解读IDS***检测系统术语

解读IDS***检测系统术语 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

内容摘要：***检测技术07年已经取得了越来越多的应用，很多用户对IDS(***检测系统)具体信息并不是十分了解，但随着其快速发展，我们有必要了解IDS，为日后做好准备。与IDS相关的新名词也日新月异，这里按字母顺序罗列了相关的术语，有的可能很普遍了，但是有的却很少见。

警报(Alerts)

　　警报是IDS向系统操作员发出的有***正在发生或者正在尝试的消息。一旦侦测到***，IDS会以各种方式向分析员发出警报。如果控制台在本地，IDS警报通常会显示在监视器上。IDS还可以通过声音报警(但在繁忙的IDS上，建议关闭声音)。警报还可以通过厂商的通信手段发送到 远程控制 台，除此之外，还有利用SNMP协议(安全性有待考虑)、email、SMS/Pager或者这几种方式的组合进行报警。

　　异常(Anomaly)

　　大多IDS在检测到与已知***特征匹配的事件就会发出警报，而基于异常的IDS会用一段时间建立一个主机或者网络活动的轮廓。在这个轮廓之外的事件会引起IDS警报，也就是说，当有人进行以前从没有过的活动，IDS就会发出警报。比如一个用户突然获得管理员权限(或者root权限)。一些厂商把这种方法称为启发式IDS，但是真正的启发式IDS比这种方法有更高的智能性。

　　 硬件 IDS(Appliance )

　　现在的IDS做成硬件放到机架上，而不是安装到现有的操作系统中，这样很容易就可以把IDS嵌入网络。这样的IDS产品如CaptIO, Cisco Secure IDS, OpenSnort, Dragon and SecureNetPro。

　　网络***特征数据库(ArachNIDS - Advanced Reference Archive of Current Heuristics for Network Intrusion Detection Systems)

　　由白帽子住持Max Vision开发维护的ArachNIDS是一个动态更新的***特征数据库，适用于多种基于网络的***检测系统。

　　***注册和信息服务(ARIS - Attack Registry & Intelligence Service )

　　ARIS是SecurityFocus推出的一项安全信息服务，允许用户向SecurityFocus匿名报告网络安全事件。SecurityFocus整理这些数据，并和其它信息综合，形成详细的网络安全统计分析和趋势预测。

　　***(Attacks )

　　***可以定义为试图***系统或者绕过系统安全策略获取信息，更改信息或者中断目标网络或者系统的正常运行的活动。下面是一些IDS可以检测的常见***的列表和解释：

　　拒绝服务***(DOS - Denial Of Service attack )

　　DOS***只是使系统无法向其用户提供服务，而不是通过***手段***系统。拒绝服务***的方法从缓冲区溢出到通过洪流耗尽系统资源，不一而足。随着对拒绝服务***的认识和防范不断加强，又出现了分布式拒绝服务***。

　　分布式拒绝服务***(DDOS - Distributed Denial of Service )

　　分布式拒绝服务***是一种 标准 的拒绝服务***，通过控制多台分布的远程主机向单一主机发送大量数据，并因此得名。

　　攻Smurf***(Smurf )

　　Smurf***是以最初发动这种***的程序名Smurf来命名。这种***方法通过欺骗方法向“Smurf放大器”的网络发送广播地址的ping，放大器网络向欺骗地址——***目标系统返回大量的ICMP回复消息，引起目标系统的拒绝服务。

　　这里有每5分钟更新一次的可用的“放大器”： [url]http://www.powertech.no/smurf/ [/url](但愿你的网络不在此列…)

　　特洛伊***(Trojans )

　　特洛伊密码来自于古希腊著名的******特洛伊城的故事。在 计算机 术语中最初指的是貌似合法但其中包含恶意软件的程序。当合法程序执行时，恶意软件在用户毫无察觉的情况下被安装。后来大多数的这类恶意软件都是远程控制工具，特洛伊***也就专指这类工具，如BackOrifice, SubSeven, NetBus 等。

　　自动响应(Automated Response )

　　如对***发出警报，一些IDS 能够自动对***作出防御性反应，可以通过以下途径实现：

　　1 重新配置路由器或者防火墙，拒绝来自相同地址的流量;

　　2 发送reset包切断连接。

　　这两种方法都有问题。***者可以通过信任地址欺骗实施***，引起设备重新配置，使得设备拒绝这些信任地址，达到拒绝服务的目的。发包需要有一个活动的网络接口，又使得其本身易受***。解决办法是可以把活动网卡放在防火墙内，或者使用专门的发包程序，避开标准IP栈的需求。

CERT计算机应急响应组(CERT - Computer Emergency Response Team )

　　CERT来自成立于Carnegie Mellon University的第一支计算机安全事件响应队伍的名称。今天许多组织都有自己的CERT(计算机安全事件处理队伍)。同CIRT(计算机事件响应组)相区别，CERT侧重于紧急事件的快速反应，而不是长期监视。

　　通用***检测框架：(CIDF - Common Intrusion Detection Framework )

　　CIDF是为了在某种程度上对***检测进行标准化，开发了一些协议和应用程序接口，使得***检测研究项目的 软件 能够共享信息和资源，同样***检测系统组件也可以被其他系统应用。

　　计算机事件响应组(CIRT - Computer Incident Response Team )

　　源自CERT, CIRT的不同在于对安全事件的处理方式。CERT的目标是特殊的计算机紧急事件。而CIRT中的事件并不都是紧急事件，还包括其它安全事件。

　　通用***描述语言(CISL - Common Intrusion Specification Language )

　　CISL是为了在CIDF组件之间进行通信而描述***的通用语言。同CIDF的标准化工作一样，CISL也是试图对***检测研究的描述语言进行标准化。

　　通用漏洞披露(CVE - Common Vulnerabilities and Exposures )

　　关于漏洞一个问题就是当设计漏洞扫描或者采取应对策略时，不同厂商对漏洞的称谓完全不同。此外有的厂商用几种特征去描述一条漏洞，并解释为可以检测更多的***。MITRE建设了CVE，对漏洞名称进行了标准化，加入CVE的厂商都使用标准化漏洞描述。

　　构造数据包(Crafting Packets )

　　不遵循通常的数据包结构，通过构造自己的数据包，能够进行数据包欺骗,或者使接收者无法处理这样的数据包。 Nemesis就是这样一个工具。

　　同步失效( Desyncronization )

　　最初，同步实效是指利用序列号的躲避IDS的方法。一些IDS无法确定期望的序列号，从而对这种数据包无能为力，无法重构数据包。这种技术98年产生，现在已经过时。有的文章用来指代其他IDS躲避方法。

　　Eleet

　　***们在写漏洞开发程序时，经常会留下标记，最常见的就是“elite” (精华，精锐)，通常是elite = eleet，转换为数字就是31337. 31337 经常被用作端口号或者序列号等。现在流行的词是"skillz".

　　列举(Enumeration )

　　在经过被动探测和社会工程学的工作之后，***者开始列举网络资源。列举就是当***者主动探测一个网络来发现有哪些漏洞可以利用。由于这个活动是主动的，并且可以被探测到，但是***者的活动仍会尽可能地隐蔽，避免被探测到。

　　躲避(Evasion)

　　躲避是实施***计划，避开IDS检测的过程。躲避的技巧就是使IDS只看到***的一面，而目标却在其它。一种躲避的形式就是为不同的数据包设置不同的TTL值。因此经过IDS的信息看上去并没有什么问题，然而，这些并不影响***到达目标。一旦到达目标，就只有有用的***了。这里大大简化了实际躲避的复杂性。Ptacek and Nesham的文章《嵌入、逃避和拒绝服务：如何躲避网络***检测》(Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection)讲述了实施躲避的基本原理和方法。

漏洞利用(Exploits )

　　对于每一个漏洞，都有利用此漏洞进行***的机制。为了***系统，***者编写出漏洞利用代码或教本。

　　漏洞利用：零日***(Zero Day Exploit)

　　零时间漏洞利用指的是还没有被公布或者传播的漏洞利用。一旦安全界发现一个漏洞，厂商会发布补丁，IDS系统会加入相应的***特征检测。对***者而言，零时间漏洞利用的价值最大。

　　漏报(False Negatives )

　　漏报：***事件没有被IDS检测到或者逃过分析员的眼睛。

　　误报(False Positives )

　　误报：IDS对正常事件识别为***并进行报警。

　　防火墙(Firewalls )

　　防火墙作为网络安全的第一道闸门，它与IDS功能不同，但其日志可以为IDS提供有用的信息。防火墙依据对IP地址或者端口的规则拒绝非法连接。

　　FIRST - Forum of Incident Response and Security Teams

　　FIRST是一个由 国际 上政府或者民间组织建立的联盟，以进行安全信息交换和协调安全事件响应。FIRST年会总是受到很大关注。

　　URL: [url]http://www.first.org[/url]

　　分片(Fragmentation )

　　如果数据包过大，将会被分片传输。分片依据是网络最大传输单元(MTU)。例如灵牌环网是4464，而以太网是1500。当一个数据包从令牌环网向以太网传输，它将被按照以太网的MTU进行分片。在有限的网络条件下，分片传输是很正常的。但是***们利用分片来逃避IDS检测，有几种臭名昭著的DOS***也是利用了分片技术。

　　***规范：(Hacker Ethics )

　　尽管每个人的认识不同，对大多数成熟的***而言，***规范是神圣的，应该受到尊敬并得到遵守。例如无条件信息共享，不得偷窃、修改和泄漏被***系统的数据信息等。

　　***规范1：黑帽(Hacker Ethics: Black Hat )

　　藐视法律，做事不考虑任何约束的反面***。一旦发现漏洞他们往往会私下传播利用，而不是向社会公布。

　　***规范2：白帽(Hacker Ethics: White Hat )

　　正面***：一旦发现漏洞，他们首先通知厂商，在发布修补补丁之前，他们不会公布漏洞。关于白帽对***规范的观点和一些免费的IDS工具，见Jude Thaddeus的文章Confessions of a white hat hacker.

　　***规范3：灰帽(Hacker Ethics: Grey Hat )

　　灰帽***介于前两者之间，一旦发现漏洞，他们会向***群体发布，同时通知厂商，然后观察事态发展。他们遵循了***守则的两点道德规范。许多人认为厂商应该最先得到通知，很多厂商利用这些信息。Rain Forest Puppy 发布了一个策略既能保证厂商利益，又不影响安全研究。

　　URL：[url]http://www.wiretrip.net/rfp/policy.html[/url]

　　启发(Heuristics )

　　“启发“中包含了应用于IDS中的人工智能的思想。启发式IDS已经提出近十年，然而至今仍进展不大，而***却可以“训练”IDS使其忽视恶意***。一些IDS使用异常模型来探测******，然而IDS需要大量时间来“学习”以识别正常事件。厂商在市场上把这称为启发式IDS，但至少这种IDS并没有应用人工智能对输入数据进行分析。

　　Honeynet 工程(Honeynet Project )

　　根据Honeynet 工程的定义：Honeynet是一个学习工具，是一个被设计含有缺陷的网络系统。一旦系统安全受到威胁，相关信息就会被捕捉，并被小组人员分析和学习。因此Honeynet是一个非常有用的，透视***全过程的资源。Honeynet小组由30个安全专家组成，每人都设置了一系列的“蜜罐”来引诱***者，通过观察研究策略、工具和***行为。

　　蜜罐(Honeypot )

　　蜜罐是模拟存在漏洞的系统，为***者提供***目标。蜜罐在网络中没有任何用途，因此任何连接都是可能的***。蜜罐的另一个目的就是 诱惑 ***者在其上浪费时间，延缓对真正目标的***。尽管蜜罐的最初设计目标是为起诉***者提供证据收集，但是关于应用蜜罐做陷阱的讨论很多。如果蜜罐在网络内部，***者至少要攻陷一个网络设备。有的国家法律规定，蜜罐收集的证据不能最为起诉证据。

转载于:https://blog.51cto.com/740224/147686