隨著IDS(入侵檢測系統(tǒng))的超速發(fā)展,與之相關(guān)的術(shù)語同樣急劇演變。本文向大家介紹一些IDS技術(shù)術(shù)語,其中一些是非常基本并相對通用的,而另一些則有些生僻。由于IDS的飛速發(fā)展以及一些IDS產(chǎn)商的市場影響力,不同的產(chǎn)商可能會用同一個術(shù)語表示不同的意義,從而導(dǎo)致某些術(shù)語的確切意義出現(xiàn)了混亂。對此,本文會試圖將所有的術(shù)語都囊括進來。
Alerts(警報)
當(dāng)一個入侵正在發(fā)生或者試圖發(fā)生時,IDS系統(tǒng)將發(fā)布一個alert信息通知系統(tǒng)管理員。如果控制臺與IDS系統(tǒng)同在一臺機器,alert信息將顯示在監(jiān)視器上,也可能伴隨著聲音提示。如果是遠程控制臺,那么alert將通過IDS系統(tǒng)內(nèi)置方法(通常是加密的)、SNMP(簡單網(wǎng)絡(luò)管理協(xié)議,通常不加密)、email、SMS(短信息)或者以上幾種方法的混合方式傳遞給管理員。
Anomaly(異常)
當(dāng)有某個事件與一個已知攻擊的信號相匹配時,多數(shù)IDS都會告警。一個基于anomaly(異常)的IDS會構(gòu)造一個當(dāng)時活動的主機或網(wǎng)絡(luò)的大致輪廓,當(dāng)有一個在這個輪廓以外的事件發(fā)生時,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個用戶突然獲取了管理員或根目錄的權(quán)限。有些IDS廠商將此方法看做啟發(fā)式功能,但一個啟發(fā)式的IDS應(yīng)該在其推理判斷方面具有更多的智能。
Appliance(IDS硬件)
除了那些要安裝到現(xiàn)有系統(tǒng)上去的IDS軟件外,在市場的貨架上還可以買到一些現(xiàn)成的IDS硬件,只需將它們接入網(wǎng)絡(luò)中就可以應(yīng)用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。
ArachNIDS
ArachNIDS是由Max Visi開發(fā)的一個攻擊特征數(shù)據(jù)庫,它是動態(tài)更新的,適用于多種基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。
ARIS:Attack Registry & Intelligence Service(攻擊事件注冊及智能服務(wù))
ARIS是SecurityFocus公司提供的一個附加服務(wù),它允許用戶以網(wǎng)絡(luò)匿名方式連接到Internet上向SecurityFocus報送網(wǎng)絡(luò)安全事件,隨后SecurityFocus會將這些數(shù)據(jù)與許多其它參與者的數(shù)據(jù)結(jié)合起來,最終形成詳細的網(wǎng)絡(luò)安全統(tǒng)計分析及趨勢預(yù)測,發(fā)布在網(wǎng)絡(luò)上。它的URL地址是。
Attacks(攻擊)
Attacks可以理解為試圖滲透系統(tǒng)或繞過系統(tǒng)的安全策略,以獲取信息、修改信息以及破壞目標(biāo)網(wǎng)絡(luò)或系統(tǒng)功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型:
攻擊類型1-DOS(Denial Of Service attack,拒絕服務(wù)攻擊):DOS攻擊不是通過黑客手段破壞一個系統(tǒng)的安全,它只是使系統(tǒng)癱瘓,使系統(tǒng)拒絕向其用戶提供服務(wù)。其種類包括緩沖區(qū)溢出、通過洪流(flooding)耗盡系統(tǒng)資源等等。
攻擊類型2-DDOS(Distributed Denial of Service,分布式拒絕服務(wù)攻擊):一個標(biāo)準(zhǔn)的DOS攻擊使用大量來自一個主機的數(shù)據(jù)向一個遠程主機發(fā)動攻擊,卻無法發(fā)出足夠的信息包來達到理想的結(jié)果,因此就產(chǎn)生了DDOS,即從多個分散的主機一個目標(biāo)發(fā)動攻擊,耗盡遠程系統(tǒng)的資源,或者使其連接失效。
攻擊類型3-Smurf:這是一種老式的攻擊,但目前還時有發(fā)生,攻擊者使用攻擊目標(biāo)的偽裝源地址向一個smurf放大器廣播地址執(zhí)行ping操作,然后所有活動主機都會向該目標(biāo)應(yīng)答,從而中斷網(wǎng)絡(luò)連接。
攻擊類型4-Trojans(特洛伊木馬):Trojan這個術(shù)語來源于古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當(dāng)木馬運到城里,士兵就涌出木馬向這個城市及其居民發(fā)起攻擊。在計算機術(shù)語中,它原本是指那些以合法程序的形式出現(xiàn),其實包藏了惡意軟件的那些軟件。這樣,當(dāng)用戶運行合法程序時,在不知情的情況下,惡意軟件就被安裝了。但是由于多數(shù)以這種形式安裝的惡意程序都是遠程控制工具,Trojan這個術(shù)語很快就演變?yōu)閷V高@類工具,例如BackOrifice、SubSeven、NetBus等等。
Automated Response(自動響應(yīng))
除了對攻擊發(fā)出警報,有些IDS還能自動抵御這些攻擊。抵御方式有很多:首先,可以通過重新配置路由器和防火墻,拒絕那些來自同一地址的信息流;其次,通過在網(wǎng)絡(luò)上發(fā)送reset包切斷連接。但是這兩種方式都有問題,攻擊者可以反過來利用重新配置的設(shè)備,其方法是:通過偽裝成一個友方的地址來發(fā)動攻擊,然后IDS就會配置路由器和防火墻來拒絕這些地址,這樣實際上就是對“自己人”拒絕服務(wù)了。發(fā)送reset包的方法要求有一個活動的網(wǎng)絡(luò)接口,這樣它將置于攻擊之下,一個補救的辦法是:使活動網(wǎng)絡(luò)接口位于防火墻內(nèi),或者使用專門的發(fā)包程序,從而避開標(biāo)準(zhǔn)IP棧需求。
CERT(Computer Emergency Response Team,計算機應(yīng)急響應(yīng)小組)
這個術(shù)語是由第一支計算機應(yīng)急反映小組選擇的,這支團隊建立在Carnegie Mellon大學(xué),他們對計算機安全方面的事件做出反應(yīng)、采取行動。現(xiàn)在許多組織都有了CERT,比如CNCERT/CC(中國計算機網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心)。由于emergency這個詞有些不夠明確,因此許多組織都用Incident這個詞來取代它,產(chǎn)生了新詞Computer Incident Response Team(CIRT),即計算機事件反應(yīng)團隊。response這個詞有時也用handling來代替,其含義是response表示緊急行動,而非長期的研究。
CIDF(Common Intrusion Detection Framework;通用入侵檢測框架)
CIDF力圖在某種程度上將入侵檢測標(biāo)準(zhǔn)化,開發(fā)一些協(xié)議和應(yīng)用程序接口,以使入侵檢測的研究項目之間能夠共享信息和資源,并且入侵檢測組件也能夠在其它系統(tǒng)中再利用。
CIRT(Computer Incident Response Team,計算機事件響應(yīng)小組)
CIRT是從CERT演變而來的,CIRT代表了對安全事件在哲學(xué)認識上的改變。CERT最初是專門針對特定的計算機緊急情況的,而CIRT中的術(shù)語incident則表明并不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。
CISL(Common Intrusion Specification Language,通用入侵規(guī)范語言)
CISL是CIDF組件間彼此通信的語言。由于CIDF就是對協(xié)議和接口標(biāo)準(zhǔn)化的嘗試,因此CISL就是對入侵檢測研究的語言進行標(biāo)準(zhǔn)化的嘗試。
CVE(Common Vulnerabilities and Exposures,通用漏洞披露)
關(guān)于漏洞的一個老問題就是在設(shè)計掃描程序或應(yīng)對策略時,不同的廠商對漏洞的稱謂也會完全不同。還有,一些產(chǎn)商會對一個漏洞定義多種特征并應(yīng)用到他們的IDS系統(tǒng)中,這樣就給人一種錯覺,好像他們的產(chǎn)品更加有效。MITRE創(chuàng)建了CVE,將漏洞名稱進行標(biāo)準(zhǔn)化,參與的廠商也就順理成章按照這個標(biāo)準(zhǔn)開發(fā)IDS產(chǎn)品。
Crafting Packets(自定義數(shù)據(jù)包)
建立自定義數(shù)據(jù)包,就可以避開一些慣用規(guī)定的數(shù)據(jù)包結(jié)構(gòu),從而制造數(shù)據(jù)包欺騙,或者使得收到它的計算機不知該如何處理它。
Desynchronization(同步失效)
Desynchronization這個術(shù)語本來是指用序列數(shù)逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數(shù)感到迷惑,從而導(dǎo)致無法重新構(gòu)建數(shù)據(jù)。這一技術(shù)在1998年很流行,現(xiàn)在已經(jīng)過時了,有些文章把desynchronization這個術(shù)語代指其它IDS逃避方法。
Eleet
當(dāng)黑客編寫漏洞開發(fā)程序時,他們通常會留下一個簽名,其中最聲名狼藉的一個就是elite。如果將eleet轉(zhuǎn)換成數(shù)字,它就是31337,而當(dāng)它是指他們的能力時,elite=eleet,表示精英。31337通常被用做一個端口號或序列號。目前流行的詞是“skillz”。
Enumeration(列舉)
經(jīng)過被動研究和社會工程學(xué)的工作后,攻擊者就會開始對網(wǎng)絡(luò)資源進行列舉。列舉是指攻擊者主動探查一個網(wǎng)絡(luò)以發(fā)現(xiàn)其中有什么以及哪些可以被他利用。由于現(xiàn)在的行動不再是被動的,它就有可能被檢測出來。當(dāng)然為了避免被檢測到,他們會盡可能地悄悄進行。
Evasion(躲避)
Evasion是指發(fā)動一次攻擊,而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面,而實際攻擊的卻是另一個目標(biāo),所謂明修棧道,暗渡陳倉。Evasion的一種形式是為不同的信息包設(shè)置不同的TTL(有效時間)值,這樣,經(jīng)過IDS的信息看起來好像是無害的,而在無害信息位上的TTL比要到達目標(biāo)主機所需要的TTL要短。一旦經(jīng)過了IDS并接近目標(biāo),無害的部分就會被丟掉,只剩下有害的。
Exploits(漏洞利用)
對于每一個漏洞,都有利用此漏洞進行攻擊的機制。為了攻擊系統(tǒng),攻擊者編寫出漏洞利用代碼或教本。
對每個漏洞都會存在利用這個漏洞執(zhí)行攻擊的方式,這個方式就是Exploit。為了攻擊系統(tǒng),黑客會編寫出漏洞利用程序。
漏洞利用:Zero Day Exploit(零時間漏洞利用)
零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用,也就是說這種類型的漏洞利用當(dāng)前還沒有被發(fā)現(xiàn)。一旦一個漏洞利用被網(wǎng)絡(luò)安全界發(fā)現(xiàn),很快就會出現(xiàn)針對它的補丁程序,并在IDS中寫入其特征標(biāo)識信息,使這個漏洞利用無效,有效地捕獲它。
False Negatives(漏報)
漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。
False Positives(誤報)
誤報是指實際無害的事件卻被IDS檢測為攻擊事件。
Firewalls(防火墻)
防火墻是網(wǎng)絡(luò)安全的第一道關(guān)卡,雖然它不是IDS,但是防火墻日志可以為IDS提供寶貴信息。防火墻工作的原理是根據(jù)規(guī)則或標(biāo)準(zhǔn),如源地址、端口等,將危險連接阻擋在外。
FIRST(Forum of Incident Response and Security Teams,事件響應(yīng)和安全團隊論壇)
FIRST是由國際性政府和私人組織聯(lián)合起來交換信息并協(xié)調(diào)響應(yīng)行動的聯(lián)盟,一年一度的FIRST受到高度的重視。
Fragmentation(分片)
如果一個信息包太大而無法裝載,它就不得不被分成片斷。分片的依據(jù)是網(wǎng)絡(luò)的MTU(Maximum Transmission Units,最大傳輸單元)。例如,靈牌環(huán)網(wǎng)(token ring)的MTU是4464,以太網(wǎng)(Ethernet)的MTU是1500,因此,如果一個信息包要從靈牌環(huán)網(wǎng)傳輸?shù)揭蕴W(wǎng),它就要被分裂成一些小的片斷,然后再在目的地重建。雖然這樣處理會造成效率降低,但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法,另外還有一些DOS攻擊也使用分片技術(shù)。
Heuristics(啟發(fā))
Heuristics就是指在入侵檢測中使用AI(artificial intelligence,人工智能)思想。真正使用啟發(fā)理論的IDS已經(jīng)出現(xiàn)大約10年了,但他們還不夠“聰明”,攻擊者可以通過訓(xùn)練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵,這樣的IDS必須要不斷地學(xué)習(xí)什么是正常事件。一些產(chǎn)商認為這已經(jīng)是相當(dāng)“聰明”的IDS了,所以就將它們看做是啟發(fā)式IDS。但實際上,真正應(yīng)用AI技術(shù)對輸入數(shù)據(jù)進行分析的IDS還很少很少。
Honeynet Project(Honeynet工程)
Honeynet是一種學(xué)習(xí)工具,是一個包含安全缺陷的網(wǎng)絡(luò)系統(tǒng)。當(dāng)它受到安全威脅時,入侵信息就會被捕獲并接受分析,這樣就可以了解黑客的一些情況。Honeynet是一個由30余名安全專業(yè)組織成員組成、專門致力于了解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經(jīng)建立了一系列的honeypots,提供了看似易受攻擊的Honeynet網(wǎng)絡(luò),觀察入侵到這些系統(tǒng)中的黑客,研究黑客的戰(zhàn)術(shù)、動機及行為。
Honeypot(蜜罐)
蜜罐是一個包含漏洞的系統(tǒng),它模擬一個或多個易受攻擊的主機,給黑客提供一個容易攻擊的目標(biāo)。由于蜜罐沒有其它任務(wù)需要完成,因此所有連接的嘗試都應(yīng)被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標(biāo)的攻擊,讓攻擊者在蜜罐上浪費時間。與此同時,最初的攻擊目標(biāo)受到了保護,真正有價值的內(nèi)容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客搜集證據(jù),這看起來有“誘捕”的感覺。但是在一些國家中,是不能利用蜜罐收集證據(jù)起訴黑客的。
IDS Categories(IDS分類)
有許多不同類型的IDS,以下分別列出:
IDS分類1-Application IDS(應(yīng)用程序IDS):應(yīng)用程序IDS為一些特殊的應(yīng)用程序發(fā)現(xiàn)入侵信號,這些應(yīng)用程序通常是指那些比較易受攻擊的應(yīng)用程序,如Web服務(wù)器、數(shù)據(jù)庫等。有許多原本著眼于操作系統(tǒng)的基于主機的IDS,雖然在默認狀態(tài)下并不針對應(yīng)用程序,但也可以經(jīng)過訓(xùn)練,應(yīng)用于應(yīng)用程序。例如,KSE(一個基于主機的IDS)可以告訴我們在事件日志中正在進行的一切,包括事件日志報告中有關(guān)應(yīng)用程序的輸出內(nèi)容。應(yīng)用程序IDS的一個例子是Entercept的Web Server Edition。
IDS分類2-Consoles IDS(控制臺IDS):為了使IDS適用于協(xié)同環(huán)境,分布式IDS代理需要向中心控制臺報告信息。現(xiàn)在的許多中心控制臺還可以接收其它來源的數(shù)據(jù),如其它產(chǎn)商的IDS、防火墻、路由器等。將這些信息綜合在一起就可以呈現(xiàn)出一幅更完整的攻擊圖景。有些控制臺還將它們自己的攻擊特征添加到代理級別的控制臺,并提供遠程管理功能。這種IDS產(chǎn)品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分類3-File Integrity Checkers(文件完整性檢查器):當(dāng)一個系統(tǒng)受到攻擊者的威脅時,它經(jīng)常會改變某些關(guān)鍵文件來提供持續(xù)的訪問和預(yù)防檢測。通過為關(guān)鍵文件附加信息摘要(加密的雜亂信號),就可以定時地檢查文件,查看它們是否被改變,這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化,完整性檢查器就會發(fā)出一個警報。而且,當(dāng)一個系統(tǒng)已經(jīng)受到攻擊后,系統(tǒng)管理員也可以使用同樣的方法來確定系統(tǒng)受到危害的程度。以前的文件檢查器在事件發(fā)生好久之后才能將入侵檢測出來,是“事后諸葛亮”,最近出現(xiàn)的許多產(chǎn)品能在文件被訪問的同時就進行檢查,可以看做是實時IDS產(chǎn)品了。該類產(chǎn)品有Tripwire和Intact。
IDS分類4-Honeypots(蜜罐):關(guān)于蜜罐,前面已經(jīng)介紹過。蜜罐的例子包括Mantrap和Sting。
IDS分類5-Host-based IDS(基于主機的IDS):這類IDS對多種來源的系統(tǒng)和事件日志進行監(jiān)控,發(fā)現(xiàn)可疑活動。基于主機的IDS也叫做主機IDS,最適合于檢測那些可以信賴的內(nèi)部人員的誤用以及已經(jīng)避開了傳統(tǒng)的檢測方法而滲透到網(wǎng)絡(luò)中的活動。除了完成類似事件日志閱讀器的功能,主機IDS還對“事件/日志/時間”進行簽名分析。許多產(chǎn)品中還包含了啟發(fā)式功能。因為主機IDS幾乎是實時工作的,系統(tǒng)的錯誤就可以很快地檢測出來,技術(shù)人員和安全人士都非常喜歡它。現(xiàn)在,基于主機的IDS就是指基于服務(wù)器/工作站主機的所有類型的入侵檢測系統(tǒng)。該類產(chǎn)品包括Kane Secure Enterprise和Dragon Squire。
IDS分類6-Hybrid IDS(混合IDS):現(xiàn)代交換網(wǎng)絡(luò)的結(jié)構(gòu)給入侵檢測操作帶來了一些問題。首先,默認狀態(tài)下的交換網(wǎng)絡(luò)不允許網(wǎng)卡以混雜模式工作,這使傳統(tǒng)網(wǎng)絡(luò)IDS的安裝非常困難。其次,很高的網(wǎng)絡(luò)速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS(混合IDS)正是解決這些問題的一個方案,它將IDS提升了一個層次,組合了網(wǎng)絡(luò)節(jié)點IDS和Host IDS(主機IDS)。雖然這種解決方案覆蓋面極大,但同時要考慮到由此引起的巨大數(shù)據(jù)量和費用。許多網(wǎng)絡(luò)只為非常關(guān)鍵的服務(wù)器保留混合IDS。有些產(chǎn)商把完成一種以上任務(wù)的IDS都叫做Hybrid IDS,實際上這只是為了廣告的效應(yīng)。混合IDS產(chǎn)品有CentraxICE和RealSecure Server Sensor。
IDS分類7-Network IDS(NIDS,網(wǎng)絡(luò)IDS):NIDS對所有流經(jīng)監(jiān)測代理的網(wǎng)絡(luò)通信量進行監(jiān)控,對可疑的異常活動和包含攻擊特征的活動作出反應(yīng)。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器,但是近來它們變得更加智能化,可以破譯協(xié)議并維護狀態(tài)。NIDS存在基于應(yīng)用程序的產(chǎn)品,只需要安裝到主機上就可應(yīng)用。NIDS對每個信息包進行攻擊特征的分析,但是在網(wǎng)絡(luò)高負載下,還是要丟棄些信息包。網(wǎng)絡(luò)IDS的產(chǎn)品有SecureNetPro和Snort。
IDS分類8-Network Node IDS(NNIDS,網(wǎng)絡(luò)節(jié)點IDS):有些網(wǎng)絡(luò)IDS在高速下是不可靠的,裝載之后它們會丟棄很高比例的網(wǎng)絡(luò)信息包,而且交換網(wǎng)絡(luò)經(jīng)常會防礙網(wǎng)絡(luò)IDS看到混合傳送的信息包。NNIDS將NIDS的功能委托給單獨的主機,從而緩解了高速和交換的問題。雖然NNIDS與個人防火墻功能相似,但它們之間還有區(qū)別。對于被歸類為NNIDS的個人防火墻,應(yīng)該對企圖的連接做分析。例如,不像在許多個人防火墻上發(fā)現(xiàn)的“試圖連接到端口xxx”,一個NNIDS會對任何的探測都做特征分析。另外,NNIDS還會將主機接收到的事件發(fā)送到一個中心控制臺。NNIDS產(chǎn)品有BlackICE Agent和Tiny CMDS。
IDS分類9-Personal Firewall(個人防火墻):個人防火墻安裝在單獨的系統(tǒng)中,防止不受歡迎的連接,無論是進來的還是出去的,從而保護主機系統(tǒng)。注意不要將它與NNIDS混淆。個人防火墻有ZoneAlarm和Sybergen。
IDS分類10-Target-Based IDS(基于目標(biāo)的IDS):這是不明確的IDS術(shù)語中的一個,對不同的人有不同的意義。可能的一個定義是文件完整性檢查器,而另一個定義則是網(wǎng)絡(luò)IDS,后者所尋找的只是對那些由于易受攻擊而受到保護的網(wǎng)絡(luò)所進行的攻擊特征。后面這個定義的目的是為了提高IDS的速度,因為它不搜尋那些不必要的攻擊。
IDWG(Intrusion Detection Working Group,入侵檢測工作組)
入侵檢測工作組的目標(biāo)是定義數(shù)據(jù)格式和交換信息的程序步驟,這些信息是對于入侵檢測系統(tǒng)、響應(yīng)系統(tǒng)以及那些需要與它們交互作用的管理系統(tǒng)都有重要的意義。入侵檢測工作組與其它IETF組織協(xié)同工作。
Incident Handling(事件處理)
檢測到一個入侵只是開始。更普遍的情況是,控制臺操作員會不斷地收到警報,由于根本無法分出時間來親自追蹤每個潛在事件,操作員會在感興趣的事件上做出標(biāo)志以備將來由事件處理團隊來調(diào)查研究。在最初的反應(yīng)之后,就需要對事件進行處理,也就是諸如調(diào)查、辯論和起訴之類的事宜。
Incident Response(事件響應(yīng))
對檢測出的潛在事件的最初反應(yīng),隨后對這些事件要根據(jù)事件處理的程序進行處理。
Islanding(孤島)
孤島就是把網(wǎng)絡(luò)從Internet上完全切斷,這幾乎是最后一招了,沒有辦法的辦法。一個組織只有在大規(guī)模的病毒爆發(fā)或受到非常明顯的安全攻擊時才使用這一手段。
Promiscuous(混雜模式)
默認狀態(tài)下,IDS網(wǎng)絡(luò)接口只能看到進出主機的信息,也就是所謂的non-promiscuous(非混雜模式)。如果網(wǎng)絡(luò)接口是混雜模式,就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量,不管其來源或目的地。這對于網(wǎng)絡(luò)IDS是必要的,但同時可能被信息包嗅探器所利用來監(jiān)控網(wǎng)絡(luò)通信量。交換型HUB可以解決這個問題,在能看到全面通信量的地方,會都許多跨越(span)端口。
Routers(路由器)
路由器是用來連接不同子網(wǎng)的中樞,它們工作于OSI 7層模型的傳輸層和網(wǎng)絡(luò)層。路由器的基本功能就是將網(wǎng)絡(luò)信息包傳輸?shù)剿鼈兊哪康牡亍R恍┞酚善鬟€有訪問控制列表(ACLs),允許將不想要的信息包過濾出去。許多路由器都可以將它們的日志信息注入到IDS系統(tǒng)中,提供有關(guān)被阻擋的訪問網(wǎng)絡(luò)企圖的寶貴信息。
Scanners(掃描器)
掃描器是自動化的工具,它掃描網(wǎng)絡(luò)和主機的漏洞。同入侵檢測系統(tǒng)一樣,它們也分為很多種,以下分別描述。
掃描器種類1-Network Scanners(網(wǎng)絡(luò)掃描器):網(wǎng)絡(luò)掃描器在網(wǎng)絡(luò)上搜索以找到網(wǎng)絡(luò)上所有的主機。傳統(tǒng)上它們使用的是ICMP ping技術(shù),但是這種方法很容易被檢測出來。為了變得隱蔽,出現(xiàn)了一些新技術(shù),例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是:不同的操作系統(tǒng)對這些掃描會有不同的反應(yīng),從而為攻擊者提供了更多有價值的信息。這種工具的一個例子是nmap。
掃描器種類2-Network Vulnerability Scanners(網(wǎng)絡(luò)漏洞掃描器):網(wǎng)絡(luò)漏洞掃描器將網(wǎng)絡(luò)掃描器向前發(fā)展了一步,它能檢測目標(biāo)主機,并突出一切可以為黑客利用的漏洞。網(wǎng)絡(luò)漏洞掃描器可以為攻擊者和安全專家使用,但會經(jīng)常讓IDS系統(tǒng)“緊張”。該類產(chǎn)品有Retina和CyberCop。
掃描器種類3-Host Vulnerability Scanners(主機漏洞掃描器):這類工具就像個有特權(quán)的用戶,從內(nèi)部掃描主機,檢測口令強度、安全策略以及文件許可等內(nèi)容。網(wǎng)絡(luò)IDS,特別是主機IDS可以將它檢測出來。該類產(chǎn)品有SecurityExpressions,它是一個遠程Windows漏洞掃描器,并且能自動修復(fù)漏洞。還有如ISS數(shù)據(jù)庫掃描器,會掃描數(shù)據(jù)庫中的漏洞。
Script Kiddies(腳本小子)
有些受到大肆宣揚的Internet安全破壞,如2000年2月份對Yahoo的拒絕服務(wù)攻擊,是一些十來歲的中學(xué)生干的,他們干這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為腳本小子(Script Kiddies)。腳本小子通常都是一些自發(fā)的、不太熟練的cracker,他們使用從Internet 上下載的信息、軟件或腳本對目標(biāo)站點進行破壞。黑客組織或法律實施權(quán)威機構(gòu)都對這些腳本小孩表示輕蔑,因為他們通常都技術(shù)不熟練,手上有大把時間可以來搞破壞,他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩,他們不需要懂得彈道理論,也不必能夠制造槍支,就能成為強大的敵人。因此,無論何時都不能低估他們的實力。
Shunning(躲避)
躲避是指配置邊界設(shè)備以拒絕所有不受歡迎的信息包,有些躲避甚至?xí)芙^來自某些國家所有IP地址的信息包。
Signatures(特征)
IDS的核心是攻擊特征,它使IDS在事件發(fā)生時觸發(fā)。特征信息過短會經(jīng)常觸發(fā)IDS,導(dǎo)致誤報或錯報,過長則會減慢IDS的工作速度。有人將IDS所支持的特征數(shù)視為IDS好壞的標(biāo)準(zhǔn),但是有的產(chǎn)商用一個特征涵蓋許多攻擊,而有些產(chǎn)商則會將這些特征單獨列出,這就會給人一種印象,好像它包含了更多的特征,是更好的IDS。大家一定要清楚這些。
Stealth(隱藏)
隱藏是指IDS在檢測攻擊時不為外界所見,它們經(jīng)常在DMZ以外使用,沒有被防火墻保護。它有些缺點,如自動響應(yīng)。
