解讀IDS入侵檢測(cè)系統(tǒng)術(shù)語

入侵檢測(cè)技術(shù)07年已經(jīng)取得了越來越多的應(yīng)用，很多用戶對(duì)IDS(入侵檢測(cè)系統(tǒng))具體信息并不是十分了解，但隨著其快速發(fā)展，我們有必要了解IDS，為日后做好準(zhǔn)備。與IDS相關(guān)的新名詞也日新月異，這里按字母順序羅列了相關(guān)的術(shù)語，有的可能很普遍了，但是有的卻很少見。
    警報(bào)(Alerts)
    警報(bào)是IDS向系統(tǒng)操作員發(fā)出的有入侵正在發(fā)生或者正在嘗試的消息。一旦偵測(cè)到入侵，IDS會(huì)以各種方式向分析員發(fā)出警報(bào)。如果控制臺(tái)在本地，IDS警報(bào)通常會(huì)顯示在監(jiān)視器上。IDS還可以通過聲音報(bào)警(但在繁忙的IDS上，建議關(guān)閉聲音)。警報(bào)還可以通過廠商的通信手段發(fā)送到遠(yuǎn)程控制臺(tái)，除此之外，還有利用SNMP協(xié)議(安全性有待考慮)、email、SMS/Pager或者這幾種方式的組合進(jìn)行報(bào)警。
    異常(Anomaly)
    大多IDS在檢測(cè)到與已知攻擊特征匹配的事件就會(huì)發(fā)出警報(bào)，而基于異常的IDS會(huì)用一段時(shí)間建立一個(gè)主機(jī)或者網(wǎng)絡(luò)活動(dòng)的輪廓。在這個(gè)輪廓之外的事件會(huì)引起IDS警報(bào)，也就是說，當(dāng)有人進(jìn)行以前從沒有過的活動(dòng)，IDS就會(huì)發(fā)出警報(bào)。比如一個(gè)用戶突然獲得管理員權(quán)限(或者root權(quán)限)。一些廠商把這種方法稱為啟發(fā)式IDS，但是真正的啟發(fā)式IDS比這種方法有更高的智能性。
    硬件IDS(Appliance )
    現(xiàn)在的IDS做成硬件放到機(jī)架上，而不是安裝到現(xiàn)有的操作系統(tǒng)中，這樣很容易就可以把IDS嵌入網(wǎng)絡(luò)。這樣的IDS產(chǎn)品如CaptIO, Cisco Secure IDS, OpenSnort, Dragon and SecureNetPro。
    網(wǎng)絡(luò)入侵特征數(shù)據(jù)庫(kù)(ArachNIDS - Advanced Reference Archive of Current Heuristics for Network Intrusion Detection Systems)
    由白帽子住持Max Vision開發(fā)維護(hù)的ArachNIDS是一個(gè)動(dòng)態(tài)更新的攻擊特征數(shù)據(jù)庫(kù)，適用于多種基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。
    攻擊注冊(cè)和信息服務(wù)(ARIS - Attack Registry & Intelligence Service )
    ARIS是SecurityFocus推出的一項(xiàng)安全信息服務(wù)，允許用戶向SecurityFocus匿名報(bào)告網(wǎng)絡(luò)安全事件。SecurityFocus整理這些數(shù)據(jù)，并和其它信息綜合，形成詳細(xì)的網(wǎng)絡(luò)安全統(tǒng)計(jì)分析和趨勢(shì)預(yù)測(cè)。
    攻擊(Attacks )
    攻擊可以定義為試圖滲透系統(tǒng)或者繞過系統(tǒng)安全策略獲取信息，更改信息或者中斷目標(biāo)網(wǎng)絡(luò)或者系統(tǒng)的正常運(yùn)行的活動(dòng)。下面是一些IDS可以檢測(cè)的常見攻擊的列表和解釋：
    拒絕服務(wù)攻擊(DOS - Denial Of Service attack )
    DOS攻擊只是使系統(tǒng)無法向其用戶提供服務(wù)，而不是通過黑客手段滲透系統(tǒng)。拒絕服務(wù)攻擊的方法從緩沖區(qū)溢出到通過洪流耗盡系統(tǒng)資源，不一而足。隨著對(duì)拒絕服務(wù)攻擊的認(rèn)識(shí)和防范不斷加強(qiáng)，又出現(xiàn)了分布式拒絕服務(wù)攻擊。
    分布式拒絕服務(wù)攻擊(DDOS - Distributed Denial of Service )
    分布式拒絕服務(wù)攻擊是一種標(biāo)準(zhǔn)的拒絕服務(wù)攻擊，通過控制多臺(tái)分布的遠(yuǎn)程主機(jī)向單一主機(jī)發(fā)送大量數(shù)據(jù)，并因此得名。
    攻Smurf攻擊(Smurf )
    Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名Smurf來命名。這種攻擊方法通過欺騙方法向“Smurf放大器”的網(wǎng)絡(luò)發(fā)送廣播地址的ping，放大器網(wǎng)絡(luò)向欺騙地址——攻擊目標(biāo)系統(tǒng)返回大量的ICMP回復(fù)消息，引起目標(biāo)系統(tǒng)的拒絕服務(wù)。
    這里有每5分鐘更新一次的可用的“放大器”： http://www.powertech.no/smurf/ (但愿你的網(wǎng)絡(luò)不在此列…)
    特洛伊木馬(Trojans )
    特洛伊密碼來自于古希臘的木馬攻擊特洛伊城的故事。在計(jì)算機(jī)術(shù)語中最初指的是貌似合法但其中包含惡意軟件的程序。當(dāng)合法程序執(zhí)行時(shí)，惡意軟件在用戶毫無察覺的情況下被安裝。后來大多數(shù)的這類惡意軟件都是遠(yuǎn)程控制工具，特洛伊木馬也就專指這類工具，如BackOrifice, SubSeven, NetBus 等。