解讀IDS入侵檢測系統(tǒng)術(shù)語

字號:

入侵檢測技術(shù)07年已經(jīng)取得了越來越多的應(yīng)用,很多用戶對IDS(入侵檢測系統(tǒng))具體信息并不是十分了解,但隨著其快速發(fā)展,我們有必要了解IDS,為日后做好準(zhǔn)備。與IDS相關(guān)的新名詞也日新月異,這里按字母順序羅列了相關(guān)的術(shù)語,有的可能很普遍了,但是有的卻很少見。
    警報(Alerts)
    警報是IDS向系統(tǒng)操作員發(fā)出的有入侵正在發(fā)生或者正在嘗試的消息。一旦偵測到入侵,IDS會以各種方式向分析員發(fā)出警報。如果控制臺在本地,IDS警報通常會顯示在監(jiān)視器上。IDS還可以通過聲音報警(但在繁忙的IDS上,建議關(guān)閉聲音)。警報還可以通過廠商的通信手段發(fā)送到遠程控制臺,除此之外,還有利用SNMP協(xié)議(安全性有待考慮)、email、SMS/Pager或者這幾種方式的組合進行報警。
    異常(Anomaly)
    大多IDS在檢測到與已知攻擊特征匹配的事件就會發(fā)出警報,而基于異常的IDS會用一段時間建立一個主機或者網(wǎng)絡(luò)活動的輪廓。在這個輪廓之外的事件會引起IDS警報,也就是說,當(dāng)有人進行以前從沒有過的活動,IDS就會發(fā)出警報。比如一個用戶突然獲得管理員權(quán)限(或者root權(quán)限)。一些廠商把這種方法稱為啟發(fā)式IDS,但是真正的啟發(fā)式IDS比這種方法有更高的智能性。
    硬件IDS(Appliance )
    現(xiàn)在的IDS做成硬件放到機架上,而不是安裝到現(xiàn)有的操作系統(tǒng)中,這樣很容易就可以把IDS嵌入網(wǎng)絡(luò)。這樣的IDS產(chǎn)品如CaptIO, Cisco Secure IDS, OpenSnort, Dragon and SecureNetPro。
    網(wǎng)絡(luò)入侵特征數(shù)據(jù)庫(ArachNIDS - Advanced Reference Archive of Current Heuristics for Network Intrusion Detection Systems)
    由白帽子住持Max Vision開發(fā)維護的ArachNIDS是一個動態(tài)更新的攻擊特征數(shù)據(jù)庫,適用于多種基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。
    攻擊注冊和信息服務(wù)(ARIS - Attack Registry & Intelligence Service )
    ARIS是SecurityFocus推出的一項安全信息服務(wù),允許用戶向SecurityFocus匿名報告網(wǎng)絡(luò)安全事件。SecurityFocus整理這些數(shù)據(jù),并和其它信息綜合,形成詳細的網(wǎng)絡(luò)安全統(tǒng)計分析和趨勢預(yù)測。
    攻擊(Attacks )
    攻擊可以定義為試圖滲透系統(tǒng)或者繞過系統(tǒng)安全策略獲取信息,更改信息或者中斷目標(biāo)網(wǎng)絡(luò)或者系統(tǒng)的正常運行的活動。下面是一些IDS可以檢測的常見攻擊的列表和解釋:
    拒絕服務(wù)攻擊(DOS - Denial Of Service attack )
    DOS攻擊只是使系統(tǒng)無法向其用戶提供服務(wù),而不是通過黑客手段滲透系統(tǒng)。拒絕服務(wù)攻擊的方法從緩沖區(qū)溢出到通過洪流耗盡系統(tǒng)資源,不一而足。隨著對拒絕服務(wù)攻擊的認識和防范不斷加強,又出現(xiàn)了分布式拒絕服務(wù)攻擊。
    分布式拒絕服務(wù)攻擊(DDOS - Distributed Denial of Service )
    分布式拒絕服務(wù)攻擊是一種標(biāo)準(zhǔn)的拒絕服務(wù)攻擊,通過控制多臺分布的遠程主機向單一主機發(fā)送大量數(shù)據(jù),并因此得名。
    攻Smurf攻擊(Smurf )
    Smurf攻擊是以最初發(fā)動這種攻擊的程序名Smurf來命名。這種攻擊方法通過欺騙方法向“Smurf放大器”的網(wǎng)絡(luò)發(fā)送廣播地址的ping,放大器網(wǎng)絡(luò)向欺騙地址——攻擊目標(biāo)系統(tǒng)返回大量的ICMP回復(fù)消息,引起目標(biāo)系統(tǒng)的拒絕服務(wù)。
    這里有每5分鐘更新一次的可用的“放大器”: http://www.powertech.no/smurf/ (但愿你的網(wǎng)絡(luò)不在此列…)
    特洛伊木馬(Trojans )
    特洛伊密碼來自于古希臘的木馬攻擊特洛伊城的故事。在計算機術(shù)語中最初指的是貌似合法但其中包含惡意軟件的程序。當(dāng)合法程序執(zhí)行時,惡意軟件在用戶毫無察覺的情況下被安裝。后來大多數(shù)的這類惡意軟件都是遠程控制工具,特洛伊木馬也就專指這類工具,如BackOrifice, SubSeven, NetBus 等。