入侵檢測(IntrusionDetection)是對入侵行為的檢測。它透過收集和分析網路行為、安全日誌、審計
資料、其它網路上可以獲得的資訊以及計算機系統中若干關鍵點的資訊,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門,在不影響網路效能的情況下能對網路進行監測。入侵檢測透過執行以下任務來實現:監視、分析使用者及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式並向相關人士報警;異常行為模式的統計分析;評估重要系統和資料檔案的完整性;作業系統的審計跟蹤管理,並識別使用者違反安全策略的行為。入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴充套件了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了資訊保安基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集資訊,並分析這些資訊,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。 入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴充套件了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了資訊保安基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集資訊,並分析這些資訊,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門,在不影響網路效能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都透過它執行以下任務來實現: ·監視、分析使用者及系統活動; ·系統構造和弱點的審計; ·識別反映已知進攻的活動模式並向相關人士報警; ·異常行為模式的統計分析; ·評估重要系統和資料檔案的完整性; ·作業系統的審計跟蹤管理,並識別使用者違反安全策略的行為。 對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程式、檔案和硬體裝置等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連線、記錄事件和報警等。編輯本段分類情況
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
特徵檢測
特徵檢測(Signature-baseddetection)又稱Misusedetection,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。
異常檢測
異常檢測(Anomalydetection)的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。編輯本段工作步驟
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程式、檔案和硬體裝置等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連線、記錄事件和報警等。編輯本段常用術語
隨著IDS(入侵檢測系統)的超速發展,與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語,其中一些是非常基本並相對通用的,而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力,不同的產商可能會用同一個術語表示不同的意義,從而導致某些術語的確切意義出現了混亂。對此,本文會試圖將所有的術語都囊括進來。
Alert
(警報) 當一個入侵正在發生或者試圖發生時,IDS系統將釋出一個alert資訊通知系統管理員。如果控制檯與IDS系統同在一臺機器,alert資訊將顯示在監視器上,也可能伴隨著聲音提示。如果是遠端控制檯,那麼alert將透過IDS系統內建方法(通常是加密的)、SNMP(簡單網路管理協議,通常不加密)、email、SMS(簡訊息)或者以上幾種方法的混合方式傳遞給管理員。
Anomaly
(異常) 當有某個事件與一個已知攻擊的訊號相匹配時,多數IDS都會告警。一個基於anomaly(異常)的IDS會構造一個當時活動的主機或網路的大致輪廓,當有一個在這個輪廓以外的事件發生時
入侵檢測圖片(2)
,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個使用者突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能,但一個啟發式的IDS應該在其推理判斷方面具有更多的智慧。
Appliance
(IDS硬體) 除了那些要安裝到現有系統上去的IDS軟體外,在市場的貨架上還可以買到一些現成的IDS硬體,只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、CiscoSecureIDS、OpenSnort、Dragon以及SecureNetPro。
ArachNIDS
ArachNIDS是由MaxVisi開發的一個攻擊特徵資料庫,它是動態更新的,適用於多種基於網路的入侵檢測系統。 ARIS:AttackRegistry&IntelligenceService(攻擊事件註冊及智慧服務) ARIS是SecurityFocus公司提供的一個附加服務,它允許使用者以網路匿名方式連線到Internet上向SecurityFocus報送網路安全事件,隨後SecurityFocus會將這些資料與許多其它參與者的資料結合起來,最終形成詳細的網路安全統計分析及趨勢預測,釋出在網路上。它的URL地址是。
Attack
(攻擊) Attacks可以理解為試圖滲透系統或繞過系統的安全策略,以獲取資訊、修改資訊以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊型別: 攻擊型別1-DOS(DenialOfServiceattack,拒絕服務攻擊):DOS攻擊不是透過駭客手段破壞一個系統的安全,它只是使系統癱瘓,使系統拒絕向其使用者提供服務。其種類包括緩衝區溢位、透過洪流(flooding)耗盡系統資源等等。 攻擊型別2-DDOS(DistributedDenialofService,分散式拒絕服務攻擊):一個標準的DOS攻擊使用大量來自一個主機的資料向一個遠端主機發動攻擊,卻無法發出足夠的資訊包來達到理想的結果,因此就產生了DDOS,即從多個分散的主機一個目標發動攻擊,耗盡遠端系統的資源,或者使其連線失效。 攻擊型別3-Smurf:這是一種老式的攻擊,但目前還時有發生,攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作,然後所有活動主機都會向該目標應答,從而中斷網路連線。 攻擊型別4-Trojans(特洛伊木馬):Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當木馬運到城裡,士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中,它原本是指那些以合法程式的形式出現,其實包藏了惡意軟體的那些軟體。這樣,當用戶執行合法程式時,在不知情的情況下,惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程式都是遠端控制工具,Trojan這個術語很快就演變為專指這類工具,例如BackOrifice、SubSeven、NetBus等等。
AutomatedResponse
(自動響應) 除了對攻擊發出警報,有些IDS還能自動抵禦這些攻擊。抵禦方式有很多:首先,可以透過重新配置路由器和防火牆,拒絕那些來自同一地址的資訊流;其次,透過在網路上傳送reset包切斷連線。但是這兩種方式都有問題,攻擊者可以反過來利用重新配置的裝置,其方法是:透過偽裝成一個友方的地址來發動攻擊,然後IDS就會配置路由器和防火牆來拒絕這些地址,這樣實際上就是對“自己人”拒絕服務了。傳送reset包的方法要求有一個活動的網路介面,這樣它將置於攻擊之下,一個補救的辦法是:使活動網路介面位於防火牆內,或者使用專門的發包程式,從而避開標準IP棧需求。
CERT
(ComputerEmergencyResponseTeam,計算機應急響應小組) 這個術語是由第一支計算機應急反映小組選擇的,這支團隊建立在CarnegieMellon大學,他們對計算機安全方面的事件做出反應、採取行動。現在許多組織都有了CERT,比如CNCERT/CC(中國計算機網路應急處理協調中心)。由於emergency這個詞有些不夠明確,因此許多組織都用Incident這個詞來取代它,產生了新詞ComputerIncidentResponseTeam(CIRT),即計算機事件反應團隊。response這個詞有時也用handling來代替,其含義是response表示緊急行動,而非長期的研究。
CIDF
(CommonIntrusionDetectionFramework;通用入侵檢測框架) CIDF力圖在某種程度上將入侵檢測標準化,開發一些協議和應用程式介面,以使入侵檢測的研究專案之間能夠共享資訊和資源,並且入侵檢測元件也能夠在其它系統中再利用。
CIRT
(ComputerIncidentResponseTeam,計算機事件響應小組) CIRT是從CERT演變而來的,CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的,而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。
CISL
(CommonIntrusionSpecificationLanguage,通用入侵規範語言) CISL是CIDF元件間彼此通訊的語言。由於CIDF就是對協議和介面標準化的嘗試,因此CISL就是對入侵檢測研究的語言進行標準化的嘗試。
CVE
(CommonVulnerabilitiesandExposures,通用漏洞披露) 關於漏洞的一個老問題就是在設計掃描程式或應對策略時,不同的廠商對漏洞的稱謂也會完全不同。還有,一些產商會對一個漏洞定義多種特徵並應用到他們的IDS系統中,這樣就給人一種錯覺,好像他們的產品更加有效。MITRE建立了CVE,將漏洞名稱進行標準化,參與的廠商也就順理成章按照這個標準開發IDS產品。
CraftingPacket
(自定義資料包) 建立自定義資料包,就可以避開一些慣用規定的資料包結構,從而製造資料包欺騙,或者使得收到它的計算機不知該如何處理它。
Desynchronization
(同步失效) Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑,從而導致無法重新構建資料。這一技術在1998年很流行,現在已經過時了,有些文章把desynchronization這個術語代指其它IDS逃避方法。
Eleet
當駭客編寫漏洞開發程式時,他們通常會留下一個簽名,其中最聲名狼藉的一個就是elite。如果將eleet轉換成數字,它就是31337,而當它是指他們的能力時,elite=eleet,表示精英。31337通常被用做一個埠號或序列號。目前流行的詞是“skillz”。
Enumeration
(列舉) 經過被動研究和社會工程學的工作後,攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於現在的行動不再是被動的,它就有可能被檢測出來。當然為了避免被檢測到,他們會盡可能地悄悄進行。
Evasion
(躲避) Evasion是指發動一次攻擊,而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面,而實際攻擊的卻是另一個目標,所謂明修棧道,暗渡陳倉。Evasion的一種形式是為不同的資訊包設定不同的TTL(有效時間)值,這樣,經過IDS的資訊看起來好像是無害的,而在無害資訊位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標,無害的部分就會被丟掉,只剩下有害的。
Exploit
(漏洞利用) 對於每一個漏洞,都有利用此漏洞進行攻擊的機制。為了攻擊系統,攻擊者編寫出漏洞利用程式碼或教本。 對每個漏洞都會存在利用這個漏洞執行攻擊的方式,這個方式就是Exploit。為了攻擊系統,駭客會編寫出漏洞利用程式。 漏洞利用:ZeroDayExploit(零時間漏洞利用) 零時間漏洞利用是指還未被瞭解且仍在肆意橫行的漏洞利用,也就是說這種型別的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現,很快就會出現針對它的補丁程式,並在IDS中寫入其特徵標識資訊,使這個漏洞利用無效,有效地捕獲它。
FalseNegative
(漏報) 漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。 FalsePositives(誤報) 誤報是指實際無害的事件卻被IDS檢測為攻擊事件。 Firewalls(防火牆) 防火牆是網路安全的第一道關卡,雖然它不是IDS,但是防火牆日誌可以為IDS提供寶貴資訊。防火牆工作的原理是根據規則或標準,如源地址、埠等,將危險連線阻擋在外。
FIRST
(ForumofIncidentResponseandSecurityTeams,事件響應和安全團隊論壇) FIRST是由國際性政府和私人組織聯合起來交換資訊並協調響應行動的聯盟,一年一度的FIRST受到高度的重視。
Fragmentation
入侵檢測(IntrusionDetection)是對入侵行為的檢測。它透過收集和分析網路行為、安全日誌、審計
資料、其它網路上可以獲得的資訊以及計算機系統中若干關鍵點的資訊,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門,在不影響網路效能的情況下能對網路進行監測。入侵檢測透過執行以下任務來實現:監視、分析使用者及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式並向相關人士報警;異常行為模式的統計分析;評估重要系統和資料檔案的完整性;作業系統的審計跟蹤管理,並識別使用者違反安全策略的行為。入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴充套件了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了資訊保安基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集資訊,並分析這些資訊,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。 入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴充套件了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了資訊保安基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集資訊,並分析這些資訊,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門,在不影響網路效能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都透過它執行以下任務來實現: ·監視、分析使用者及系統活動; ·系統構造和弱點的審計; ·識別反映已知進攻的活動模式並向相關人士報警; ·異常行為模式的統計分析; ·評估重要系統和資料檔案的完整性; ·作業系統的審計跟蹤管理,並識別使用者違反安全策略的行為。 對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程式、檔案和硬體裝置等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連線、記錄事件和報警等。編輯本段分類情況
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
特徵檢測
特徵檢測(Signature-baseddetection)又稱Misusedetection,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。
異常檢測
異常檢測(Anomalydetection)的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。編輯本段工作步驟
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程式、檔案和硬體裝置等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連線、記錄事件和報警等。編輯本段常用術語
隨著IDS(入侵檢測系統)的超速發展,與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語,其中一些是非常基本並相對通用的,而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力,不同的產商可能會用同一個術語表示不同的意義,從而導致某些術語的確切意義出現了混亂。對此,本文會試圖將所有的術語都囊括進來。
Alert
(警報) 當一個入侵正在發生或者試圖發生時,IDS系統將釋出一個alert資訊通知系統管理員。如果控制檯與IDS系統同在一臺機器,alert資訊將顯示在監視器上,也可能伴隨著聲音提示。如果是遠端控制檯,那麼alert將透過IDS系統內建方法(通常是加密的)、SNMP(簡單網路管理協議,通常不加密)、email、SMS(簡訊息)或者以上幾種方法的混合方式傳遞給管理員。
Anomaly
(異常) 當有某個事件與一個已知攻擊的訊號相匹配時,多數IDS都會告警。一個基於anomaly(異常)的IDS會構造一個當時活動的主機或網路的大致輪廓,當有一個在這個輪廓以外的事件發生時
入侵檢測圖片(2)
,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個使用者突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能,但一個啟發式的IDS應該在其推理判斷方面具有更多的智慧。
Appliance
(IDS硬體) 除了那些要安裝到現有系統上去的IDS軟體外,在市場的貨架上還可以買到一些現成的IDS硬體,只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、CiscoSecureIDS、OpenSnort、Dragon以及SecureNetPro。
ArachNIDS
ArachNIDS是由MaxVisi開發的一個攻擊特徵資料庫,它是動態更新的,適用於多種基於網路的入侵檢測系統。 ARIS:AttackRegistry&IntelligenceService(攻擊事件註冊及智慧服務) ARIS是SecurityFocus公司提供的一個附加服務,它允許使用者以網路匿名方式連線到Internet上向SecurityFocus報送網路安全事件,隨後SecurityFocus會將這些資料與許多其它參與者的資料結合起來,最終形成詳細的網路安全統計分析及趨勢預測,釋出在網路上。它的URL地址是。
Attack
(攻擊) Attacks可以理解為試圖滲透系統或繞過系統的安全策略,以獲取資訊、修改資訊以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊型別: 攻擊型別1-DOS(DenialOfServiceattack,拒絕服務攻擊):DOS攻擊不是透過駭客手段破壞一個系統的安全,它只是使系統癱瘓,使系統拒絕向其使用者提供服務。其種類包括緩衝區溢位、透過洪流(flooding)耗盡系統資源等等。 攻擊型別2-DDOS(DistributedDenialofService,分散式拒絕服務攻擊):一個標準的DOS攻擊使用大量來自一個主機的資料向一個遠端主機發動攻擊,卻無法發出足夠的資訊包來達到理想的結果,因此就產生了DDOS,即從多個分散的主機一個目標發動攻擊,耗盡遠端系統的資源,或者使其連線失效。 攻擊型別3-Smurf:這是一種老式的攻擊,但目前還時有發生,攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作,然後所有活動主機都會向該目標應答,從而中斷網路連線。 攻擊型別4-Trojans(特洛伊木馬):Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當木馬運到城裡,士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中,它原本是指那些以合法程式的形式出現,其實包藏了惡意軟體的那些軟體。這樣,當用戶執行合法程式時,在不知情的情況下,惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程式都是遠端控制工具,Trojan這個術語很快就演變為專指這類工具,例如BackOrifice、SubSeven、NetBus等等。
AutomatedResponse
(自動響應) 除了對攻擊發出警報,有些IDS還能自動抵禦這些攻擊。抵禦方式有很多:首先,可以透過重新配置路由器和防火牆,拒絕那些來自同一地址的資訊流;其次,透過在網路上傳送reset包切斷連線。但是這兩種方式都有問題,攻擊者可以反過來利用重新配置的裝置,其方法是:透過偽裝成一個友方的地址來發動攻擊,然後IDS就會配置路由器和防火牆來拒絕這些地址,這樣實際上就是對“自己人”拒絕服務了。傳送reset包的方法要求有一個活動的網路介面,這樣它將置於攻擊之下,一個補救的辦法是:使活動網路介面位於防火牆內,或者使用專門的發包程式,從而避開標準IP棧需求。
CERT
(ComputerEmergencyResponseTeam,計算機應急響應小組) 這個術語是由第一支計算機應急反映小組選擇的,這支團隊建立在CarnegieMellon大學,他們對計算機安全方面的事件做出反應、採取行動。現在許多組織都有了CERT,比如CNCERT/CC(中國計算機網路應急處理協調中心)。由於emergency這個詞有些不夠明確,因此許多組織都用Incident這個詞來取代它,產生了新詞ComputerIncidentResponseTeam(CIRT),即計算機事件反應團隊。response這個詞有時也用handling來代替,其含義是response表示緊急行動,而非長期的研究。
CIDF
(CommonIntrusionDetectionFramework;通用入侵檢測框架) CIDF力圖在某種程度上將入侵檢測標準化,開發一些協議和應用程式介面,以使入侵檢測的研究專案之間能夠共享資訊和資源,並且入侵檢測元件也能夠在其它系統中再利用。
CIRT
(ComputerIncidentResponseTeam,計算機事件響應小組) CIRT是從CERT演變而來的,CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的,而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。
CISL
(CommonIntrusionSpecificationLanguage,通用入侵規範語言) CISL是CIDF元件間彼此通訊的語言。由於CIDF就是對協議和介面標準化的嘗試,因此CISL就是對入侵檢測研究的語言進行標準化的嘗試。
CVE
(CommonVulnerabilitiesandExposures,通用漏洞披露) 關於漏洞的一個老問題就是在設計掃描程式或應對策略時,不同的廠商對漏洞的稱謂也會完全不同。還有,一些產商會對一個漏洞定義多種特徵並應用到他們的IDS系統中,這樣就給人一種錯覺,好像他們的產品更加有效。MITRE建立了CVE,將漏洞名稱進行標準化,參與的廠商也就順理成章按照這個標準開發IDS產品。
CraftingPacket
(自定義資料包) 建立自定義資料包,就可以避開一些慣用規定的資料包結構,從而製造資料包欺騙,或者使得收到它的計算機不知該如何處理它。
Desynchronization
(同步失效) Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑,從而導致無法重新構建資料。這一技術在1998年很流行,現在已經過時了,有些文章把desynchronization這個術語代指其它IDS逃避方法。
Eleet
當駭客編寫漏洞開發程式時,他們通常會留下一個簽名,其中最聲名狼藉的一個就是elite。如果將eleet轉換成數字,它就是31337,而當它是指他們的能力時,elite=eleet,表示精英。31337通常被用做一個埠號或序列號。目前流行的詞是“skillz”。
Enumeration
(列舉) 經過被動研究和社會工程學的工作後,攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於現在的行動不再是被動的,它就有可能被檢測出來。當然為了避免被檢測到,他們會盡可能地悄悄進行。
Evasion
(躲避) Evasion是指發動一次攻擊,而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面,而實際攻擊的卻是另一個目標,所謂明修棧道,暗渡陳倉。Evasion的一種形式是為不同的資訊包設定不同的TTL(有效時間)值,這樣,經過IDS的資訊看起來好像是無害的,而在無害資訊位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標,無害的部分就會被丟掉,只剩下有害的。
Exploit
(漏洞利用) 對於每一個漏洞,都有利用此漏洞進行攻擊的機制。為了攻擊系統,攻擊者編寫出漏洞利用程式碼或教本。 對每個漏洞都會存在利用這個漏洞執行攻擊的方式,這個方式就是Exploit。為了攻擊系統,駭客會編寫出漏洞利用程式。 漏洞利用:ZeroDayExploit(零時間漏洞利用) 零時間漏洞利用是指還未被瞭解且仍在肆意橫行的漏洞利用,也就是說這種型別的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現,很快就會出現針對它的補丁程式,並在IDS中寫入其特徵標識資訊,使這個漏洞利用無效,有效地捕獲它。
FalseNegative
(漏報) 漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。 FalsePositives(誤報) 誤報是指實際無害的事件卻被IDS檢測為攻擊事件。 Firewalls(防火牆) 防火牆是網路安全的第一道關卡,雖然它不是IDS,但是防火牆日誌可以為IDS提供寶貴資訊。防火牆工作的原理是根據規則或標準,如源地址、埠等,將危險連線阻擋在外。
FIRST
(ForumofIncidentResponseandSecurityTeams,事件響應和安全團隊論壇) FIRST是由國際性政府和私人組織聯合起來交換資訊並協調響應行動的聯盟,一年一度的FIRST受到高度的重視。
Fragmentation