入侵檢測術語全接觸

隨著IDS（入侵檢測系統）的超速發展，與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語，其中一些是非常基本並相對通用的，而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力，不同的產商可能會用同一個術語表示不同的意義，從而導致某些術語的確切意義出現了混亂。對此，本文會試圖將所有的術語都囊括進來。

Alerts（警報）

當一個入侵正在發生或者試圖發生時，IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器，alert信息將顯示在監視器上，也可能伴隨著聲音提示。如果是遠程控制台，那麼alert將通過IDS系統內置方法（通常是加密的）、SNMP（簡單網絡管理協議，通常不加密）、email、SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員。

Anomaly（異常）

當有某個事件與一個已知攻擊的信號相匹配時，多數IDS都會告警。一個基於anomaly（異常）的IDS會構造一個當時活動的主機或網絡的大致輪廓，當有一個在這個輪廓以外的事件發生時，IDS就會告警，例如有人做了以前他沒有做過的事情的時候，例如，一個用戶突然獲取了管理員或根目錄的權限。有些IDS廠商將此方法看做啟發式功能，但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。

Appliance（IDS硬件）

除了那些要安裝到現有系統上去的IDS軟件外，在市場的貨架上還可以買到一些現成的IDS硬件，只需將它們接入網絡中就可以應用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。

ArachNIDS

ArachNIDS是由Max Visi開發的一個攻擊特征數據庫，它是動態更新的，適用於多種基於網絡的入侵檢測系統，它的URL地http://www.whitehats.com/ids/。

ARIS：Attack Registry & Intelligence Service（攻擊事件注冊及智能服務）

ARIS是SecurityFocus公司提供的一個附加服務，它允許用戶以網絡匿名方式連接到Internet上向SecurityFocus報送網絡安全事件，隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來，最終形成詳細的網絡安全統計分析及趨勢預測，發布在網絡上。它的URL地http://aris.securityfocus.com/。

Attacks（攻擊）

Attacks可以理解為試圖滲透系統或繞過系統的安全策略，以獲取信息、修改信息以及破壞目標網絡或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型：

●攻擊類型1－DOS（Denial Of Service attack，拒絕服務攻擊）：DOS攻擊不是通過黑客手段破壞一個系統的安全，它只是使系統癱瘓，使系統拒絕向其用戶提供服務。其種類包括緩沖區溢出、通過洪流（flooding）耗盡系統資源等等。

●攻擊類型2－DDOS（Distributed Denial of Service，分布式拒絕服務攻擊）：一個標准的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊，卻無法發出足夠的信息包來達到理想的結果，因此就產生了DDOS，即從多個分散的主機一個目標發動攻擊，耗盡遠程系統的資源，或者使其連接失效。

●攻擊類型3－Smurf：這是一種老式的攻擊，但目前還時有發生，攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作，然後所有活動主機都會向該目標應答，從而中斷網絡連接。以下是10大smurf放大器的參考資料URhttp://www.powertech.no/smurf/。

●攻擊類型4－Trojans（特洛伊木馬）：Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的