《入侵检测术语全接触》由会员分享,可在线阅读,更多相关《入侵检测术语全接触(10页珍藏版)》请在金锄头文库上搜索。
1、入侵检测术语全接触-思科网络技术 随着IDS (入侵检测系统)的超速发展,与之相关的术语同样急剧演变。本文向 大家介绍一些IDS技术术语,其中一些是非常基本并相对通用的,而另一些则 有些生僻。由于IDS的飞速发展以及一些IDS产商的市场影响力,不同的产商 可能会用同一个术语表示不同的意义,从而导致某些术语的确切意义出现了混 乱。对此,本文会试图将所有的术语都囊括进来。Alerts (警报)当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统 管理员。如果控制台与 IDS 系统同在一台机器, alert 信息将显示在监视器上, 也可能伴随着声音提示。如果是远程控制台,那么
2、alert将通过IDS系统内置 方法(通常是加密的)、SNMP (简单网络管理协议,通常不加密)、ema订、SMS (短信息)或者以上几种方法的混合方式传递给管理员。Anomaly (异常)当有某个事件与一个已知攻击的信号相匹配时,多数 IDS 都会告警。一个基于 anomaly (异常)的IDS会构造一个当时活动的主机或网络的大致*廓,当有一 个在这个*廓以外的事件发生时, IDS 就会告警,例如有人做了以前他没有做过 的事情的时候,例如,一个用户突然获取了管理员或根目录的权限。有些 IDS 厂商将此方法看做启发式功能,但一个启发式的 IDS 应该在其推理判断方面具 有更多的智能。Appli
3、ance(IDS 硬件)除了那些要安装到现有系统上去的 IDS 软件外,在市场的货架上还可以买到一 些现成的 IDS 硬件,只需将它们接入网络中就可以应用。一些可用 IDS 硬件包 括 CaptIO、Cisco Secure IDS、OpenSnort、Dragon 以及 SecureNetPro。ArachNIDSArachNIDS 是由 Max Visi 开发的一个攻击特征数据库,它是动态更新的,适用 于多种基于网络的入侵检测系统,它的 URL 地址是 http:/ Attack Registry & Intelligence Service (攻击事件注册及智能服务)ARIS 是 Sec
4、urityFocus 公司提供的一个附加服务,它允许用户以网络匿名方式 连接到Internet上向SecurityFocus报送网络安全事件,随后SecurityFocus 会将这些数据与许多其它参与者的数据结合起来,最终形成详细的网络安全统 计分析及趋势预测,发布在网络上。它的 URL 地址是http:/ (攻击)Attacks 可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信 息以及破坏目标网络或系统功能的行为。以下列出IDS能够检测出的最常见的 Internet 攻击类型:攻击类型1DOS (Denial Of Service attack,拒绝服务攻击):DOS攻击 不是
5、通过黑客手段破坏一个系统的安全,它只是使系统瘫痪,使系统拒绝向其 用户提供服务。其种类包括缓冲区溢出、通过洪流(flooding )耗尽系统资源 厶 厶等等。攻击类型2DDOS (Distributed Denial of Service,分布式拒绝服务攻击): 一个标准的 DOS 攻击使用大量来自一个主机的数据向一个远程主机发动攻击, 却无法发出足够的信息包来达到理想的结果,因此就产生了 DDOS,即从多个分 散的主机一个目标发动攻击,耗尽远程系统的资源,或者使其连接失效。攻击类型3Smurf:这是一种老式的攻击,但目前还时有发生,攻击者使用 攻击目标的伪装源地址向一个smurf放大器广播地
6、址执行ping*作,然后所有活 动主机都会向该目标应答,从而中断网络连接。以下是10大smurf放大器的参 考资料 URL: http:/www.powertech.no/smurf/。攻击类型4Trojans (特洛伊木马):Trojan这个术语来源于古代希腊人攻 击特洛伊人使用的木马,木马中藏有希腊士兵,当木马运到城里,士兵就涌出 木马向这个城市及其居民发起攻击。在计算机术语中,它原本是指那些以合法 程序的形式出现,其实包藏了恶意软件的那些软件。这样,当用户运行合法程 序时,在不知情的情况下,恶意软件就被安装了。但是由于多数以这种形式安 装的恶意程序都是远程控制工具, Trojan 这个术
7、语很快就演变为专指这类工具, 例如 BackOrifice、 SubSeven、 NetBus 等等。Automated Response (自动响应)除了对攻击发出警报,有些IDS还能自动抵御这些攻击。抵御方式有很多:首 先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其 次,通过在网络上发送reset包切断连接。但是这两种方式都有问题,攻击者 可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来发 动攻击,然后 IDS 就会配置路由器和防火墙来拒绝这些地址,这样实际上就是 对“自己人”拒绝服务了。发送 reset 包的方法要求有一个活动的网络接口, 这样它将
8、置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内, 或者使用专门的发包程序,从而避开标准IP栈需求。pageCERT (Computer Emergency Response Team,计算机应急响应小组) 这个术语是由第一支计算机应急反映小组选择的,这支团队建立在 CarnegieMellon 大学,他们对计算机安全方面的事件做出反应、采取行动。现在许多组 织都有了 CERT,比如CNCERT/CC (中国计算机网络应急处理协调中心)。由于 emergency 这个词有些不够明确,因此许多组织都用 Incident 这个词来取代它, 产生了新词Computer Incident R
9、esponse Team(CIRT),即计算机事件反应团 队。response这个词有时也用handling来代替,其含义是response表示紧急 行动,而非长期的研究。CIDF(Common Intrusion De tec tion Framework ;通用入侵检测框架)CIDF力图在某种程度上将入侵检测标准化,开发一些协议和应用程序接口,以 使入侵检测的研究项目之间能够共享信息和资源,并且入侵检测组件也能够在 其它系统中再利用。CIDF 的 URL 地址是:http:/www.isi.edu/gost/cidf/CIRT(Computer Incident Response Team
10、,计算机事件响应小组)CIRT是从CERT演变而来的,CIRT代表了对安全事件在哲学认识上的改变。CERT 最初是专门针对特定的计算机紧急情况的,而CIRT中的术语incident则表明 并不是所有的incidents都一定是emergencies,而所有的emergencies都可以 被看成是 incidents。CISL(Common Intrusion Specification Language,通用入侵规范语言)CISL是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的 尝试,因此CISL就是对入侵检测研究的语言进行标准化的尝试。CVE(Common Vulnera
11、bilities and Exposures,通用漏洞披露)关于漏洞的一个老问题就是在设计扫描程序或应对策略时,不同的厂商对漏洞 的称谓也会完全不同。还有,一些产商会对一个漏洞定义多种特征并应用到他 们的IDS系统中,这样就给人一种错觉,好像他们的产品更加有效。MTRE创 建了 CVE,将漏洞名称进行标准化,参与的厂商也就顺理成章按照这个标准开 发 IDS 产品。 CVE 的 URL 地址是: http:/cve.mitre.org/。Crafting Packets (自定义数据包)建立自定义数据包,就可以避开一些惯用规定的数据包结构,从而制造数据包 欺骗,或者使得收到它的计算机不知该如何处
12、理它。制作自定义数据包的一个可用程序 Nemesis,它的 URL 地址是:http:/ (同步失效)desynchronization 这个术语本来是指用序列数逃避 IDS 的方法。有些 IDS 可能 会对它本来期望得到的序列数感到迷惑,从而导致无法重新构建数据。这一技 术在1998年很流行,现在已经过时了,有些文章把desynchronization这个术语代指其它IDS逃避方法。Eleet当黑客编写漏洞开发程序时,他们通常会留下一个签名,其中最声名狼藉的一 个就是elite。如果将eleet转换成数字,它就是31337,而当它是指他们的能力 时,elite=eleet,表示精英。3133
13、7通常被用做一个端口号或序列号。目前流行 的词是“skill。”Enumeration (列举)经过被动研究和社会工程学的工作后,攻击者就会开始对网络资源进行列举。 列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。 由于现在的行动不再是被动的,它就有可能被检测出来。当然为了避免被检测 到,他们会尽可能地悄悄进行。Evasion (躲避)Evasion是指发动一次攻击,而又不被IDS成功地检测到。其中的窍门就是让IDS 只看到一个方面,而实际攻击的却是另一个目标,所谓明修栈道,暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL (有效时间)值,这样, 经过ID
14、S的信息看起来好像是无害的,而在无害信息位上的TTL比要到达目标 主机所需要的TTL要短。一旦经过了 IDS并接近目标,无害的部分就会被丢掉, 只剩下有害的。Exploits (漏洞利用)对于每一个漏洞,都有利用此漏洞进行攻击的机制。为了攻击系统,攻击者编 写出漏洞利用代码或教本。对每个漏洞都会存在利用这个漏洞执行攻击的方式,这个方式就是Exploit。为 了攻击系统,黑客会编写出漏洞利用程序。漏洞利用:Zero Day Exploit (零时间漏洞利用)零时间漏洞利用是指还未被了解且仍在肆意横行的漏洞利用,也就是说这种类 型的漏洞利用当前还没有被发现。一旦一个漏洞利用被网络安全界发现,很快
15、就会出现针对它的补丁程序,并在 IDS 中写入其特征标识信息,使这个漏洞利 用无效,有效地捕获它。False Negatives (漏报)漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。False Positives (误报) 误报是指实际无害的事件却被IDS检测为攻击事件。Firewalls (防火墙)防火墙是网络安全的第一道关卡,虽然它不是IDS,但是防火墙日志可以为IDS 提供宝贵信息。防火墙工作的原理是根据规则或标准,如源地址、端口等,将 危险连接阻挡在外。FIRST( Forum of Incident Response and Security Teams,事件响应和安全团队 论坛)FIRST 是由国际性政府和私人组织联合起来交换信息并协调响应行动的联盟, 一年一度的FIRST受到高度的重视,它的URL地址是:http:www.first.org/。Fragmentation (分片)如果一个信息包太大而无法装载,它就不得不被分成片断。分片的依据是网络的MTU(Maximum Transmission Units,最大传输单元)。例如,灵牌环网(token ring)的MTU是4464,以太网(Ethernet)的MTU是1500,因此,如果一个 信息包要从灵牌环网传输到以太网
