IDS（入侵检测系统）术语

第第页IDS（入侵检测系统）术语IDS（入侵检测系统）术语

发表于：2023-05-25来源：：点击数：标签：入侵检测系统入侵检测术语ids

IDS（入侵检测系统）术语IDS（入侵检测系统）术语br第一部分:A-HbrbyA.ClifflastupdatedJuly3,2023brTranslatedbyMad，lastupdatedJuly9,2023brbr虽然入侵检测技术还不是很成熟，但是其发展却是很迅速。与IDS相关的新名词也日新

IDS（入侵检测系统）术语

IDS（入侵检测系统）术语br

第一部分:A-Hbr

byA.ClifflastupdatedJuly3,2023br

TranslatedbyMad，lastupdatedJuly9,2023br

br

虽然入侵检测技术还不是很成熟，但是其发展却是很迅速。与IDS相关的新名词也日新月异。这里按字母顺序罗列了相关的术语，有的可能很普遍了，但是有的却很少见，或者定义不明确。IDS的迅速发展以及一些IDS生产厂商的市场影响力使得一些名词的含义混乱：同一个名词，不同厂商却用它表示不同的意义。br

术语添加或者需要解释,Plsmailto:talisker@networkintrusion.co.ukbr

中文解释的问题,Plsmailto:mad@br

br

警报（Alerts）br

警报是IDS向系统操作员发出的有入侵正在发生或者正在尝试的消息。一旦侦测到入侵，IDS会以各种方式向分析员发出警报。如果控制台在本地，IDS警报通常会显示在监视器上。IDS还可以通过声音报警（但在繁忙的IDS上，建议关闭声音）。警报还可以通过厂商的通信手段发送到远程控制台，除此之外，还有利用SNMP协议（（安全）性有待考虑）、email、SMS/Pager或者这几种方式的组合进行报警。br

异常（Anomaly）br

大多IDS在检测到与已知攻击特征匹配的事件就会发出警报，而基于异常的IDS会用一段时间建立一个主机或者网络活动的轮廓。在这个轮廓之外的事件会引起IDS警报，也就是说，当有人进行以前从没有过的活动，IDS就会发出警报。比如一个用户突然获得管理员权限（或者root权限）。一些厂商把这种方法称为启发式IDS，但是真正的启发式IDS比这种方法有更高的智能性。br

硬件IDS（Appliance）br

现在的IDS做成硬件放到机架上，而不是安装到现有的操作系统中，这样很容易就可以把IDS嵌入网络。这样的IDS产品如CaptIO,CiscoSecureIDS,OpenSnort,DragonandSecureNetPro。br

网络入侵特征数据库（ArachNIDS-AdvancedReferenceArchiveofCurrentHeuristicsforNetworkIntrusionDetectionSystems）br

由白帽子住持MaxVision开发维护的ArachNIDS是一个动态更新的攻击特征（数据库），适用于多种基于网络的入侵检测系统。（白帽子成员相继入狱，MaxButler还未出狱，MaxVision又被判18月监禁，但愿白帽子能够好好维持）br

URL：/ids/br

攻击注册和信息服务（ARIS-AttackRegistryIntelligenceService）br

ARIS是SecurityFocus推出的一项安全信息服务，允许用户向SecurityFocus匿名报告网络安全事件。SecurityFocus整理这些数据，并和其它信息综合，形成详细的网络安全统计分析和趋势预测。br

攻击（Attacks）br

攻击可以定义为试图渗透系统或者绕过系统安全策略获取信息，更改信息或者中断目标网络或者系统的正常运行的活动。下面是一些IDS可以检测的常见攻击的列表和解释：br

攻击1：拒绝服务攻击（Attacks:DOS-DenialOfServiceattack）br

DOS攻击只是使系统无法向其用户提供服务，而不是通过黑客手段渗透系统。拒绝服务攻击的方法从缓冲区溢出到通过洪流耗尽系统资源，不一而足。随着对拒绝服务攻击的认识和防范不断加强，又出现了分布式拒绝服务攻击。br

攻击2：分布式拒绝服务攻击（Attacks:DDOS-DistributedDenialofService）br

分布式拒绝服务攻击是一种标准的拒绝服务攻击，通过控制多台分布的远程主机向单一主机发送大量数据，并因此得名。br

攻击3：Smurf攻击（Attacks:Smurf）br

Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法通过欺骗方法向“Smurf放大器”的网络发送广播地址的ping，放大器网络向欺骗地址——攻击目标系统返回大量的ICMP回复消息，引起目标系统的拒绝服务。br

这里有每5分钟更新一次的可用的“放大器”：http://www.powertech.no/smurf/（但愿你的网络不在此列…）br

攻击4：特洛伊木马（Attacks:Trojans）br

特洛伊密码来自于古希腊著名的木马攻击特洛伊城的故事。在计算机术语中最初指的是貌似合法但其中包含恶意软件的程序。当合法程序执行时，恶意软件在用户毫无察觉的情况下被安装。后来大多数的这类恶意软件都是远程控制工具，特洛伊木马也就专指这类工具，如BackOrifice,SubSeven,NetBus等。br

自动响应（AutomatedResponse）br

如对攻击发出警报，一些IDS能够自动对攻击作出防御性反应，可以通过以下途径实现：br

1重新配置路由器或者防火墙，拒绝来自相同地址的流量；br

2发送reset包切断连接。br

这两种方法都有问题。攻击者可以通过信任地址欺骗实施攻击，引起设备重新配置，使得设备拒绝这些信任地址，达到拒绝服务的目的。发包需要有一个活动的网络接口，又使得其本身易受攻击。解决办法是可以把活动网卡放在防火墙内，或者使用专门的发包程序，避开标准IP栈的需求。br

CERT计算机应急响应组(CERT-ComputerEmergencyResponseTeam)br

CERT来自成立于CarnegieMellonUniversity的第一支计算机安全事件响应队伍的名称。今天许多组织都有自己的CERT(计算机安全事件处理队伍)。同CIRT（计算机事件响应组）相区别，CERT侧重于紧急事件的快速反应，而不是长期监视。br

通用入侵检测框架：（CIDF-CommonIntrusionDetectionFramework）br

CIDF是为了在某种程度上对入侵检测进行标准化，（开发）了一些协议和应用程序接口，使得入侵检测研究项目的软件能够共享信息和资源，同样入侵检测系统组件也可以被其他系统应用。br

计算机事件响应组（CIRT-ComputerIncidentResponseTeam）br

源自CERT,CIRT的不同在于对安全事件的处理方式。CERT的目标是特殊的计算机紧急事件。而CIRT中的事件并不都是紧急事件，还包括其它安全事件。br

通用入侵描述语言(CISL-CommonIntrusionSpecificationLanguage)br

CISL是为了在CIDF组件之间进行通信而描述入侵的通用语言。同CIDF的标准化工作一样，CISL也是试图对入侵检测研究的描述语言进行标准化。br

通用漏洞披露（CVE-CommonVulnerabilitiesandExposures）br

关于漏洞一个问题就是当设计漏洞扫描或者采取应对策略时，不同厂商对漏洞的称谓完全不同。此外有的厂商用几种特征去描述一条漏洞，并解释为可以检测更多的攻击。MITRE建设了CVE，对漏洞名称进行了标准化，加入CVE的厂商都使用标准化漏洞描述。br

URL：www.CVE..br

构造数据包（CraftingPackets）br

不遵循通常的数据包结构，通过构造自己的数据包，能够进行数据包欺骗,或者使接收者无法处理这样的数据包。Nemesis就是这样一个工具，最新版本1.32（当然你可以自己用libnet写）.URL：/nemesis/br

同步失效（见“躲避”）(Desyncronization(seealsoEvasion))br

最初，同步实效是指利用序列号的躲避IDS的方法。一些IDS无法确定期望的序列号，从而对这种数据包无能为力，无法重构数据包。这种技术98年产生，现在已经过时。有的文章用来指代其他IDS躲避方法。br

Eleetbr

黑客们在写漏洞开发程序时，经常会留下标记，最常见的就是“elite”（精华，精锐），通常是elite=eleet，转换为数字就是31337.31337经常被用作端口号或者序列号等。现在流行的词是skillz.br

列举（Enumeration）br

在经过被动探测和社会工程学的工作之后，攻击者开始列举网络资源。列举就是当攻击者主动探测一个网络来发现有哪些漏洞可以利用。由于这个活动是主动的，并且可以被探测到，但是攻击者的活动仍会尽可能地隐蔽，避免被探测到。br

躲避（见“同步失效”）（Evasion(seealsoDesynchronization)）br

躲避是实施攻击计划，避开IDS检测的过程。躲避的技巧就是使IDS只看到攻击的一面，而目标却在其它。一种躲避的形式就是为不同的数据包设置不同的TTL值。因此经过IDS的信息看上去并没有什么问题，然而，这些并不影响攻击到达目标。一旦到达目标，就只有有用的攻击了。这里大大简化了实际躲避的复杂性。PtacekandNesham的文章《嵌入、逃避和拒绝服务：如何躲避网络入侵检测》（Insertion,Evasion,andDenialofService:EludingNetworkIntrusionDetection）讲述了实施躲避的基本原理和方法。br

/mirror/Ptacek-Newsham-Evasion-98.htmlbr

漏洞利用（Exploits）br

对于每一个漏洞，都有利用此漏洞进行攻击的机制。为了攻击系统，攻击者编写出漏洞利用代码或教本。br

漏洞利用：零时间利用（Exploits:ZeroDayExploit）br

零时间漏洞利用指的是还没有被公布或者传播的漏洞利用。一旦安全界发现一个漏洞，厂商会发布补丁，IDS系统会加入相应的攻击特征检测。对攻击者而言，零时间漏洞利用的价值最大。br

漏报（FalseNegatives）br

漏报：攻击事件没有被IDS检测到或者逃过分析员的眼睛。br

误报（FalsePositives）br

误报：IDS对正常事件识别为攻击并进行报警。br

防火墙（Firewalls）br

防火墙作为网络安全的第一道闸门，它与IDS功能不同，但其日志可以为IDS提供有用的信息。防火墙依据对IP地址或者端口的规则拒绝非法连接。br

FIRST-ForumofIncidentResponseandSecurityTeamsbr

FIRST是一个由国际上政府或者民间组织建立的联盟，以进行安全信息交换和协调安全事件响应。FIRST年会总是受到很大关注。br

URL:br

分片（Fragmentation）br

如果数据包过大，将会被分片传输。分片依据是网络最大传输单元（MTU）。例如灵牌环网是4464，而以太网是1500。当一个数据包从令牌环网向以太网传输，它将被按照以太网的MTU进行分片。在有限的网络条件下，分片传输是很正常的。但是黑客们利用分片来逃避IDS检测，有几种臭名昭著的DOS攻击也是利用了分片技术。br

黑客规范：（HackerEthics）br

尽管每个人的认识不同，对大多数成熟的黑客而言，黑客规范是神圣的，应该受到尊敬并得到遵守。例如无条件信息共享，不得偷窃、修改和泄漏被攻击系统的数据信息等。br

URL/~esr/jargon/html/entry/hacker-ethic.htmlbr

黑客规范1：黑帽子（HackerEthics:BlackHat）br

藐视法律，做事不考虑任何约束的反面黑客。一旦发现漏洞他们往往会私下传播利用，而不是向社会公布。br

黑客规范2：白帽子（HackerEthics:WhiteHat）br

正面黑客：一旦发现漏洞，他们首先通知厂商，在发布修补补丁之前，他们不会公布漏洞。关于白帽对黑客规范的观点和一些免费的IDS工具，见JudeThaddeus的文章Confessionsofawhitehathacker.br

URL/english/crd_network_480552.htmlbr

黑客规范3：灰帽子（HackerEthics:GreyHat）br

灰帽黑客介于前两者之间，一旦发现漏洞，他们会向黑客群体发布，同时通知厂商，然后观察事态发展。他们遵循了黑客守则的两点道德规范。许多人认为厂商应该最先得到通知，很多厂商利用这些信息。RainForestPuppy发布了一个策略既能保证厂商利益，又不影响安全研究。