入侵檢測術(shù)語(yǔ)全接觸

<>入侵檢測術(shù)語(yǔ)全接觸<BR><BR>隨著(zhù)IDS（入侵檢測系統）的超速發(fā)展，與之相關(guān)的術(shù)語(yǔ)同樣急劇演變。本文向大家介紹一些IDS技術(shù)術(shù)語(yǔ)，其中一些是非�；�本并相對通用的，而另一些則有些生僻。由于IDS的飛速發(fā)展以及一些IDS產(chǎn)商的市場(chǎng)影響力，不同的產(chǎn)商可能會(huì )用同一個(gè)術(shù)語(yǔ)表示不同的意義，從而導致某些術(shù)語(yǔ)的確切意義出現了混亂。對此，本文會(huì )試圖將所有的術(shù)語(yǔ)都囊括進(jìn)來(lái)。 <BR><BR>Alerts（警報） <BR><BR><BR>當一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)，IDS系統將發(fā)布一個(gè)alert信息通知系統管理員。如果控制臺與IDS系統同在一臺機器，alert信息將顯示在監視器上，也可能伴隨著(zhù)聲音提示。如果是遠程控制臺，那么alert將通過(guò)IDS系統內置方法（通常是加密的）、SNMP（簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議，通常不加密）、email、SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員。 <BR><BR><BR>Anomaly（異常） <BR><BR><BR>當有某個(gè)事件與一個(gè)已知攻擊的信號相匹配時(shí)，多數IDS都會(huì )告警。一個(gè)基于anomaly（異常）的IDS會(huì )構造一個(gè)當時(shí)活動(dòng)的主機或網(wǎng)絡(luò )的大致輪廓，當有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí)，IDS就會(huì )告警，例如有人做了以前他沒(méi)有做過(guò)的事情的時(shí)候，例如，一個(gè)用戶(hù)突然獲取了管理員或根目錄的權限。有些IDS廠(chǎng)商將此方法看做啟發(fā)式功能，但一個(gè)啟發(fā)式的IDS應該在其推理判斷方面具有更多的智能。 <BR><BR><BR>Appliance（IDS硬件） <BR><BR><BR>除了那些要安裝到現有系統上去的IDS軟件外，在市場(chǎng)的貨架上還可以買(mǎi)到一些現成的IDS硬件，只需將它們接入網(wǎng)絡(luò )中就可以應用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 <BR><BR><BR>ArachNIDS <BR><BR><BR>ArachNIDS是由Max Visi開(kāi)發(fā)的一個(gè)攻擊特征數據庫，它是動(dòng)態(tài)更新的，適用于多種基于網(wǎng)絡(luò )的入侵檢測系統，它的URL地http://www.whitehats.com/ids/。 <BR><BR><BR>ARIS：Attack Registry &amp; Intelligence Service（攻擊事件注冊及智能服務(wù)） <BR><BR><BR>ARIS是SecurityFocus公司提供的一個(gè)附加服務(wù)，它允許用戶(hù)以網(wǎng)絡(luò )匿名方式連接到Internet上向SecurityFocus報送網(wǎng)絡(luò )安全事件，隨后SecurityFocus會(huì )將這些數據與許多其它參與者的數據結合起來(lái)，最終形成詳細的網(wǎng)絡(luò )安全統計分析及趨勢預測，發(fā)布在網(wǎng)絡(luò )上。它的URL地http://aris.securityfocus.com/。 <BR><BR><BR>Attacks（攻擊） <BR><BR><BR>Attacks可以理解為試圖滲透系統或繞過(guò)系統的安全策略，以獲取信息、修改信息以及破壞目標網(wǎng)絡(luò )或系統功能的行為。以下列出IDS能夠檢測出的最常見(jiàn)的Internet攻擊類(lèi)型： <BR><BR><BR>●攻擊類(lèi)型1－DOS（Denial Of Service attack，拒絕服務(wù)攻擊）：DOS攻擊不是通過(guò)黑客手段破壞一個(gè)系統的安全，它只是使系統癱瘓，使系統拒絕向其用戶(hù)提供服務(wù)。其種類(lèi)包括緩沖區溢出、通過(guò)洪流（flooding）耗盡系統資源等等。 <BR><BR><BR>●攻擊類(lèi)型2－DDOS（Distributed Denial of Service，分布式拒絕服務(wù)攻擊）：一個(gè)標準的DOS攻擊使用大量來(lái)自一個(gè)主機的數據向一個(gè)遠程主機發(fā)動(dòng)攻擊，卻無(wú)法發(fā)出足夠的信息包來(lái)達到理想的結果，因此就產(chǎn)生了DDOS，即從多個(gè)分散的主機一個(gè)目標發(fā)動(dòng)攻擊，耗盡遠程系統的資源，或者使其連接失效。 <BR><BR><BR>●攻擊類(lèi)型3－Smurf：這是一種老式的攻擊，但目前還時(shí)有發(fā)生，攻擊者使用攻擊目標的偽裝源地址向一個(gè)smurf放大器廣播地址執行ping操作，然后所有活動(dòng)主機都會(huì )向該目標應答，從而中斷網(wǎng)絡(luò )連接。以下是10大smurf放大器的參考資料URhttp://www.powertech.no/smurf/。 <BR><BR><BR>●攻擊類(lèi)型4－Trojans（特洛伊木馬）：Trojan這個(gè)術(shù)語(yǔ)來(lái)源于古代希臘人攻擊特洛伊人使用的木馬，木馬中藏有希臘士兵，當木馬運到城里，士兵就涌出木馬向這個(gè)城市及其居民發(fā)起攻擊。在計算機術(shù)語(yǔ)中，它原本是指那些以合法程序的形式出現，其實(shí)包藏了惡意軟件的那些軟件。這樣，當用戶(hù)運行合法程序時(shí)，在不知情的情況下，惡意軟件就被安裝了。但是由于多數以這種形式安裝的惡意程序都是遠程控制工具，Trojan這個(gè)術(shù)語(yǔ)很快就演變?yōu)閷?zhuān)指這類(lèi)工具，例如BackOrifice、SubSeven、NetBus等等。 <BR><BR><BR>Automated Response（自動(dòng)響應） <BR><BR><BR>除了對攻擊發(fā)出警報，有些IDS還能自動(dòng)抵御這些攻擊。抵御方式有很多：首先，可以通過(guò)重新配置路由器和防火墻，拒絕那些來(lái)自同一地址的信息流；其次，通過(guò)在網(wǎng)絡(luò )上發(fā)送reset包切斷連接。但是這兩種方式都有問(wèn)題，攻擊者可以反過(guò)來(lái)利用重新配置的設備，其方法是：通過(guò)偽裝成一個(gè)友方的地址來(lái)發(fā)動(dòng)攻擊，然后IDS就會(huì )配置路由器和防火墻來(lái)拒絕這些地址，這樣實(shí)際上就是對“自己人”拒絕服務(wù)了。發(fā)送reset包的方法要求有一個(gè)活動(dòng)的網(wǎng)絡(luò )接口，這樣它將置于攻擊之下，一個(gè)補救的辦法是：使活動(dòng)網(wǎng)絡(luò )接口位于防火墻內，或者使用專(zhuān)門(mén)的發(fā)包程序，從而避開(kāi)標準IP棧需求。 <BR><BR><BR>CERT（Computer Emergency Response Team，計算機應急響應小組） <BR><BR><BR>這個(gè)術(shù)語(yǔ)是由第一支計算機應急反映小組選擇的，這支團隊建立在Carnegie Mellon大學(xué)，他們對計算機安全方面的事件做出反應、采取行動(dòng)�，F在許多組織都有了CERT，比如CNCERT/CC（中國計算機網(wǎng)絡(luò )應急處理協(xié)調中心）。由于emergency這個(gè)詞有些不夠明確，因此許多組織都用Incident這個(gè)詞來(lái)取代它，產(chǎn)生了新詞Computer Incident Response Team（CIRT），即計算機事件反應團隊。response這個(gè)詞有時(shí)也用handling來(lái)代替，其含義是response表示緊急行動(dòng)，而非長(cháng)期的研究。 <BR><BR><BR>CIDF（Common Intrusion Detection Framework；通用入侵檢測框架） <BR><BR><BR>CIDF力圖在某種程度上將入侵檢測標準化，開(kāi)發(fā)一些協(xié)議和應用程序接口，以使入侵檢測的研究項目之間能夠共享信息和資源，并且入侵檢測組件也能夠在其它系統中再利用。CIDF的URL地址http://www.isi.edu/gost/cidf/。 <BR><BR><BR>CIRT（Computer Incident Response Team，計算機事件響應小組） <BR><BR><BR>CIRT是從CERT演變而來(lái)的，CIRT代表了對安全事件在哲學(xué)認識上的改變。CERT最初是專(zhuān)門(mén)針對特定的計算機緊急情況的，而CIRT中的術(shù)語(yǔ)incident則表明并不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。 <BR><BR><BR>CISL（Common Intrusion Specification Language，通用入侵規范語(yǔ)言） <BR><BR><BR>CISL是CIDF組件間彼此通信的語(yǔ)言。由于CIDF就是對協(xié)議和接口標準化的嘗試，因此CISL就是對入侵檢測研究的語(yǔ)言進(jìn)行標準化的嘗試。 <BR><BR><BR>CVE（Common Vulnerabilities and Exposures，通用漏洞披露） <BR><BR><BR>關(guān)于漏洞的一個(gè)老問(wèn)題就是在設計掃描程序或應對策略時(shí)，不同的廠(chǎng)商對漏洞的稱(chēng)謂也會(huì )完全不同。還有，一些產(chǎn)商會(huì )對一個(gè)漏洞定義多種特征并應用到他們的IDS系統中，這樣就給人一種錯覺(jué)，好像他們的產(chǎn)品更加有效。MITRE創(chuàng )建了CVE，將漏洞名稱(chēng)進(jìn)行標準化，參與的廠(chǎng)商也就順理成章按照這個(gè)標準開(kāi)發(fā)IDS產(chǎn)品。CVE的URL地址http://cve.mitre.org/。 <BR><BR><BR>Crafting Packets（自定義數據包） <BR><BR><BR>建立自定義數據包，就可以避開(kāi)一些慣用規定的數據包結構，從而制造數據包欺騙，或者使得收到它的計算機不知該如何處理它。制作自定義數據包的一個(gè)可用程序Nemesis，它的URL地址http://jeff.chi.wwti.com/nemesis/。 <BR><BR><BR>Desynchronization（同步失效） <BR><BR><BR>desynchronization這個(gè)術(shù)語(yǔ)本來(lái)是指用序列數逃避IDS的方法。有些IDS可能會(huì )對它本來(lái)期望得到的序列數感到迷惑，從而導致無(wú)法重新構建數據。這一技術(shù)在1998年很流行，現在已經(jīng)過(guò)時(shí)了，有些文章把desynchronization這個(gè)術(shù)語(yǔ)代指其它IDS逃避方法。 <BR></P>

Eleet <BR><BR><BR>當黑客編寫(xiě)漏洞開(kāi)發(fā)程序時(shí)，他們通常會(huì )留下一個(gè)簽名，其中最聲名狼藉的一個(gè)就是elite。如果將eleet轉換成數字，它就是31337，而當它是指他們的能力時(shí)，elite=eleet，表示精英。31337通常被用做一個(gè)端口號或序列號。目前流行的詞是“skillz”。 <BR><BR><BR>Enumeration（列舉） <BR><BR><BR>經(jīng)過(guò)被動(dòng)研究和社會(huì )工程學(xué)的工作后，攻擊者就會(huì )開(kāi)始對網(wǎng)絡(luò )資源進(jìn)行列舉。列舉是指攻擊者主動(dòng)探查一個(gè)網(wǎng)絡(luò )以發(fā)現其中有什么以及哪些可以被他利用。由于現在的行動(dòng)不再是被動(dòng)的，它就有可能被檢測出來(lái)。當然為了避免被檢測到，他們會(huì )盡可能地悄悄進(jìn)行。 <BR><BR><BR>Evasion（躲避） <BR><BR><BR>Evasion是指發(fā)動(dòng)一次攻擊，而又不被IDS成功地檢測到。其中的竅門(mén)就是讓IDS只看到一個(gè)方面，而實(shí)際攻擊的卻是另一個(gè)目標，所謂明修棧道，暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL（有效時(shí)間）值，這樣，經(jīng)過(guò)IDS的信息看起來(lái)好像是無(wú)害的，而在無(wú)害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經(jīng)過(guò)了IDS并接近目標，無(wú)害的部分就會(huì )被丟掉，只剩下有害的。 <BR><BR><BR>Exploits（漏洞利用） <BR><BR><BR>對于每一個(gè)漏洞，都有利用此漏洞進(jìn)行攻擊的機制。為了攻擊系統，攻擊者編寫(xiě)出漏洞利用代碼或教本。 <BR><BR><BR>對每個(gè)漏洞都會(huì )存在利用這個(gè)漏洞執行攻擊的方式，這個(gè)方式就是Exploit。為了攻擊系統，黑客會(huì )編寫(xiě)出漏洞利用程序。 <BR><BR><BR>漏洞利用：Zero Day Exploit（零時(shí)間漏洞利用） <BR><BR><BR>零時(shí)間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用，也就是說(shuō)這種類(lèi)型的漏洞利用當前還沒(méi)有被發(fā)現。一旦一個(gè)漏洞利用被網(wǎng)絡(luò )安全界發(fā)現，很快就會(huì )出現針對它的補丁程序，并在IDS中寫(xiě)入其特征標識信息，使這個(gè)漏洞利用無(wú)效，有效地捕獲它。 <BR><BR><BR>False Negatives（漏報） <BR><BR><BR>漏報是指一個(gè)攻擊事件未被IDS檢測到或被分析人員認為是無(wú)害的。 <BR><BR><BR>False Positives（誤報） <BR><BR><BR>誤報是指實(shí)際無(wú)害的事件卻被IDS檢測為攻擊事件。 <BR><BR><BR>Firewalls（防火墻） <BR><BR><BR>防火墻是網(wǎng)絡(luò )安全的第一道關(guān)卡，雖然它不是IDS，但是防火墻日志可以為IDS提供寶貴信息。防火墻工作的原理是根據規則或標準，如源地址、端口等，將危險連接阻擋在外。 <BR><BR><BR>FIRST（Forum of Incident Response and Security Teams，事件響應和安全團隊論壇） <BR><BR><BR>FIRST是由國際性政府和私人組織聯(lián)合起來(lái)交換信息并協(xié)調響應行動(dòng)的聯(lián)盟，一年一度的FIRST受到高度的重視，它的URL地址http://www.first.org/。 <BR><BR><BR>Fragmentation（分片） <BR><BR><BR>如果一個(gè)信息包太大而無(wú)法裝載，它就不得不被分成片斷。分片的依據是網(wǎng)絡(luò )的MTU（Maximum Transmission Units，最大傳輸單元）。例如，靈牌環(huán)網(wǎng)（token ring）的MTU是4464，以太網(wǎng)（Ethernet）的MTU是1500，因此，如果一個(gè)信息包要從靈牌環(huán)網(wǎng)傳輸到以太網(wǎng)，它就要被分裂成一些小的片斷，然后再在目的地重建。雖然這樣處理會(huì )造成效率降低，但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法，另外還有一些DOS攻擊也使用分片技術(shù)。 <BR><BR><BR>Heuristics（啟發(fā)） <BR><BR><BR>Heuristics就是指在入侵檢測中使用AI（artificial intelligence，人工智能）思想。真正使用啟發(fā)理論的IDS已經(jīng)出現大約10年了，但他們還不夠“聰明”，攻擊者可以通過(guò)訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵，這樣的IDS必須要不斷地學(xué)習什么是正常事件。一些產(chǎn)商認為這已經(jīng)是相當“聰明”的IDS了，所以就將它們看做是啟發(fā)式IDS。但實(shí)際上，真正應用AI技術(shù)對輸入數據進(jìn)行分析的IDS還很少很少。 <BR><BR><BR>Honeynet Project（Honeynet工程） <BR><BR><BR>Honeynet是一種學(xué)習工具，是一個(gè)包含安全缺陷的網(wǎng)絡(luò )系統。當它受到安全威脅時(shí)，入侵信息就會(huì )被捕獲并接受分析，這樣就可以了解黑客的一些情況。Honeynet是一個(gè)由30余名安全專(zhuān)業(yè)組織成員組成、專(zhuān)門(mén)致力于了解黑客團體使用的工具、策略和動(dòng)機以及共享他們所掌握的知識的項目。他們已經(jīng)建立了一系列的honeypots，提供了看似易受攻擊的Honeynet網(wǎng)絡(luò )，觀(guān)察入侵到這些系統中的黑客，研究黑客的戰術(shù)、動(dòng)機及行為。 <BR><BR><BR>Honeypot（蜜罐） <BR><BR><BR>蜜罐是一個(gè)包含漏洞的系統，它模擬一個(gè)或多個(gè)易受攻擊的主機，給黑客提供一個(gè)容易攻擊的目標。由于蜜罐沒(méi)有其它任務(wù)需要完成，因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個(gè)用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時(shí)間。與此同時(shí)，最初的攻擊目標受到了保護，真正有價(jià)值的內容將不受侵犯。 <BR><BR><BR>蜜罐最初的目的之一是為起訴惡意黑客搜集證據，這看起來(lái)有“誘捕”的感覺(jué)。但是在一些國家中，是不能利用蜜罐收集證據起訴黑客的。 <BR><BR><BR>IDS Categories（IDS分類(lèi)） <BR><BR><BR>有許多不同類(lèi)型的IDS，以下分別列出： <BR><BR><BR>●IDS分類(lèi)1－Application IDS（應用程序IDS）：應用程序IDS為一些特殊的應用程序發(fā)現入侵信號，這些應用程序通常是指那些比較易受攻擊的應用程序，如Web服務(wù)器、數據庫等。有許多原本著(zhù)眼于操作系統的基于主機的IDS，雖然在默認狀態(tài)下并不針對應用程序，但也可以經(jīng)過(guò)訓練，應用于應用程序。例如，KSE（一個(gè)基于主機的IDS）可以告訴我們在事件日志中正在進(jìn)行的一切，包括事件日志報告中有關(guān)應用程序的輸出內容。應用程序IDS的一個(gè)例子是Entercept的Web Server Edition。 <BR><BR><BR>●IDS分類(lèi)2－Consoles IDS（控制臺IDS）：為了使IDS適用于協(xié)同環(huán)境，分布式IDS代理需要向中心控制臺報告信息�，F在的許多中心控制臺還可以接收其它來(lái)源的數據，如其它產(chǎn)商的IDS、防火墻、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制臺還將它們自己的攻擊特征添加到代理級別的控制臺，并提供遠程管理功能。這種IDS產(chǎn)品有Intellitactics Network Security Monitor和Open Esecurity Platform。 <BR><BR><BR>●IDS分類(lèi)3－File Integrity Checkers（文件完整性檢查器）：當一個(gè)系統受到攻擊者的威脅時(shí)，它經(jīng)常會(huì )改變某些關(guān)鍵文件來(lái)提供持續的訪(fǎng)問(wèn)和預防檢測。通過(guò)為關(guān)鍵文件附加信息摘要（加密的雜亂信號），就可以定時(shí)地檢查文件，查看它們是否被改變，這樣就在某種程度上提供了保證。一旦檢測到了這樣一個(gè)變化，完整性檢查器就會(huì )發(fā)出一個(gè)警報。而且，當一個(gè)系統已經(jīng)受到攻擊后，系統管理員也可以使用同樣的方法來(lái)確定系統受到危害的程度。以前的文件檢查器在事件發(fā)生好久之后才能將入侵檢測出來(lái)，是“事后諸葛亮”，最近出現的許多產(chǎn)品能在文件被訪(fǎng)問(wèn)的同時(shí)就進(jìn)行檢查，可以看做是實(shí)時(shí)IDS產(chǎn)品了。該類(lèi)產(chǎn)品有Tripwire和Intact。 <BR><BR><BR>●IDS分類(lèi)4－Honeypots（蜜罐）：關(guān)于蜜罐，前面已經(jīng)介紹過(guò)。蜜罐的例子包括Mantrap和Sting。 <BR><BR><BR>●IDS分類(lèi)5－Host-based IDS（基于主機的IDS）：這類(lèi)IDS對多種來(lái)源的系統和事件日志進(jìn)行監控，發(fā)現可疑活動(dòng)�；�于主機的IDS也叫做主機IDS，最適合于檢測那些可以信賴(lài)的內部人員的誤用以及已經(jīng)避開(kāi)了傳統的檢測方法而滲透到網(wǎng)絡(luò )中的活動(dòng)。除了完成類(lèi)似事件日志閱讀器的功能，主機IDS還對“事件/日志/時(shí)間”進(jìn)行簽名分析。許多產(chǎn)品中還包含了啟發(fā)式功能。因為主機IDS幾乎是實(shí)時(shí)工作的，系統的錯誤就可以很快地檢測出來(lái)，技術(shù)人員和安全人士都非常喜歡它�，F在，基于主機的IDS就是指基于服務(wù)器/工作站主機的所有類(lèi)型的入侵檢測系統。該類(lèi)產(chǎn)品包括Kane Secure Enterprise和Dragon Squire。 <BR><BR><BR>●IDS分類(lèi)6－Hybrid IDS（混合IDS）：現代交換網(wǎng)絡(luò )的結構給入侵檢測操作帶來(lái)了一些問(wèn)題。首先，默認狀態(tài)下的交換網(wǎng)絡(luò )不允許網(wǎng)卡以混雜模式工作，這使傳統網(wǎng)絡(luò )IDS的安裝非常困難。其次，很高的網(wǎng)絡(luò )速度意味著(zhù)很多信息包都會(huì )被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問(wèn)題的一個(gè)方案，它將IDS提升了一個(gè)層次，組合了網(wǎng)絡(luò )節點(diǎn)IDS和Host IDS（主機IDS）。雖然這種解決方案覆蓋面極大，但同時(shí)要考慮到由此引起的巨大數據量和費用。許多網(wǎng)絡(luò )只為非常關(guān)鍵的服務(wù)器保留混合IDS。有些產(chǎn)商把完成一種以上任務(wù)的IDS都叫做Hybrid IDS，實(shí)際上這只是為了廣告的效應�；旌螴DS產(chǎn)品有CentraxICE和RealSecure Server Sensor。 <BR><BR><BR>●IDS分類(lèi)7－Network IDS（NIDS，網(wǎng)絡(luò )IDS）：NIDS對所有流經(jīng)監測代理的網(wǎng)絡(luò )通信量進(jìn)行監控，對可疑的異�；顒�(dòng)和包含攻擊特征的活動(dòng)作出反應。NIDS原本就是帶有IDS過(guò)濾器的混合信息包嗅探器，但是近來(lái)它們變得更加智能化，可以破譯協(xié)議并維護狀態(tài)。NIDS存在基于應用程序的產(chǎn)品，只需要安裝到主機上就可應用。NIDS對每個(gè)信息包進(jìn)行攻擊特征的分析，但是在網(wǎng)絡(luò )高負載下，還是要丟棄些信息包。網(wǎng)絡(luò )IDS的產(chǎn)品有SecureNetPro和Snort。 <BR><BR><BR>●IDS分類(lèi)8－Network Node IDS（NNIDS，網(wǎng)絡(luò )節點(diǎn)IDS）：有些網(wǎng)絡(luò )IDS在高速下是不可靠的，裝載之后它們會(huì )丟棄很高比例的網(wǎng)絡(luò )信息包，而且交換網(wǎng)絡(luò )經(jīng)常會(huì )防礙網(wǎng)絡(luò )IDS看到混合傳送的信息包。NNIDS將NIDS的功能委托給單獨的主機，從而緩解了高速和交換的問(wèn)題。雖然NNIDS與個(gè)人防火墻功能相似，但它們之間還有區別。對于被歸類(lèi)為NNIDS的個(gè)人防火墻，應該對企圖的連接做分析。例如，不像在許多個(gè)人防火墻上發(fā)現的“試圖連接到端口xxx”，一個(gè)NNIDS會(huì )對任何的探測都做特征分析。另外，NNIDS還會(huì )將主機接收到的事件發(fā)送到一個(gè)中心控制臺。NNIDS產(chǎn)品有BlackICE Agent和Tiny CMDS。 <BR><BR><BR>●IDS分類(lèi)9－Personal Firewall（個(gè)人防火墻）：個(gè)人防火墻安裝在單獨的系統中，防止不受歡迎的連接，無(wú)論是進(jìn)來(lái)的還是出去的，從而保護主機系統。注意不要將它與NNIDS混淆。個(gè)人防火墻有ZoneAlarm和Sybergen。 <BR><BR><BR>●IDS分類(lèi)10－Target-Based IDS（基于目標的IDS）：這是不明確的IDS術(shù)語(yǔ)中的一個(gè)，對不同的人有不同的意義�？赡艿囊粋�(gè)定義是文件完整性檢查器，而另一個(gè)定義則是網(wǎng)絡(luò )IDS，后者所尋找的只是對那些由于易受攻擊而受到保護的網(wǎng)絡(luò )所進(jìn)行的攻擊特征。后面這個(gè)定義的目的是為了提高IDS的速度，因為它不搜尋那些不必要的攻擊。 <BR><BR>

IDWG（Intrusion Detection Working Group，入侵檢測工作組） <BR><BR><BR>入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟，這些信息是對于入侵檢測系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協(xié)同工作。 <BR><BR><BR>IDWG的URL地址http://www.ietf.org/html.charters/idwg-charter.html。 <BR><BR><BR>IETF的URL地址http://www.ietf.org/。 <BR><BR><BR>Incident Handling（事件處理） <BR><BR><BR>檢測到一個(gè)入侵只是開(kāi)始。更普遍的情況是，控制臺操作員會(huì )不斷地收到警報，由于根本無(wú)法分出時(shí)間來(lái)親自追蹤每個(gè)潛在事件，操作員會(huì )在感興趣的事件上做出標志以備將來(lái)由事件處理團隊來(lái)調查研究。在最初的反應之后，就需要對事件進(jìn)行處理，也就是諸如調查、辯論和起訴之類(lèi)的事宜。 <BR><BR><BR>Incident Response（事件響應） <BR><BR><BR>對檢測出的潛在事件的最初反應，隨后對這些事件要根據事件處理的程序進(jìn)行處理。 <BR><BR><BR>Islanding（孤島） <BR><BR><BR>孤島就是把網(wǎng)絡(luò )從Internet上完全切斷，這幾乎是最后一招了，沒(méi)有辦法的辦法。一個(gè)組織只有在大規模的病毒爆發(fā)或受到非常明顯的安全攻擊時(shí)才使用這一手段。 <BR><BR><BR>romiscuous（混雜模式） <BR><BR><BR>默認狀態(tài)下，IDS網(wǎng)絡(luò )接口只能看到進(jìn)出主機的信息，也就是所謂的non-promiscuous（非混雜模式）。如果網(wǎng)絡(luò )接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò )通信量，不管其來(lái)源或目的地。這對于網(wǎng)絡(luò )IDS是必要的，但同時(shí)可能被信息包嗅探器所利用來(lái)監控網(wǎng)絡(luò )通信量。交換型HUB可以解決這個(gè)問(wèn)題，在能看到全面通信量的地方，會(huì )都許多跨越（span）端口。 <BR><BR><BR>Routers（路由器） <BR><BR><BR>路由器是用來(lái)連接不同子網(wǎng)的中樞，它們工作于OSI 7層模型的傳輸層和網(wǎng)絡(luò )層。路由器的基本功能就是將網(wǎng)絡(luò )信息包傳輸到它們的目的地。一些路由器還有訪(fǎng)問(wèn)控制列表（ACLs），允許將不想要的信息包過(guò)濾出去。許多路由器都可以將它們的日志信息注入到IDS系統中，提供有關(guān)被阻擋的訪(fǎng)問(wèn)網(wǎng)絡(luò )企圖的寶貴信息。 <BR><BR><BR>Scanners（掃描器） <BR><BR><BR>掃描器是自動(dòng)化的工具，它掃描網(wǎng)絡(luò )和主機的漏洞。同入侵檢測系統一樣，它們也分為很多種，以下分別描述。 <BR><BR><BR>●掃描器種類(lèi)1－Network Scanners（網(wǎng)絡(luò )掃描器）：網(wǎng)絡(luò )掃描器在網(wǎng)絡(luò )上搜索以找到網(wǎng)絡(luò )上所有的主機。傳統上它們使用的是ICMP ping技術(shù)，但是這種方法很容易被檢測出來(lái)。為了變得隱蔽，出現了一些新技術(shù)，例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個(gè)好處是：不同的操作系統對這些掃描會(huì )有不同的反應，從而為攻擊者提供了更多有價(jià)值的信息。這種工具的一個(gè)例子是nmap。 <BR><BR><BR>●掃描器種類(lèi)2－Network Vulnerability Scanners（網(wǎng)絡(luò )漏洞掃描器）：網(wǎng)絡(luò )漏洞掃描器將網(wǎng)絡(luò )掃描器向前發(fā)展了一步，它能檢測目標主機，并突出一切可以為黑客利用的漏洞。網(wǎng)絡(luò )漏洞掃描器可以為攻擊者和安全專(zhuān)家使用，但會(huì )經(jīng)常讓IDS系統“緊張”。該類(lèi)產(chǎn)品有Retina和CyberCop。 <BR><BR><BR>●掃描器種類(lèi)3－Host Vulnerability Scanners（主機漏洞掃描器）：這類(lèi)工具就像個(gè)有特權的用戶(hù)，從內部掃描主機，檢測口令強度、安全策略以及文件許可等內容。網(wǎng)絡(luò )IDS，特別是主機IDS可以將它檢測出來(lái)。該類(lèi)產(chǎn)品有SecurityExpressions，它是一個(gè)遠程Windows漏洞掃描器，并且能自動(dòng)修復漏洞。還有如ISS數據庫掃描器，會(huì )掃描數據庫中的漏洞。 <BR><BR><BR>Script Kiddies（腳本小子） <BR><BR><BR>有些受到大肆宣揚的Internet安全破壞，如2000年2月份對Yahoo的拒絕服務(wù)攻擊，是一些十來(lái)歲的中學(xué)生干的，他們干這些壞事的目的好象是為了揚名。安全專(zhuān)家通常把這些人稱(chēng)為腳本小子（Script Kiddies）。腳本小子通常都是一些自發(fā)的、不太熟練的cracker，他們使用從Internet 上下載的信息、軟件或腳本對目標站點(diǎn)進(jìn)行破壞。黑客組織或法律實(shí)施權威機構都對這些腳本小孩表示輕蔑，因為他們通常都技術(shù)不熟練，手上有大把時(shí)間可以來(lái)搞破壞，他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著(zhù)搶的小孩，他們不需要懂得彈道理論，也不必能夠制造槍支，就能成為強大的敵人。因此，無(wú)論何時(shí)都不能低估他們的實(shí)力。 <BR><BR><BR>Shunning（躲避） <BR><BR><BR>躲避是指配置邊界設備以拒絕所有不受歡迎的信息包，有些躲避甚至會(huì )拒絕來(lái)自某些國家所有IP地址的信息包。 <BR><BR><BR>Signatures（特征） <BR><BR><BR>IDS的核心是攻擊特征，它使IDS在事件發(fā)生時(shí)觸發(fā)。特征信息過(guò)短會(huì )經(jīng)常觸發(fā)IDS，導致誤報或錯報，過(guò)長(cháng)則會(huì )減慢IDS的工作速度。有人將IDS所支持的特征數視為IDS好壞的標準，但是有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊，而有些產(chǎn)商則會(huì )將這些特征單獨列出，這就會(huì )給人一種印象，好像它包含了更多的特征，是更好的IDS。大家一定要清楚這些。 <BR><BR><BR>Stealth（隱藏） <BR><BR><BR>隱藏是指IDS在檢測攻擊時(shí)不為外界所見(jiàn)，它們經(jīng)常在DMZ以外使用，沒(méi)有被防火墻保護。它有些缺點(diǎn)，如自動(dòng)響應。<BR>