS（基於主機的IDS）：這類IDS對多種來源的系統和事件日誌進行監控，發現可疑活動。基於主機的IDS也叫做主機IDS，最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能，主機IDS還對“事件/日誌/時間”進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的，系統的錯誤就可以很快地檢測出來，技術人員和安全人士都非常喜歡它。現在，基於主機的IDS就是指基於伺服器/工作站主機的所有型別的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。

●IDS分類6－Hybrid IDS（混合IDS）：現代交換網路的結構給入侵檢測操作帶來了一些問題。首先，預設狀態下的交換網路不允許網路卡以混雜模式工作，這使傳統網路IDS的安裝非常困難。其次，很高的網路速度意味著很多資訊包都會被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問題的一個方案，它將IDS提升了一個層次，組合了網路節點IDS和Host IDS（主機IDS）。雖然這種解決方案覆蓋面極大，但同時要考慮到由此引起的巨大資料量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS，實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。

●IDS分類7－Network IDS（NIDS，網路IDS）：NIDS對所有流經監測代理的網路通訊量進行監控，對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合資訊包嗅探器，但是近來它們變得更加智慧化，可以破譯協議並維護狀態。NIDS存在基於應用程式的產品，只需要安裝到主機上就可應用。NIDS對每個資訊包進行攻擊特徵的分析，但是在網路高負載下，還是要丟棄些資訊包。網路IDS的產品有SecureNetPro和Snort。

●IDS分類8－Network Node IDS（NNIDS，網路節點IDS）：有些網路IDS在高速下是不可靠的，裝載之後它們會丟棄很高比例的網路資訊包，而且交換網路經常會防礙網路IDS 看到混合傳送的資訊包。NNIDS將NIDS的功能委託給單獨的主機，從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似，但它們之間還有區別。對於被歸類為NNIDS的個人防火牆，應該對企圖的連線做分析。例如，不像在許多個人防火牆上發現的“試圖連線到埠xxx”，一個NNIDS會對任何的探測都做特徵分析。另外，NNIDS還會將主機接收到的事件傳送到一箇中心控制檯。NNIDS產品有BlackICE Agent和Tiny CMDS。

●IDS分類9－Personal Firewall（個人防火牆）：個人防火牆安裝在單獨的系統中，防止不受歡迎的連線，無論是進來的還是出去的，從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。

●IDS分類10－Target-Based IDS（基於目標的IDS）：這是不明確的IDS術語中的一個，對不同的人有不同的意義。可能的一個定義是檔案完整性檢查器，而另一個定義則是網路 IDS，後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度，因為它不搜尋那些不必要的攻擊。

IDWG（Intrusion Detection Working Group，入侵檢測工作組）

入侵檢測工作組的目標是定義資料格式和交換資訊的程式步驟，這些資訊是對於入侵檢測系統、響應系統以及那些需要與它們互動作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協同工作。

IDWG的URL地址是：。

IETF的URL地址是：。

Incident Handling（事件處理）

檢測到一個入侵只是開始。更普遍的情況是，控制檯操作員會不斷地收到警報，由於根本無法分出時間來親自追蹤每個潛在事件，操作員會在感興趣的事件上做出標誌以備將來由事件處理團隊來調查研究。在最初的反應之後，就需要對事件進行處理，也就是諸如調查、辯論和起訴之類的事宜。

Incident Response（事件響應）

對檢測出的潛在事件的最初反應，隨後對這些事件要根據事件處理的程式進行處理。

Islanding（孤島）

孤島就是把網路從Internet上完全切斷，這幾乎是最後一招了，沒有辦法的辦法。一個組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。

Promiscuous（混雜模式）

預設狀態下，IDS網路介面只能看到進出主機的資訊，也就是所謂的non-promiscuous（非混雜模式）。如果網路介面是混雜模式，就可以看到網段中所有的網路通訊量，不管其來源或目的地。這對於網路IDS是必要的，但同時可能被資訊包嗅探器所利用來監控網路通訊量。交換型HUB可以解決這個問題，在能看到全面通訊量的地方，會都許多跨越（span）埠。

Routers（路由器）

路由器是用來連線不同子網的中樞，它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路資訊包傳輸到它們的目的地。一些路由器還有訪問控制列表（ACLs），允許將不想要的資訊包過濾出去。許多路由器都可以將它們的日誌資訊注入到IDS系統中，提供有關被阻擋的訪問網路企圖的寶貴資訊。

Scanners（掃描器）

掃描器是自動化的工具，它掃描網路和主機的漏洞。同入侵檢測系統一樣，它們也分為很多種，以下分別描述。

●掃描器種類1－Network Scanners（網路掃描器）：網路掃描器在網路上搜尋以找到網路上所有的主機。傳統上它們使用的是ICMP ping技術，但是這種方法很容易被檢測出來。為了變得隱蔽，出現了一些新技術，例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是：不同的作業系統對這些掃描會有不同的反應，從而為攻擊者提供了更多有價值的資訊。這種工具的一個例子是nmap。

●掃描器種類2－Network Vulnerability Scanners（網路漏洞掃描器）：網路漏洞掃描器將網路掃描器向前發展了一步，它能檢測目標主機，並突出一切可以為駭客利用的漏洞。網路漏洞掃描器可以為攻擊者和安全專家使用，但會經常讓IDS系統“緊張”。該類產品有Retina和CyberCop。

●掃描器種類3－Host Vulnerability Scanners（主機漏洞掃描器）：這類工具就像個有特權的使用者，從內部掃描主機，檢測口令強度、安全策略以及檔案許可等內容。網路IDS，特別是主機 IDS可以將它檢測出來。該類產品有SecurityExpressions，它是一個遠端Windows漏洞掃描器，並且能自動修復漏洞。還有如ISS 資料庫掃描器，會掃描資料庫中的漏洞。

Script Kiddies（指令碼小子）

有些受到大肆宣揚的Internet安全破壞，如2000年2月份對Yahoo的拒絕服務攻擊，是一些十來歲的中學生乾的，他們幹這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為指令碼小子（Script Kiddies）。指令碼小子通常都是一些自發的、不太熟練的cracker，他們使用從Internet 上下載的資訊、軟體或指令碼對目標站點進行破壞。駭客組織或法律實施權威機構都對這些指令碼小孩表示輕蔑，因為他們通常都技術不熟練，手上有大把時間可以來搞破壞，他們的目的一般是為了給他們的朋友留下印象。指令碼小子就像是拿著搶的小孩，他們不需要懂得彈道理論，也不必能夠製造槍支，就能成為強大的敵人。因此，無論何時都不能低估他們的實力。

Shunning（躲避）

躲避是指配置邊界裝置以拒絕所有不受歡迎的資訊包，有些躲避甚至會拒絕來自某些國家所有IP地址的資訊包。

Signatures（特徵）

IDS的核心是攻擊特徵，它使IDS在事件發生時觸發。特徵資訊過短會經常觸發IDS，導致誤報或錯報，過長則會減慢IDS的工作速度。有人將IDS所支援的特徵數視為IDS好壞的標準，但是有的產商用一個特徵涵蓋許多攻擊，而有些產商則會將這些特徵單獨列出，這就會給人一種印象，好像它包含了更多的特徵，是更好的IDS。大家一定要清楚這些。

Stealth（隱藏）

隱藏是指IDS在檢測攻擊時不為外界所見，它們經常在DMZ以外使用，沒有被防火牆保護。它有些缺點，如自動響應