金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

91手機維修論壇

標題: 入侵檢測術(shù)語(yǔ)全接觸 [打印本頁(yè)]

作者: 鞠中山    時(shí)間: 2005-7-28 16:13
標題: 入侵檢測術(shù)語(yǔ)全接觸
<>入侵檢測術(shù)語(yǔ)全接觸<BR><BR>隨著(zhù)IDS(入侵檢測系統)的超速發(fā)展,與之相關(guān)的術(shù)語(yǔ)同樣急劇演變。本文向大家介紹一些IDS技術(shù)術(shù)語(yǔ),其中一些是非;静⑾鄬νㄓ玫,而另一些則有些生僻。由于IDS的飛速發(fā)展以及一些IDS產(chǎn)商的市場(chǎng)影響力,不同的產(chǎn)商可能會(huì )用同一個(gè)術(shù)語(yǔ)表示不同的意義,從而導致某些術(shù)語(yǔ)的確切意義出現了混亂。對此,本文會(huì )試圖將所有的術(shù)語(yǔ)都囊括進(jìn)來(lái)。 <BR><BR>Alerts(警報) <BR><BR><BR>當一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí),IDS系統將發(fā)布一個(gè)alert信息通知系統管理員。如果控制臺與IDS系統同在一臺機器,alert信息將顯示在監視器上,也可能伴隨著(zhù)聲音提示。如果是遠程控制臺,那么alert將通過(guò)IDS系統內置方法(通常是加密的)、SNMP(簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議,通常不加密)、email、SMS(短信息)或者以上幾種方法的混合方式傳遞給管理員。 <BR><BR><BR>Anomaly(異常) <BR><BR><BR>當有某個(gè)事件與一個(gè)已知攻擊的信號相匹配時(shí),多數IDS都會(huì )告警。一個(gè)基于anomaly(異常)的IDS會(huì )構造一個(gè)當時(shí)活動(dòng)的主機或網(wǎng)絡(luò )的大致輪廓,當有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí),IDS就會(huì )告警,例如有人做了以前他沒(méi)有做過(guò)的事情的時(shí)候,例如,一個(gè)用戶(hù)突然獲取了管理員或根目錄的權限。有些IDS廠(chǎng)商將此方法看做啟發(fā)式功能,但一個(gè)啟發(fā)式的IDS應該在其推理判斷方面具有更多的智能。 <BR><BR><BR>Appliance(IDS硬件) <BR><BR><BR>除了那些要安裝到現有系統上去的IDS軟件外,在市場(chǎng)的貨架上還可以買(mǎi)到一些現成的IDS硬件,只需將它們接入網(wǎng)絡(luò )中就可以應用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 <BR><BR><BR>ArachNIDS <BR><BR><BR>ArachNIDS是由Max Visi開(kāi)發(fā)的一個(gè)攻擊特征數據庫,它是動(dòng)態(tài)更新的,適用于多種基于網(wǎng)絡(luò )的入侵檢測系統,它的URL地http://www.whitehats.com/ids/。 <BR><BR><BR>ARIS:Attack Registry &amp; Intelligence Service(攻擊事件注冊及智能服務(wù)) <BR><BR><BR>ARIS是SecurityFocus公司提供的一個(gè)附加服務(wù),它允許用戶(hù)以網(wǎng)絡(luò )匿名方式連接到Internet上向SecurityFocus報送網(wǎng)絡(luò )安全事件,隨后SecurityFocus會(huì )將這些數據與許多其它參與者的數據結合起來(lái),最終形成詳細的網(wǎng)絡(luò )安全統計分析及趨勢預測,發(fā)布在網(wǎng)絡(luò )上。它的URL地http://aris.securityfocus.com/。 <BR><BR><BR>Attacks(攻擊) <BR><BR><BR>Attacks可以理解為試圖滲透系統或繞過(guò)系統的安全策略,以獲取信息、修改信息以及破壞目標網(wǎng)絡(luò )或系統功能的行為。以下列出IDS能夠檢測出的最常見(jiàn)的Internet攻擊類(lèi)型: <BR><BR><BR>●攻擊類(lèi)型1-DOS(Denial Of Service attack,拒絕服務(wù)攻擊):DOS攻擊不是通過(guò)黑客手段破壞一個(gè)系統的安全,它只是使系統癱瘓,使系統拒絕向其用戶(hù)提供服務(wù)。其種類(lèi)包括緩沖區溢出、通過(guò)洪流(flooding)耗盡系統資源等等。 <BR><BR><BR>●攻擊類(lèi)型2-DDOS(Distributed Denial of Service,分布式拒絕服務(wù)攻擊):一個(gè)標準的DOS攻擊使用大量來(lái)自一個(gè)主機的數據向一個(gè)遠程主機發(fā)動(dòng)攻擊,卻無(wú)法發(fā)出足夠的信息包來(lái)達到理想的結果,因此就產(chǎn)生了DDOS,即從多個(gè)分散的主機一個(gè)目標發(fā)動(dòng)攻擊,耗盡遠程系統的資源,或者使其連接失效。 <BR><BR><BR>●攻擊類(lèi)型3-Smurf:這是一種老式的攻擊,但目前還時(shí)有發(fā)生,攻擊者使用攻擊目標的偽裝源地址向一個(gè)smurf放大器廣播地址執行ping操作,然后所有活動(dòng)主機都會(huì )向該目標應答,從而中斷網(wǎng)絡(luò )連接。以下是10大smurf放大器的參考資料URhttp://www.powertech.no/smurf/。 <BR><BR><BR>●攻擊類(lèi)型4-Trojans(特洛伊木馬):Trojan這個(gè)術(shù)語(yǔ)來(lái)源于古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當木馬運到城里,士兵就涌出木馬向這個(gè)城市及其居民發(fā)起攻擊。在計算機術(shù)語(yǔ)中,它原本是指那些以合法程序的形式出現,其實(shí)包藏了惡意軟件的那些軟件。這樣,當用戶(hù)運行合法程序時(shí),在不知情的情況下,惡意軟件就被安裝了。但是由于多數以這種形式安裝的惡意程序都是遠程控制工具,Trojan這個(gè)術(shù)語(yǔ)很快就演變?yōu)閷?zhuān)指這類(lèi)工具,例如BackOrifice、SubSeven、NetBus等等。 <BR><BR><BR>Automated Response(自動(dòng)響應) <BR><BR><BR>除了對攻擊發(fā)出警報,有些IDS還能自動(dòng)抵御這些攻擊。抵御方式有很多:首先,可以通過(guò)重新配置路由器和防火墻,拒絕那些來(lái)自同一地址的信息流;其次,通過(guò)在網(wǎng)絡(luò )上發(fā)送reset包切斷連接。但是這兩種方式都有問(wèn)題,攻擊者可以反過(guò)來(lái)利用重新配置的設備,其方法是:通過(guò)偽裝成一個(gè)友方的地址來(lái)發(fā)動(dòng)攻擊,然后IDS就會(huì )配置路由器和防火墻來(lái)拒絕這些地址,這樣實(shí)際上就是對“自己人”拒絕服務(wù)了。發(fā)送reset包的方法要求有一個(gè)活動(dòng)的網(wǎng)絡(luò )接口,這樣它將置于攻擊之下,一個(gè)補救的辦法是:使活動(dòng)網(wǎng)絡(luò )接口位于防火墻內,或者使用專(zhuān)門(mén)的發(fā)包程序,從而避開(kāi)標準IP棧需求。 <BR><BR><BR>CERT(Computer Emergency Response Team,計算機應急響應小組) <BR><BR><BR>這個(gè)術(shù)語(yǔ)是由第一支計算機應急反映小組選擇的,這支團隊建立在Carnegie Mellon大學(xué),他們對計算機安全方面的事件做出反應、采取行動(dòng),F在許多組織都有了CERT,比如CNCERT/CC(中國計算機網(wǎng)絡(luò )應急處理協(xié)調中心)。由于emergency這個(gè)詞有些不夠明確,因此許多組織都用Incident這個(gè)詞來(lái)取代它,產(chǎn)生了新詞Computer Incident Response Team(CIRT),即計算機事件反應團隊。response這個(gè)詞有時(shí)也用handling來(lái)代替,其含義是response表示緊急行動(dòng),而非長(cháng)期的研究。 <BR><BR><BR>CIDF(Common Intrusion Detection Framework;通用入侵檢測框架) <BR><BR><BR>CIDF力圖在某種程度上將入侵檢測標準化,開(kāi)發(fā)一些協(xié)議和應用程序接口,以使入侵檢測的研究項目之間能夠共享信息和資源,并且入侵檢測組件也能夠在其它系統中再利用。CIDF的URL地址http://www.isi.edu/gost/cidf/。 <BR><BR><BR>CIRT(Computer Incident Response Team,計算機事件響應小組) <BR><BR><BR>CIRT是從CERT演變而來(lái)的,CIRT代表了對安全事件在哲學(xué)認識上的改變。CERT最初是專(zhuān)門(mén)針對特定的計算機緊急情況的,而CIRT中的術(shù)語(yǔ)incident則表明并不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。 <BR><BR><BR>CISL(Common Intrusion Specification Language,通用入侵規范語(yǔ)言) <BR><BR><BR>CISL是CIDF組件間彼此通信的語(yǔ)言。由于CIDF就是對協(xié)議和接口標準化的嘗試,因此CISL就是對入侵檢測研究的語(yǔ)言進(jìn)行標準化的嘗試。 <BR><BR><BR>CVE(Common Vulnerabilities and Exposures,通用漏洞披露) <BR><BR><BR>關(guān)于漏洞的一個(gè)老問(wèn)題就是在設計掃描程序或應對策略時(shí),不同的廠(chǎng)商對漏洞的稱(chēng)謂也會(huì )完全不同。還有,一些產(chǎn)商會(huì )對一個(gè)漏洞定義多種特征并應用到他們的IDS系統中,這樣就給人一種錯覺(jué),好像他們的產(chǎn)品更加有效。MITRE創(chuàng )建了CVE,將漏洞名稱(chēng)進(jìn)行標準化,參與的廠(chǎng)商也就順理成章按照這個(gè)標準開(kāi)發(fā)IDS產(chǎn)品。CVE的URL地址http://cve.mitre.org/。 <BR><BR><BR>Crafting Packets(自定義數據包) <BR><BR><BR>建立自定義數據包,就可以避開(kāi)一些慣用規定的數據包結構,從而制造數據包欺騙,或者使得收到它的計算機不知該如何處理它。制作自定義數據包的一個(gè)可用程序Nemesis,它的URL地址http://jeff.chi.wwti.com/nemesis/。 <BR><BR><BR>Desynchronization(同步失效) <BR><BR><BR>desynchronization這個(gè)術(shù)語(yǔ)本來(lái)是指用序列數逃避IDS的方法。有些IDS可能會(huì )對它本來(lái)期望得到的序列數感到迷惑,從而導致無(wú)法重新構建數據。這一技術(shù)在1998年很流行,現在已經(jīng)過(guò)時(shí)了,有些文章把desynchronization這個(gè)術(shù)語(yǔ)代指其它IDS逃避方法。 <BR></P>
作者: 鞠中山    時(shí)間: 2005-7-28 16:14
Eleet <BR><BR><BR>當黑客編寫(xiě)漏洞開(kāi)發(fā)程序時(shí),他們通常會(huì )留下一個(gè)簽名,其中最聲名狼藉的一個(gè)就是elite。如果將eleet轉換成數字,它就是31337,而當它是指他們的能力時(shí),elite=eleet,表示精英。31337通常被用做一個(gè)端口號或序列號。目前流行的詞是“skillz”。 <BR><BR><BR>Enumeration(列舉) <BR><BR><BR>經(jīng)過(guò)被動(dòng)研究和社會(huì )工程學(xué)的工作后,攻擊者就會(huì )開(kāi)始對網(wǎng)絡(luò )資源進(jìn)行列舉。列舉是指攻擊者主動(dòng)探查一個(gè)網(wǎng)絡(luò )以發(fā)現其中有什么以及哪些可以被他利用。由于現在的行動(dòng)不再是被動(dòng)的,它就有可能被檢測出來(lái)。當然為了避免被檢測到,他們會(huì )盡可能地悄悄進(jìn)行。 <BR><BR><BR>Evasion(躲避) <BR><BR><BR>Evasion是指發(fā)動(dòng)一次攻擊,而又不被IDS成功地檢測到。其中的竅門(mén)就是讓IDS只看到一個(gè)方面,而實(shí)際攻擊的卻是另一個(gè)目標,所謂明修棧道,暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL(有效時(shí)間)值,這樣,經(jīng)過(guò)IDS的信息看起來(lái)好像是無(wú)害的,而在無(wú)害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經(jīng)過(guò)了IDS并接近目標,無(wú)害的部分就會(huì )被丟掉,只剩下有害的。 <BR><BR><BR>Exploits(漏洞利用) <BR><BR><BR>對于每一個(gè)漏洞,都有利用此漏洞進(jìn)行攻擊的機制。為了攻擊系統,攻擊者編寫(xiě)出漏洞利用代碼或教本。 <BR><BR><BR>對每個(gè)漏洞都會(huì )存在利用這個(gè)漏洞執行攻擊的方式,這個(gè)方式就是Exploit。為了攻擊系統,黑客會(huì )編寫(xiě)出漏洞利用程序。 <BR><BR><BR>漏洞利用:Zero Day Exploit(零時(shí)間漏洞利用) <BR><BR><BR>零時(shí)間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用,也就是說(shuō)這種類(lèi)型的漏洞利用當前還沒(méi)有被發(fā)現。一旦一個(gè)漏洞利用被網(wǎng)絡(luò )安全界發(fā)現,很快就會(huì )出現針對它的補丁程序,并在IDS中寫(xiě)入其特征標識信息,使這個(gè)漏洞利用無(wú)效,有效地捕獲它。 <BR><BR><BR>False Negatives(漏報) <BR><BR><BR>漏報是指一個(gè)攻擊事件未被IDS檢測到或被分析人員認為是無(wú)害的。 <BR><BR><BR>False Positives(誤報) <BR><BR><BR>誤報是指實(shí)際無(wú)害的事件卻被IDS檢測為攻擊事件。 <BR><BR><BR>Firewalls(防火墻) <BR><BR><BR>防火墻是網(wǎng)絡(luò )安全的第一道關(guān)卡,雖然它不是IDS,但是防火墻日志可以為IDS提供寶貴信息。防火墻工作的原理是根據規則或標準,如源地址、端口等,將危險連接阻擋在外。 <BR><BR><BR>FIRST(Forum of Incident Response and Security Teams,事件響應和安全團隊論壇) <BR><BR><BR>FIRST是由國際性政府和私人組織聯(lián)合起來(lái)交換信息并協(xié)調響應行動(dòng)的聯(lián)盟,一年一度的FIRST受到高度的重視,它的URL地址http://www.first.org/。 <BR><BR><BR>Fragmentation(分片) <BR><BR><BR>如果一個(gè)信息包太大而無(wú)法裝載,它就不得不被分成片斷。分片的依據是網(wǎng)絡(luò )的MTU(Maximum Transmission Units,最大傳輸單元)。例如,靈牌環(huán)網(wǎng)(token ring)的MTU是4464,以太網(wǎng)(Ethernet)的MTU是1500,因此,如果一個(gè)信息包要從靈牌環(huán)網(wǎng)傳輸到以太網(wǎng),它就要被分裂成一些小的片斷,然后再在目的地重建。雖然這樣處理會(huì )造成效率降低,但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法,另外還有一些DOS攻擊也使用分片技術(shù)。 <BR><BR><BR>Heuristics(啟發(fā)) <BR><BR><BR>Heuristics就是指在入侵檢測中使用AI(artificial intelligence,人工智能)思想。真正使用啟發(fā)理論的IDS已經(jīng)出現大約10年了,但他們還不夠“聰明”,攻擊者可以通過(guò)訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵,這樣的IDS必須要不斷地學(xué)習什么是正常事件。一些產(chǎn)商認為這已經(jīng)是相當“聰明”的IDS了,所以就將它們看做是啟發(fā)式IDS。但實(shí)際上,真正應用AI技術(shù)對輸入數據進(jìn)行分析的IDS還很少很少。 <BR><BR><BR>Honeynet Project(Honeynet工程) <BR><BR><BR>Honeynet是一種學(xué)習工具,是一個(gè)包含安全缺陷的網(wǎng)絡(luò )系統。當它受到安全威脅時(shí),入侵信息就會(huì )被捕獲并接受分析,這樣就可以了解黑客的一些情況。Honeynet是一個(gè)由30余名安全專(zhuān)業(yè)組織成員組成、專(zhuān)門(mén)致力于了解黑客團體使用的工具、策略和動(dòng)機以及共享他們所掌握的知識的項目。他們已經(jīng)建立了一系列的honeypots,提供了看似易受攻擊的Honeynet網(wǎng)絡(luò ),觀(guān)察入侵到這些系統中的黑客,研究黑客的戰術(shù)、動(dòng)機及行為。 <BR><BR><BR>Honeypot(蜜罐) <BR><BR><BR>蜜罐是一個(gè)包含漏洞的系統,它模擬一個(gè)或多個(gè)易受攻擊的主機,給黑客提供一個(gè)容易攻擊的目標。由于蜜罐沒(méi)有其它任務(wù)需要完成,因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個(gè)用途是拖延攻擊者對其真正目標的攻擊,讓攻擊者在蜜罐上浪費時(shí)間。與此同時(shí),最初的攻擊目標受到了保護,真正有價(jià)值的內容將不受侵犯。 <BR><BR><BR>蜜罐最初的目的之一是為起訴惡意黑客搜集證據,這看起來(lái)有“誘捕”的感覺(jué)。但是在一些國家中,是不能利用蜜罐收集證據起訴黑客的。 <BR><BR><BR>IDS Categories(IDS分類(lèi)) <BR><BR><BR>有許多不同類(lèi)型的IDS,以下分別列出: <BR><BR><BR>●IDS分類(lèi)1-Application IDS(應用程序IDS):應用程序IDS為一些特殊的應用程序發(fā)現入侵信號,這些應用程序通常是指那些比較易受攻擊的應用程序,如Web服務(wù)器、數據庫等。有許多原本著(zhù)眼于操作系統的基于主機的IDS,雖然在默認狀態(tài)下并不針對應用程序,但也可以經(jīng)過(guò)訓練,應用于應用程序。例如,KSE(一個(gè)基于主機的IDS)可以告訴我們在事件日志中正在進(jìn)行的一切,包括事件日志報告中有關(guān)應用程序的輸出內容。應用程序IDS的一個(gè)例子是Entercept的Web Server Edition。 <BR><BR><BR>●IDS分類(lèi)2-Consoles IDS(控制臺IDS):為了使IDS適用于協(xié)同環(huán)境,分布式IDS代理需要向中心控制臺報告信息,F在的許多中心控制臺還可以接收其它來(lái)源的數據,如其它產(chǎn)商的IDS、防火墻、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制臺還將它們自己的攻擊特征添加到代理級別的控制臺,并提供遠程管理功能。這種IDS產(chǎn)品有Intellitactics Network Security Monitor和Open Esecurity Platform。 <BR><BR><BR>●IDS分類(lèi)3-File Integrity Checkers(文件完整性檢查器):當一個(gè)系統受到攻擊者的威脅時(shí),它經(jīng)常會(huì )改變某些關(guān)鍵文件來(lái)提供持續的訪(fǎng)問(wèn)和預防檢測。通過(guò)為關(guān)鍵文件附加信息摘要(加密的雜亂信號),就可以定時(shí)地檢查文件,查看它們是否被改變,這樣就在某種程度上提供了保證。一旦檢測到了這樣一個(gè)變化,完整性檢查器就會(huì )發(fā)出一個(gè)警報。而且,當一個(gè)系統已經(jīng)受到攻擊后,系統管理員也可以使用同樣的方法來(lái)確定系統受到危害的程度。以前的文件檢查器在事件發(fā)生好久之后才能將入侵檢測出來(lái),是“事后諸葛亮”,最近出現的許多產(chǎn)品能在文件被訪(fǎng)問(wèn)的同時(shí)就進(jìn)行檢查,可以看做是實(shí)時(shí)IDS產(chǎn)品了。該類(lèi)產(chǎn)品有Tripwire和Intact。 <BR><BR><BR>●IDS分類(lèi)4-Honeypots(蜜罐):關(guān)于蜜罐,前面已經(jīng)介紹過(guò)。蜜罐的例子包括Mantrap和Sting。 <BR><BR><BR>●IDS分類(lèi)5-Host-based IDS(基于主機的IDS):這類(lèi)IDS對多種來(lái)源的系統和事件日志進(jìn)行監控,發(fā)現可疑活動(dòng);谥鳈C的IDS也叫做主機IDS,最適合于檢測那些可以信賴(lài)的內部人員的誤用以及已經(jīng)避開(kāi)了傳統的檢測方法而滲透到網(wǎng)絡(luò )中的活動(dòng)。除了完成類(lèi)似事件日志閱讀器的功能,主機IDS還對“事件/日志/時(shí)間”進(jìn)行簽名分析。許多產(chǎn)品中還包含了啟發(fā)式功能。因為主機IDS幾乎是實(shí)時(shí)工作的,系統的錯誤就可以很快地檢測出來(lái),技術(shù)人員和安全人士都非常喜歡它,F在,基于主機的IDS就是指基于服務(wù)器/工作站主機的所有類(lèi)型的入侵檢測系統。該類(lèi)產(chǎn)品包括Kane Secure Enterprise和Dragon Squire。 <BR><BR><BR>●IDS分類(lèi)6-Hybrid IDS(混合IDS):現代交換網(wǎng)絡(luò )的結構給入侵檢測操作帶來(lái)了一些問(wèn)題。首先,默認狀態(tài)下的交換網(wǎng)絡(luò )不允許網(wǎng)卡以混雜模式工作,這使傳統網(wǎng)絡(luò )IDS的安裝非常困難。其次,很高的網(wǎng)絡(luò )速度意味著(zhù)很多信息包都會(huì )被NIDS所丟棄。Hybrid IDS(混合IDS)正是解決這些問(wèn)題的一個(gè)方案,它將IDS提升了一個(gè)層次,組合了網(wǎng)絡(luò )節點(diǎn)IDS和Host IDS(主機IDS)。雖然這種解決方案覆蓋面極大,但同時(shí)要考慮到由此引起的巨大數據量和費用。許多網(wǎng)絡(luò )只為非常關(guān)鍵的服務(wù)器保留混合IDS。有些產(chǎn)商把完成一種以上任務(wù)的IDS都叫做Hybrid IDS,實(shí)際上這只是為了廣告的效應;旌螴DS產(chǎn)品有CentraxICE和RealSecure Server Sensor。 <BR><BR><BR>●IDS分類(lèi)7-Network IDS(NIDS,網(wǎng)絡(luò )IDS):NIDS對所有流經(jīng)監測代理的網(wǎng)絡(luò )通信量進(jìn)行監控,對可疑的異;顒(dòng)和包含攻擊特征的活動(dòng)作出反應。NIDS原本就是帶有IDS過(guò)濾器的混合信息包嗅探器,但是近來(lái)它們變得更加智能化,可以破譯協(xié)議并維護狀態(tài)。NIDS存在基于應用程序的產(chǎn)品,只需要安裝到主機上就可應用。NIDS對每個(gè)信息包進(jìn)行攻擊特征的分析,但是在網(wǎng)絡(luò )高負載下,還是要丟棄些信息包。網(wǎng)絡(luò )IDS的產(chǎn)品有SecureNetPro和Snort。 <BR><BR><BR>●IDS分類(lèi)8-Network Node IDS(NNIDS,網(wǎng)絡(luò )節點(diǎn)IDS):有些網(wǎng)絡(luò )IDS在高速下是不可靠的,裝載之后它們會(huì )丟棄很高比例的網(wǎng)絡(luò )信息包,而且交換網(wǎng)絡(luò )經(jīng)常會(huì )防礙網(wǎng)絡(luò )IDS看到混合傳送的信息包。NNIDS將NIDS的功能委托給單獨的主機,從而緩解了高速和交換的問(wèn)題。雖然NNIDS與個(gè)人防火墻功能相似,但它們之間還有區別。對于被歸類(lèi)為NNIDS的個(gè)人防火墻,應該對企圖的連接做分析。例如,不像在許多個(gè)人防火墻上發(fā)現的“試圖連接到端口xxx”,一個(gè)NNIDS會(huì )對任何的探測都做特征分析。另外,NNIDS還會(huì )將主機接收到的事件發(fā)送到一個(gè)中心控制臺。NNIDS產(chǎn)品有BlackICE Agent和Tiny CMDS。 <BR><BR><BR>●IDS分類(lèi)9-Personal Firewall(個(gè)人防火墻):個(gè)人防火墻安裝在單獨的系統中,防止不受歡迎的連接,無(wú)論是進(jìn)來(lái)的還是出去的,從而保護主機系統。注意不要將它與NNIDS混淆。個(gè)人防火墻有ZoneAlarm和Sybergen。 <BR><BR><BR>●IDS分類(lèi)10-Target-Based IDS(基于目標的IDS):這是不明確的IDS術(shù)語(yǔ)中的一個(gè),對不同的人有不同的意義?赡艿囊粋(gè)定義是文件完整性檢查器,而另一個(gè)定義則是網(wǎng)絡(luò )IDS,后者所尋找的只是對那些由于易受攻擊而受到保護的網(wǎng)絡(luò )所進(jìn)行的攻擊特征。后面這個(gè)定義的目的是為了提高IDS的速度,因為它不搜尋那些不必要的攻擊。 <BR><BR>
作者: 鞠中山    時(shí)間: 2005-7-28 16:14
IDWG(Intrusion Detection Working Group,入侵檢測工作組) <BR><BR><BR>入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟,這些信息是對于入侵檢測系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協(xié)同工作。 <BR><BR><BR>IDWG的URL地址http://www.ietf.org/html.charters/idwg-charter.html。 <BR><BR><BR>IETF的URL地址http://www.ietf.org/。 <BR><BR><BR>Incident Handling(事件處理) <BR><BR><BR>檢測到一個(gè)入侵只是開(kāi)始。更普遍的情況是,控制臺操作員會(huì )不斷地收到警報,由于根本無(wú)法分出時(shí)間來(lái)親自追蹤每個(gè)潛在事件,操作員會(huì )在感興趣的事件上做出標志以備將來(lái)由事件處理團隊來(lái)調查研究。在最初的反應之后,就需要對事件進(jìn)行處理,也就是諸如調查、辯論和起訴之類(lèi)的事宜。 <BR><BR><BR>Incident Response(事件響應) <BR><BR><BR>對檢測出的潛在事件的最初反應,隨后對這些事件要根據事件處理的程序進(jìn)行處理。 <BR><BR><BR>Islanding(孤島) <BR><BR><BR>孤島就是把網(wǎng)絡(luò )從Internet上完全切斷,這幾乎是最后一招了,沒(méi)有辦法的辦法。一個(gè)組織只有在大規模的病毒爆發(fā)或受到非常明顯的安全攻擊時(shí)才使用這一手段。 <BR><BR><BR>romiscuous(混雜模式) <BR><BR><BR>默認狀態(tài)下,IDS網(wǎng)絡(luò )接口只能看到進(jìn)出主機的信息,也就是所謂的non-promiscuous(非混雜模式)。如果網(wǎng)絡(luò )接口是混雜模式,就可以看到網(wǎng)段中所有的網(wǎng)絡(luò )通信量,不管其來(lái)源或目的地。這對于網(wǎng)絡(luò )IDS是必要的,但同時(shí)可能被信息包嗅探器所利用來(lái)監控網(wǎng)絡(luò )通信量。交換型HUB可以解決這個(gè)問(wèn)題,在能看到全面通信量的地方,會(huì )都許多跨越(span)端口。 <BR><BR><BR>Routers(路由器) <BR><BR><BR>路由器是用來(lái)連接不同子網(wǎng)的中樞,它們工作于OSI 7層模型的傳輸層和網(wǎng)絡(luò )層。路由器的基本功能就是將網(wǎng)絡(luò )信息包傳輸到它們的目的地。一些路由器還有訪(fǎng)問(wèn)控制列表(ACLs),允許將不想要的信息包過(guò)濾出去。許多路由器都可以將它們的日志信息注入到IDS系統中,提供有關(guān)被阻擋的訪(fǎng)問(wèn)網(wǎng)絡(luò )企圖的寶貴信息。 <BR><BR><BR>Scanners(掃描器) <BR><BR><BR>掃描器是自動(dòng)化的工具,它掃描網(wǎng)絡(luò )和主機的漏洞。同入侵檢測系統一樣,它們也分為很多種,以下分別描述。 <BR><BR><BR>●掃描器種類(lèi)1-Network Scanners(網(wǎng)絡(luò )掃描器):網(wǎng)絡(luò )掃描器在網(wǎng)絡(luò )上搜索以找到網(wǎng)絡(luò )上所有的主機。傳統上它們使用的是ICMP ping技術(shù),但是這種方法很容易被檢測出來(lái)。為了變得隱蔽,出現了一些新技術(shù),例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個(gè)好處是:不同的操作系統對這些掃描會(huì )有不同的反應,從而為攻擊者提供了更多有價(jià)值的信息。這種工具的一個(gè)例子是nmap。 <BR><BR><BR>●掃描器種類(lèi)2-Network Vulnerability Scanners(網(wǎng)絡(luò )漏洞掃描器):網(wǎng)絡(luò )漏洞掃描器將網(wǎng)絡(luò )掃描器向前發(fā)展了一步,它能檢測目標主機,并突出一切可以為黑客利用的漏洞。網(wǎng)絡(luò )漏洞掃描器可以為攻擊者和安全專(zhuān)家使用,但會(huì )經(jīng)常讓IDS系統“緊張”。該類(lèi)產(chǎn)品有Retina和CyberCop。 <BR><BR><BR>●掃描器種類(lèi)3-Host Vulnerability Scanners(主機漏洞掃描器):這類(lèi)工具就像個(gè)有特權的用戶(hù),從內部掃描主機,檢測口令強度、安全策略以及文件許可等內容。網(wǎng)絡(luò )IDS,特別是主機IDS可以將它檢測出來(lái)。該類(lèi)產(chǎn)品有SecurityExpressions,它是一個(gè)遠程Windows漏洞掃描器,并且能自動(dòng)修復漏洞。還有如ISS數據庫掃描器,會(huì )掃描數據庫中的漏洞。 <BR><BR><BR>Script Kiddies(腳本小子) <BR><BR><BR>有些受到大肆宣揚的Internet安全破壞,如2000年2月份對Yahoo的拒絕服務(wù)攻擊,是一些十來(lái)歲的中學(xué)生干的,他們干這些壞事的目的好象是為了揚名。安全專(zhuān)家通常把這些人稱(chēng)為腳本小子(Script Kiddies)。腳本小子通常都是一些自發(fā)的、不太熟練的cracker,他們使用從Internet 上下載的信息、軟件或腳本對目標站點(diǎn)進(jìn)行破壞。黑客組織或法律實(shí)施權威機構都對這些腳本小孩表示輕蔑,因為他們通常都技術(shù)不熟練,手上有大把時(shí)間可以來(lái)搞破壞,他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著(zhù)搶的小孩,他們不需要懂得彈道理論,也不必能夠制造槍支,就能成為強大的敵人。因此,無(wú)論何時(shí)都不能低估他們的實(shí)力。 <BR><BR><BR>Shunning(躲避) <BR><BR><BR>躲避是指配置邊界設備以拒絕所有不受歡迎的信息包,有些躲避甚至會(huì )拒絕來(lái)自某些國家所有IP地址的信息包。 <BR><BR><BR>Signatures(特征) <BR><BR><BR>IDS的核心是攻擊特征,它使IDS在事件發(fā)生時(shí)觸發(fā)。特征信息過(guò)短會(huì )經(jīng)常觸發(fā)IDS,導致誤報或錯報,過(guò)長(cháng)則會(huì )減慢IDS的工作速度。有人將IDS所支持的特征數視為IDS好壞的標準,但是有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊,而有些產(chǎn)商則會(huì )將這些特征單獨列出,這就會(huì )給人一種印象,好像它包含了更多的特征,是更好的IDS。大家一定要清楚這些。 <BR><BR><BR>Stealth(隱藏) <BR><BR><BR>隱藏是指IDS在檢測攻擊時(shí)不為外界所見(jiàn),它們經(jīng)常在DMZ以外使用,沒(méi)有被防火墻保護。它有些缺點(diǎn),如自動(dòng)響應。<BR>




歡迎光臨 91手機維修論壇 (http://www.jstransmit.com/) Powered by Discuz! X3.4
光泽县| 唐海县| 凉城县| 花莲市| 长泰县| 兴文县| 噶尔县| 绥阳县| 隆回县| 桐城市| 桓仁| 丰城市| 武威市| 南雄市| 环江| 和龙市| 思茅市| 收藏| 称多县| 筠连县| 巴东县| 大庆市| 和田县| 光山县| 报价| 天台县| 永寿县| 肥西县| 东安县| 罗城| 宕昌县| 凉山| 乐至县| 蒲江县| 沙洋县| 寿光市| 安徽省| 侯马市| 确山县| 师宗县| 西昌市|