萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 入侵檢測術語全接觸

入侵檢測術語全接觸

隨著IDS(入侵檢測系統)的超速發展,與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語,其中一些是非常基本並相對通用的,而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力,不同的產商可能會用同一個術語表示不同的意義,從而導致某些術語的確切意義出現了混亂。對此,本文會試圖將所有的術語都囊括進來。

Alerts(警報)


當一個入侵正在發生或者試圖發生時,IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器,alert信息將顯示在監視器上,也可能伴隨著聲音提示。如果是遠程控制台,那麼alert將通過IDS系統內置方法(通常是加密的)、SNMP(簡單網絡管理協議,通常不加密)、email、SMS(短信息)或者以上幾種方法的混合方式傳遞給管理員。


Anomaly(異常)


當有某個事件與一個已知攻擊的信號相匹配時,多數IDS都會告警。一個基於anomaly(異常)的IDS會構造一個當時活動的主機或網絡的大致輪廓,當有一個在這個輪廓以外的事件發生時,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個用戶突然獲取了管理員或根目錄的權限。有些IDS廠商將此方法看做啟發式功能,但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。


Appliance(IDS硬件)


除了那些要安裝到現有系統上去的IDS軟件外,在市場的貨架上還可以買到一些現成的IDS硬件,只需將它們接入網絡中就可以應用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。


ArachNIDS


ArachNIDS是由Max Visi開發的一個攻擊特征數據庫,它是動態更新的,適用於多種基於網絡的入侵檢測系統,它的URL地http://www.whitehats.com/ids/。


ARIS:Attack Registry & Intelligence Service(攻擊事件注冊及智能服務)


ARIS是SecurityFocus公司提供的一個附加服務,它允許用戶以網絡匿名方式連接到Internet上向SecurityFocus報送網絡安全事件,隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來,最終形成詳細的網絡安全統計分析及趨勢預測,發布在網絡上。它的URL地http://aris.securityfocus.com/。


Attacks(攻擊)


Attacks可以理解為試圖滲透系統或繞過系統的安全策略,以獲取信息、修改信息以及破壞目標網絡或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型:


●攻擊類型1-DOS(Denial Of Service attack,拒絕服務攻擊):DOS攻擊不是通過黑客手段破壞一個系統的安全,它只是使系統癱瘓,使系統拒絕向其用戶提供服務。其種類包括緩沖區溢出、通過洪流(flooding)耗盡系統資源等等。


●攻擊類型2-DDOS(Distributed Denial of Service,分布式拒絕服務攻擊):一個標准的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊,卻無法發出足夠的信息包來達到理想的結果,因此就產生了DDOS,即從多個分散的主機一個目標發動攻擊,耗盡遠程系統的資源,或者使其連接失效。


●攻擊類型3-Smurf:這是一種老式的攻擊,但目前還時有發生,攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作,然後所有活動主機都會向該目標應答,從而中斷網絡連接。以下是10大smurf放大器的參考資料URhttp://www.powertech.no/smurf/。


●攻擊類型4-Trojans(特洛伊木馬):Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的

copyright © 萬盛學電腦網 all rights reserved