廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2290 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] IDS(入侵檢測係統)術語
[資訊教學] IDS(入侵檢測係統)術語

IDS(入侵檢測係統)術語
時間:2002-10-22 15:10:00

第一部分: A - H
by A. Cliff last updated July 3, 2001
Translated by Mad,last updated July 9, 2001
雖然入侵檢測技術還不是很成熟,但是其發展卻是很迅速。與IDS相關的新名詞也日新月異。這裏按字母順序羅列了相關的術語,有的可能很普遍了,但是有的卻很少見,或者定義不明確。IDS的迅速發展以及一些IDS生産廠商的市場影響力使得一些名詞的含義混亂:同一個名詞,不同廠商卻用它表示不同的意義。

術語添加或者需要解釋, Pls mailto:talisker@networkintrusion.co.uk
中文解釋的問題,Pls mailto:mad@email.com.cn

警報(Alerts)
警報是IDS向係統操作員發出的有入侵正在發生或者正在嘗試的消息。一旦偵測到入侵,IDS會以各種方式向分析員發出警報。如果控制台在本地,IDS警報通常會顯示在監視器上。IDS還可以通過聲音報警(但在繁忙的IDS上,建議關閉聲音)。警報還可以通過廠商的通信手段發送到遠程控制台,除此之外,還有利用SNMP協議(安全性有待考慮)、email、SMS/Pager或者這幾種方式的組合進行報警。

異常(Anomaly)
大多IDS在檢測到與已知攻擊特征匹配的事件就會發出警報,而基於異常的IDS會用一段時間建立一個主機或者網絡活動的輪廓。在這個輪廓之外的事件會引起IDS警報,也就是說,當有人進行以前從沒有過的活動,IDS就會發出警報。比如一個用戶突然獲得管理員權限(或者root權限)。一些廠商把這種方法稱爲啓發式IDS,但是真正的啓發式IDS比這種方法有更高的智能性。

硬件IDS(Appliance )
現在的IDS做成硬件放到機架上,而不是安裝到現有的操作係統中,這樣很容易就可以把IDS嵌入網絡。這樣的IDS産品如CaptIO, Cisco Secure IDS, OpenSnort, Dragon and SecureNetPro。

網絡入侵特征數據庫(ArachNIDS - Advanced Reference Archive of Current Heuristics for Network Intrusion Detection Systems)

由白帽子住持Max Vision開發維護的ArachNIDS是一個動態更新的攻擊特征數據庫,適用於多種基於網絡的入侵檢測係統。(白帽子成員相繼入獄, Max Butler還未出獄,Max Vision又被判18月監禁,但願白帽子能夠好好維持)
URL: http://www.whiteh...m/ids/

攻擊注冊和信息服務(ARIS - Attack Registry & Intelligence Service )
ARIS是SecurityFocus推出的一項安全信息服務,允許用戶向SecurityFocus匿名報告網絡安全事件。SecurityFocus整理這些數據,並和其它信息綜合,形成詳細的網絡安全統計分析和趨勢預測。

攻擊(Attacks )
攻擊可以定義爲試圖滲透係統或者繞過係統安全策略獲取信息,更改信息或者中斷目標網絡或者係統的正常運行的活動。下面是一些IDS可以檢測的常見攻擊的列表和解釋:
攻擊1:拒絕服務攻擊(Attacks: DOS - Denial Of Service attack )
DOS攻擊只是使係統無法向其用戶提供服務,而不是通過黑客手段滲透係統。拒絕服務攻擊的方法從緩沖區溢出到通過洪流耗盡係統資源,不一而足。隨著對拒絕服務攻擊的認識和防範不斷加強,又出現了
分布式拒絕服務攻擊。

攻擊2:分布式拒絕服務攻擊(Attacks: DDOS - Distributed Denial of Service )
分布式拒絕服務攻擊是一種標準的拒絕服務攻擊,通過控制多台分布的遠程主機向單一主機發送大量數據,並因此得名。

攻擊3:Smurf攻擊(Attacks: Smurf )
Smurf攻擊是以最初發動這種攻擊的程序名Smurf來命名。這種攻擊方法通過欺騙方法向“Smurf放大器”的網絡發送廣播地址的ping,放大器網絡向欺騙地址——攻擊目標係統返回大量的ICMP回複消息,引起目標係統的拒絕服務。
這裏有每5分鍾更新一次的可用的“放大器”: http://www.powert...smurf/ (但願你的網絡不在此列…)

攻擊4:特洛伊木馬(Attacks: Trojans )
特洛伊密碼來自於古希臘著名的木馬攻擊特洛伊城的故事。在計算機術語中最初指的是貌似合法但其中包含惡意軟件的程序。當合法程序執行時,惡意軟件在用戶毫無察覺的情況下被安裝。後來大多數的這類惡意軟件都是遠程控制工具,特洛伊木馬也就專指這類工具,如BackOrifice, SubSeven, NetBus 等。

自動響應(Automated Response )
如對攻擊發出警報,一些IDS 能夠自動對攻擊作出防禦性反應,可以通過以下途徑實現:
1 重新配置路由器或者防火牆,拒絕來自相同地址的流量;
2 發送reset包切斷連接。
這兩種方法都有問題。攻擊者可以通過信任地址欺騙實施攻擊,引起設備重新配置,使得設備拒絕這些信任地址,達到拒絕服務的目的。發包需要有一個活動的網絡接口,又使得其本身易受攻擊。解決辦法是可以把活動網卡放在防火牆內,或者使用專門的發包程序,避開標準IP棧的需求。
C
ERT計算機應急響應組(CERT - Computer Emergency Response Team )
CERT來自成立於Carnegie Mellon University的第一支計算機安全事件響應隊伍的名稱。今天許多組織都有自己的CERT(計算機安全事件處理隊伍)。同CIRT(計算機事件響應組)相區別,CERT側重於緊急事件的快速反應,而不是長期監視。

通用入侵檢測框架:(CIDF - Common Intrusion Detection Framework )
CIDF是爲了在某種程度上對入侵檢測進行標準化,開發了一些協議和應用程序接口,使得入侵檢測研究項目的軟件能夠共享信息和資源,同樣入侵檢測係統組件也可以被其他係統應用。

計算機事件響應組(CIRT - Computer Incident Response Team )
源自CERT, CIRT的不同在於對安全事件的處理方式。CERT的目標是特殊的計算機緊急事件。而CIRT中的事件並不都是緊急事件,還包括其它安全事件。

通用入侵描述語言(CISL - Common Intrusion Specification Language )
CISL是爲了在CIDF組件之間進行通信而描述入侵的通用語言。同CIDF的標準化工作一樣,CISL也是試圖對入侵檢測研究的描述語言進行標準化。

通用漏洞披露(CVE - Common Vulnerabilities and Exposures )
關於漏洞一個問題就是當設計漏洞掃描或者采取應對策略時,不同廠商對漏洞的稱謂完全不同。此外有的廠商用幾種特征去描述一條漏洞,並解釋爲可以檢測更多的攻擊。MITRE建設了CVE,對漏洞名稱進行了標準化,加入CVE的廠商都使用標準化漏洞描述。
URL: CVE.mitre.org... .

構造數據包(Crafting Packets )
不遵循通常的數據包結構,通過構造自己的數據包,能夠進行數據包欺騙,或者使接收者無法處理這樣的

數據包。 Nemesis就是這樣一個工具,最新版本1.32(當然你可以自己用libnet寫). URL: http://jeff.chi.wwt...emesis/

同步失效(見“躲避”)( Desyncronization (see also Evasion) )
最初,同步實效是指利用序列號的躲避IDS的方法。一些IDS無法確定期望的序列號,從而對這種數據包無能爲力,無法重構數據包。這種技術98年産生,現在已經過時。有的文章用來指代其他IDS躲避方法。

Eleet
黑客們在寫漏洞開發程序時,經常會留下標記,最常見的就是“elite” (精華,精銳),通常是elite = eleet,轉換爲數字就是31337. 31337 經常被用作端口號或者序列號等。現在流行的詞是"skillz".

列舉(Enumeration )
在經過被動探測和社會工程學的工作之後,攻擊者開始列舉網絡資源。列舉就是當攻擊者主動探測一個網絡來發現有哪些漏洞可以利用。由於這個活動是主動的,並且可以被探測到,但是攻擊者的活動仍會盡可能地隱蔽,避免被探測到。

躲避(見“同步失效”)(Evasion (see also Desynchronization) )
躲避是實施攻擊計劃,避開IDS檢測的過程。躲避的技巧就是使IDS只看到攻擊的一面,而目標卻在其它。一種躲避的形式就是爲不同的數據包設置不同的TTL值。因此經過IDS的信息看上去並沒有什麽問題,然而,這些並不影響攻擊到達目標。一旦到達目標,就只有有用的攻擊了。這裏大大簡化了實際躲避的複雜性。Ptacek and Nesham的文章《嵌入、逃避和拒絕服務:如何躲避網絡入侵檢測》(Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection)講述了實施躲避的基本原理和方法。
http://www.robertgraham.com/mirror/...Evasion-98.html

漏洞利用(Exploits )
對於每一個漏洞,都有利用此漏洞進行攻擊的機制。爲了攻擊係統,攻擊者編寫出漏洞利用代碼或教本。

漏洞利用:零時間利用(Exploits: Zero Day Exploit)
零時間漏洞利用指的是還沒有被公布或者傳播的漏洞利用。一旦安全界發現一個漏洞,廠商會發布補丁,IDS係統會加入相應的攻擊特征檢測。對攻擊者而言,零時間漏洞利用的價值最大。
漏報(False Negatives )
漏報:攻擊事件沒有被IDS檢測到或者逃過分析員的眼睛。
誤報(False Positives )
誤報:IDS對正常事件識別爲攻擊並進行報警。
防火牆(Firewalls )
防火牆作爲網絡安全的第一道閘門,它與IDS功能不同,但其日志可以爲IDS提供有用的信息。防火牆依據對IP地址或者端口的規則拒絕非法連接。
FIRST - Forum of Incident Response and Security Teams
FIRST是一個由國際上政府或者民間組織建立的聯盟,以進行安全信息交換和協調安全事件響應。FIRST年會總是受到很大關注。
URL: http://www.f....org

分片(Fragmentation )
如果數據包過大,將會被分片傳輸。分片依據是網絡最大傳輸單元(MTU)。例如靈牌環網是4464,而以太網是1500。當一個數據包從令牌環網向以太網傳輸,它將被按照以太網的MTU進行分片。在有限的網絡條件下,分片傳輸是很正常的。但是黑客們利用分片來逃避IDS檢測,有幾種臭名昭著的DOS攻擊也是利用了分片技術。

黑客規範:(Hacker Ethics )
盡管每個人的認識不同,對大多數成熟的黑客而言,黑客規範是神聖的,應該受到尊敬並得到遵守。例如無條件信息共享,不得偷竊、修改和泄漏被攻擊係統的數據信息等。
URL: http://www.tuxedo.org/~esr/jargon...ker-ethic.html
黑客規範1:黑帽子(Hacker Ethics: Black Hat )
藐視法律,做事不考慮任何約束的反面黑客。一旦發現漏洞他們往往會私下傳播利用,而不是向社會公布。
黑客規範2:白帽子(Hacker Ethics: White Hat )
正面黑客:一旦發現漏洞,他們首先通知廠商,在發布修補補丁之前,他們不會公布漏洞。關於白帽對黑客規範的觀點和一些免費的IDS工具,見Jude Thaddeus的文章Confessions of a white hat hacker.
URL: http://www.idg.net/english/...480552.html
黑客規範3:灰帽子(Hacker Ethics: Grey Hat )
灰帽黑客介於前兩者之間,一旦發現漏洞,他們會向黑客群體發布,同時通知廠商,然後觀察事態發展。他們遵循了黑客守則的兩點道德規範。許多人認爲廠商應該最先得到通知,很多廠商利用這些信息。Rain Forest Puppy 發布了一個策略既能保證廠商利益,又不影響安全研究。
URL: http://www.wiretrip.ne...icy.html

啓發(Heuristics )
“啓發“中包含了應用於IDS中的人工智能的思想。啓發式IDS已經提出近十年,然而至今仍進展不大,而黑客卻可以“訓練”IDS使其忽視惡意攻擊。一些IDS使用異常模型來探測入侵攻擊,然而IDS需要大量時間來“學習”以識別正常事件。廠商在市場上把這稱爲啓發式IDS,但至少這種IDS並沒有應用人工智能對輸入數據進行分析。

Honeynet 工程(Honeynet Project )
根據Honeynet 工程的定義:Honeynet是一個學習工具,是一個被設計含有缺陷的網絡係統。一旦係統安全受到威脅,相關信息就會被捕捉,並被小組人員分析和學習。因此Honeynet是一個非常有用的,透視攻擊全過程的資源。Honeynet小組由30個安全專家組成,每人都設置了一係列的“蜜罐”來引誘攻擊者,通過觀察研究策略、工具和黑客行爲。
URL: http://project.honeyne...ject.html

蜜罐(Honeypot )
蜜罐是模擬存在漏洞的係統,爲攻擊者提供攻擊目標。蜜罐在網絡中沒有任何用途,因此任何連接都是可能的攻擊。蜜罐的另一個目的就是誘惑攻擊者在其上浪費時間,延緩對真正目標的攻擊。盡管蜜罐的最初設計目標是爲起訴攻擊者提供證據收集,但是關於應用蜜罐做陷阱的討論很多。如果蜜罐在網絡內部,攻擊者至少要攻陷一個網絡設備。有的國家法律規定,蜜罐收集的證據不能最爲起訴證據。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-09 05:18 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.111241 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言