解读IDS入侵检测系统术语(一)

日期: 2007-12-25 作者:A. Cliff 来源:TechTarget中国

        入侵检测技术07年已经取得了越来越多的应用,很多用户对IDS(入侵检测系统)具体信息并不是十分了解,但随着其快速发展,我们有必要了解IDS,为日后做好准备。与IDS相关的新名词也日新月异,这里按字母顺序罗列了相关的术语,有的可能很普遍了,但是有的却很少见。

  警报(Alerts)

  警报是IDS向系统操作员发出的有入侵正在发生或者正在尝试的消息。一旦侦测到入侵,IDS会以各种方式向分析员发出警报。如果控制台在本地,IDS警报通常会显示在监视器上。IDS还可以通过声音报警(但在繁忙的IDS上,建议关闭声音)。警报还可以通过厂商的通信手段发送到远程控制台,除此之外,还有利用SNMP协议(安全性有待考虑)、email、SMS/Pager或者这几种方式的组合进行报警。

  异常(Anomaly)

  大多IDS在检测到与已知攻击特征匹配的事件就会发出警报,而基于异常的IDS会用一段时间建立一个主机或者网络活动的轮廓。在这个轮廓之外的事件会引起IDS警报,也就是说,当有人进行以前从没有过的活动,IDS就会发出警报。比如一个用户突然获得管理员权限(或者root权限)。一些厂商把这种方法称为启发式IDS,但是真正的启发式IDS比这种方法有更高的智能性。

  硬件IDS(Appliance )

  现在的IDS做成硬件放到机架上,而不是安装到现有的操作系统中,这样很容易就可以把IDS嵌入网络。这样的IDS产品如CaptIO, Cisco Secure IDS, OpenSnort, Dragon and SecureNetPro。

  网络入侵特征数据库(ArachNIDS – Advanced Reference Archive of Current Heuristics for Network Intrusion Detection Systems)

  由白帽子住持Max Vision开发维护的ArachNIDS是一个动态更新的攻击特征数据库,适用于多种基于网络的入侵检测系统。

  攻击注册和信息服务(ARIS – Attack Registry & Intelligence Service )

  ARIS是SecurityFocus推出的一项安全信息服务,允许用户向SecurityFocus匿名报告网络安全事件。SecurityFocus整理这些数据,并和其它信息综合,形成详细的网络安全统计分析和趋势预测。

  攻击(Attacks )

  攻击可以定义为试图渗透系统或者绕过系统安全策略获取信息,更改信息或者中断目标网络或者系统的正常运行的活动。下面是一些IDS可以检测的常见攻击的列表和解释:

  拒绝服务攻击(DOS – Denial Of Service attack )

  DOS攻击只是使系统无法向其用户提供服务,而不是通过黑客手段渗透系统。拒绝服务攻击的方法从缓冲区溢出到通过洪流耗尽系统资源,不一而足。随着对拒绝服务攻击的认识和防范不断加强,又出现了分布式拒绝服务攻击。

  分布式拒绝服务攻击(DDOS – Distributed Denial of Service )

  分布式拒绝服务攻击是一种标准的拒绝服务攻击,通过控制多台分布的远程主机向单一主机发送大量数据,并因此得名。

  攻Smurf攻击(Smurf )

  Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法通过欺骗方法向“Smurf放大器”的网络发送广播地址的ping,放大器网络向欺骗地址——攻击目标系统返回大量的ICMP回复消息,引起目标系统的拒绝服务。

  这里有每5分钟更新一次的可用的“放大器”: http://www.powertech.no/smurf/ (但愿你的网络不在此列…)

  特洛伊木马(Trojans )

  特洛伊密码来自于古希腊著名的木马攻击特洛伊城的故事。在计算机术语中最初指的是貌似合法但其中包含恶意软件的程序。当合法程序执行时,恶意软件在用户毫无察觉的情况下被安装。后来大多数的这类恶意软件都是远程控制工具,特洛伊木马也就专指这类工具,如BackOrifice, SubSeven, NetBus 等。

  自动响应(Automated Response )

  如对攻击发出警报,一些IDS 能够自动对攻击作出防御性反应,可以通过以下途径实现:

  1 重新配置路由器或者防火墙,拒绝来自相同地址的流量;

  2 发送reset包切断连接。

  这两种方法都有问题。攻击者可以通过信任地址欺骗实施攻击,引起设备重新配置,使得设备拒绝这些信任地址,达到拒绝服务的目的。发包需要有一个活动的网络接口,又使得其本身易受攻击。解决办法是可以把活动网卡放在防火墙内,或者使用专门的发包程序,避开标准IP栈的需求。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

A. Cliff
A. Cliff

暂无

相关推荐