隨著IDS（入侵檢測(cè)系統(tǒng)）的超速發(fā)展，與之相關(guān)的術(shù)語同樣急劇演變。本文向大家介紹一些IDS技術(shù)術(shù)語，其中一些是非常基本并相對(duì)通用的，而另一些則有些生僻。由于IDS的飛速發(fā)展以及一些IDS產(chǎn)商的市場(chǎng)影響力，不同的產(chǎn)商可能會(huì)用同一個(gè)術(shù)語表示不同的意義，從而導(dǎo)致某些術(shù)語的確切意義出現(xiàn)了混亂。對(duì)此，本文會(huì)試圖將所有的術(shù)語都囊括進(jìn)來。
Alerts（警報(bào)）
當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)，IDS系統(tǒng)將發(fā)布一個(gè)alert信息通知系統(tǒng)管理員。如果控制臺(tái)與IDS系統(tǒng)同在一臺(tái)機(jī)器，alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示。如果是遠(yuǎn)程控制臺(tái)，那么alert將通過IDS系統(tǒng)內(nèi)置方法（通常是加密的）、SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，通常不加密）、email、SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員。
Anomaly（異常）
當(dāng)有某個(gè)事件與一個(gè)已知攻擊的信號(hào)相匹配時(shí)，多數(shù)IDS都會(huì)告警。一個(gè)基于anomaly（異常）的IDS會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)的主機(jī)或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí)，IDS就會(huì)告警，例如有人做了以前他沒有做過的事情的時(shí)候，例如，一個(gè)用戶突然獲取了管理員或根目錄的權(quán)限。有些IDS廠商將此方法看做啟發(fā)式功能，但一個(gè)啟發(fā)式的IDS應(yīng)該在其推理判斷方面具有更多的智能。
Appliance（IDS硬件）
除了那些要安裝到現(xiàn)有系統(tǒng)上去的IDS軟件外，在市場(chǎng)的貨架上還可以買到一些現(xiàn)成的IDS硬件，只需將它們接入網(wǎng)絡(luò)中就可以應(yīng)用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。
ArachNIDS
ArachNIDS是由Max Visi開發(fā)的一個(gè)攻擊特征數(shù)據(jù)庫(kù)，它是動(dòng)態(tài)更新的，適用于多種基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，它的URL地址是http://www.whitehats.com/ids/
ARIS：Attack Registry & Intelligence Service（攻擊事件注冊(cè)及智能服務(wù)）
ARIS是SecurityFocus公司提供的一個(gè)附加服務(wù)，它允許用戶以網(wǎng)絡(luò)匿名方式連接到Internet上向SecurityFocus報(bào)送網(wǎng)絡(luò)安全事件，隨后SecurityFocus會(huì)將這些數(shù)據(jù)與許多其它參與者的數(shù)據(jù)結(jié)合起來，最終形成詳細(xì)的網(wǎng)絡(luò)安全統(tǒng)計(jì)分析及趨勢(shì)預(yù)測(cè)，發(fā)布在網(wǎng)絡(luò)上。它的URL地址是http://aris.securityfocus.com/
Attacks（攻擊）
Attacks可以理解為試圖滲透系統(tǒng)或繞過系統(tǒng)的安全策略，以獲取信息、修改信息以及破壞目標(biāo)網(wǎng)絡(luò)或系統(tǒng)功能的行為。以下列出IDS能夠檢測(cè)出的最常見的Internet攻擊類型：
●攻擊類型1－DOS（Denial Of Service attack，拒絕服務(wù)攻擊）：DOS攻擊不是通過黑客手段破壞一個(gè)系統(tǒng)的安全，它只是使系統(tǒng)癱瘓，使系統(tǒng)拒絕向其用戶提供服務(wù)。其種類包括緩沖區(qū)溢出、通過洪流（flooding）耗盡系統(tǒng)資源等等。
●攻擊類型2－DDOS（Distributed Denial of Service，分布式拒絕服務(wù)攻擊）：一個(gè)標(biāo)準(zhǔn)的DOS攻擊使用大量來自一個(gè)主機(jī)的數(shù)據(jù)向一個(gè)遠(yuǎn)程主機(jī)發(fā)動(dòng)攻擊，卻無法發(fā)出足夠的信息包來達(dá)到理想的結(jié)果，因此就產(chǎn)生了DDOS，即從多個(gè)分散的主機(jī)一個(gè)目標(biāo)發(fā)動(dòng)攻擊，耗盡遠(yuǎn)程系統(tǒng)的資源，或者使其連接失效。
●攻擊類型3－Smurf：這是一種老式的攻擊，但目前還時(shí)有發(fā)生，攻擊者使用攻擊目標(biāo)的偽裝源地址向一個(gè)smurf放大器廣播地址執(zhí)行ping操作，然后所有活動(dòng)主機(jī)都會(huì)向該目標(biāo)應(yīng)答，從而中斷網(wǎng)絡(luò)連接。以下是10大smurf放大器的參考資料URL：http://www.powertech.no/smurf/。
●攻擊類型4－Trojans（特洛伊木馬）：Trojan這個(gè)術(shù)語來源于古代希臘人攻擊特洛伊人使用的木馬，木馬中藏有希臘士兵，當(dāng)木馬運(yùn)到城里，士兵就涌出木馬向這個(gè)城市及其居民發(fā)起攻擊。在計(jì)算機(jī)術(shù)語中，它原本是指那些以合法程序的形式出現(xiàn)，其實(shí)包藏了惡意軟件的那些軟件。這樣，當(dāng)用戶運(yùn)行合法程序時(shí)，在不知情的情況下，惡意軟件就被安裝了。但是由于多數(shù)以這種形式安裝的惡意程序都是遠(yuǎn)程控制工具，Trojan這個(gè)術(shù)語很快就演變?yōu)閷Ｖ高@類工具，例如BackOrifice、SubSeven、NetBus等等。
Automated Response（自動(dòng)響應(yīng)）
除了對(duì)攻擊發(fā)出警報(bào)，有些IDS還能自動(dòng)抵御這些攻擊。抵御方式有很多：首先，可以通過重新配置路由器和防火墻，拒絕那些來自同一地址的信息流；其次，通過在網(wǎng)絡(luò)上發(fā)送reset包切斷連接。但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的設(shè)備，其方法是：通過偽裝成一個(gè)友方的地址來發(fā)動(dòng)攻擊，然后IDS就會(huì)配置路由器和防火墻來拒絕這些地址，這樣實(shí)際上就是對(duì)“自己人”拒絕服務(wù)了。發(fā)送reset包的方法要求有一個(gè)活動(dòng)的網(wǎng)絡(luò)接口，這樣它將置于攻擊之下，一個(gè)補(bǔ)救的辦法是：使活動(dòng)網(wǎng)絡(luò)接口位于防火墻內(nèi)，或者使用專門的發(fā)包程序，從而避開標(biāo)準(zhǔn)IP棧需求。
CERT（Computer Emergency Response Team，計(jì)算機(jī)應(yīng)急響應(yīng)小組）
這個(gè)術(shù)語是由第一支計(jì)算機(jī)應(yīng)急反映小組選擇的，這支團(tuán)隊(duì)建立在Carnegie Mellon大學(xué)，他們對(duì)計(jì)算機(jī)安全方面的事件做出反應(yīng)、采取行動(dòng)。現(xiàn)在許多組織都有了CERT，比如CNCERT/CC（中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心）。由于emergency這個(gè)詞有些不夠明確，因此許多組織都用Incident這個(gè)詞來取代它，產(chǎn)生了新詞Computer Incident Response Team（CIRT），即計(jì)算機(jī)事件反應(yīng)團(tuán)隊(duì)。response這個(gè)詞有時(shí)也用handling來代替，其含義是response表示緊急行動(dòng)，而非長(zhǎng)期的研究。
CIDF（Common Intrusion Detection Framework；通用入侵檢測(cè)框架）
CIDF力圖在某種程度上將入侵檢測(cè)標(biāo)準(zhǔn)化，開發(fā)一些協(xié)議和應(yīng)用程序接口，以使入侵檢測(cè)的研究項(xiàng)目之間能夠共享信息和資源，并且入侵檢測(cè)組件也能夠在其它系統(tǒng)中再利用。CIDF的URL地址是：http://www.isi.edu/gost/cidf/。
CIRT（Computer Incident Response Team，計(jì)算機(jī)事件響應(yīng)小組）
CIRT是從CERT演變而來的，CIRT代表了對(duì)安全事件在哲學(xué)認(rèn)識(shí)上的改變。CERT最初是專門針對(duì)特定的計(jì)算機(jī)緊急情況的，而CIRT中的術(shù)語incident則表明并不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。
CISL（Common Intrusion Specification Language，通用入侵規(guī)范語言）
CISL是CIDF組件間彼此通信的語言。由于CIDF就是對(duì)協(xié)議和接口標(biāo)準(zhǔn)化的嘗試，因此CISL就是對(duì)入侵檢測(cè)研究的語言進(jìn)行標(biāo)準(zhǔn)化的嘗試。
CVE（Common Vulnerabilities and Exposures，通用漏洞披露）
關(guān)于漏洞的一個(gè)老問題就是在設(shè)計(jì)掃描程序或應(yīng)對(duì)策略時(shí)，不同的廠商對(duì)漏洞的稱謂也會(huì)完全不同。還有，一些產(chǎn)商會(huì)對(duì)一個(gè)漏洞定義多種特征并應(yīng)用到他們的IDS系統(tǒng)中，這樣就給人一種錯(cuò)覺，好像他們的產(chǎn)品更加有效。MITRE創(chuàng)建了CVE，將漏洞名稱進(jìn)行標(biāo)準(zhǔn)化，參與的廠商也就順理成章按照這個(gè)標(biāo)準(zhǔn)開發(fā)IDS產(chǎn)品。CVE的URL地址是：http://cve.mitre.org/。
Crafting Packets（自定義數(shù)據(jù)包）
建立自定義數(shù)據(jù)包，就可以避開一些慣用規(guī)定的數(shù)據(jù)包結(jié)構(gòu)，從而制造數(shù)據(jù)包欺騙，或者使得收到它的計(jì)算機(jī)不知該如何處理它。制作自定義數(shù)據(jù)包的一個(gè)可用程序Nemesis，它的URL地址是：http://jeff.chi.wwti.com/nemesis/。
Desynchronization（同步失效）
desynchronization這個(gè)術(shù)語本來是指用序列數(shù)逃避IDS的方法。有些IDS可能會(huì)對(duì)它本來期望得到的序列數(shù)感到迷惑，從而導(dǎo)致無法重新構(gòu)建數(shù)據(jù)。這一技術(shù)在1998年很流行，現(xiàn)在已經(jīng)過時(shí)了，有些文章把desynchronization這個(gè)術(shù)語代指其它IDS逃避方法。
Eleet
當(dāng)黑客編寫漏洞開發(fā)程序時(shí)，他們通常會(huì)留下一個(gè)簽名，其中最聲名狼藉的一個(gè)就是elite。如果將eleet轉(zhuǎn)換成數(shù)字，它就是31337，而當(dāng)它是指他們的能力時(shí)，elite=eleet，表示精英。31337通常被用做一個(gè)端口號(hào)或序列號(hào)。目前流行的詞是“skillz”。
Enumeration（列舉）
經(jīng)過被動(dòng)研究和社會(huì)工程學(xué)的工作后，攻擊者就會(huì)開始對(duì)網(wǎng)絡(luò)資源進(jìn)行列舉。列舉是指攻擊者主動(dòng)探查一個(gè)網(wǎng)絡(luò)以發(fā)現(xiàn)其中有什么以及哪些可以被他利用。由于現(xiàn)在的行動(dòng)不再是被動(dòng)的，它就有可能被檢測(cè)出來。當(dāng)然為了避免被檢測(cè)到，他們會(huì)盡可能地悄悄進(jìn)行。
Evasion（躲避）
Evasion是指發(fā)動(dòng)一次攻擊，而又不被IDS成功地檢測(cè)到。其中的竅門就是讓IDS只看到一個(gè)方面，而實(shí)際攻擊的卻是另一個(gè)目標(biāo)，所謂明修棧道，暗渡陳倉(cāng)。Evasion的一種形式是為不同的信息包設(shè)置不同的TTL（有效時(shí)間）值，這樣，經(jīng)過IDS的信息看起來好像是無害的，而在無害信息位上的TTL比要到達(dá)目標(biāo)主機(jī)所需要的TTL要短。一旦經(jīng)過了IDS并接近目標(biāo)，無害的部分就會(huì)被丟掉，只剩下有害的。
Exploits（漏洞利用）
對(duì)于每一個(gè)漏洞，都有利用此漏洞進(jìn)行攻擊的機(jī)制。為了攻擊系統(tǒng)，攻擊者編寫出漏洞利用代碼或教本。
對(duì)每個(gè)漏洞都會(huì)存在利用這個(gè)漏洞執(zhí)行攻擊的方式，這個(gè)方式就是Exploit。為了攻擊系統(tǒng)，黑客會(huì)編寫出漏洞利用程序。
漏洞利用：Zero Day Exploit（零時(shí)間漏洞利用）
零時(shí)間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用，也就是說這種類型的漏洞利用當(dāng)前還沒有被發(fā)現(xiàn)。一旦一個(gè)漏洞利用被網(wǎng)絡(luò)安全界發(fā)現(xiàn)，很快就會(huì)出現(xiàn)針對(duì)它的補(bǔ)丁程序，并在IDS中寫入其特征標(biāo)識(shí)信息，使這個(gè)漏洞利用無效，有效地捕獲它。
False Negatives（漏報(bào)）
漏報(bào)是指一個(gè)攻擊事件未被IDS檢測(cè)到或被分析人員認(rèn)為是無害的。
False Positives（誤報(bào)）
誤報(bào)是指實(shí)際無害的事件卻被IDS檢測(cè)為攻擊事件。
Firewalls（防火墻）
防火墻是網(wǎng)絡(luò)安全的第一道關(guān)卡，雖然它不是IDS，但是防火墻日志可以為IDS提供寶貴信息。防火墻工作的原理是根據(jù)規(guī)則或標(biāo)準(zhǔn)，如源地址、端口等，將危險(xiǎn)連接阻擋在外。
FIRST（Forum of Incident Response and Security Teams，事件響應(yīng)和安全團(tuán)隊(duì)論壇）
FIRST是由國(guó)際性政府和私人組織聯(lián)合起來交換信息并協(xié)調(diào)響應(yīng)行動(dòng)的聯(lián)盟，一年一度的FIRST受到高度的重視，它的URL地址是：http://www.first.org/。
Fragmentation（分片）
如果一個(gè)信息包太大而無法裝載，它就不得不被分成片斷。分片的依據(jù)是網(wǎng)絡(luò)的MTU（Maximum Transmission Units，最大傳輸單元）。例如，靈牌環(huán)網(wǎng)（token ring）的MTU是4464，以太網(wǎng)（Ethernet）的MTU是1500，因此，如果一個(gè)信息包要從靈牌環(huán)網(wǎng)傳輸?shù)揭蕴W(wǎng)，它就要被分裂成一些小的片斷，然后再在目的地重建。雖然這樣處理會(huì)造成效率降低，但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法，另外還有一些DOS攻擊也使用分片技術(shù)。
Heuristics（啟發(fā)）
Heuristics就是指在入侵檢測(cè)中使用AI（artificial intelligence，人工智能）思想。真正使用啟發(fā)理論的IDS已經(jīng)出現(xiàn)大約10年了，但他們還不夠“聰明”，攻擊者可以通過訓(xùn)練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測(cè)入侵，這樣的IDS必須要不斷地學(xué)習(xí)什么是正常事件。一些產(chǎn)商認(rèn)為這已經(jīng)是相當(dāng)“聰明”的IDS了，所以就將它們看做是啟發(fā)式IDS。但實(shí)際上，真正應(yīng)用AI技術(shù)對(duì)輸入數(shù)據(jù)進(jìn)行分析的IDS還很少很少。
Honeynet Project（Honeynet工程）
Honeynet是一種學(xué)習(xí)工具，是一個(gè)包含安全缺陷的網(wǎng)絡(luò)系統(tǒng)。當(dāng)它受到安全威脅時(shí)，入侵信息就會(huì)被捕獲并接受分析，這樣就可以了解黑客的一些情況。Honeynet是一個(gè)由30余名安全專業(yè)組織成員組成、專門致力于了解黑客團(tuán)體使用的工具、策略和動(dòng)機(jī)以及共享他們所掌握的知識(shí)的項(xiàng)目。他們已經(jīng)建立了一系列的honeypots，提供了看似易受攻擊的Honeynet網(wǎng)絡(luò)，觀察入侵到這些系統(tǒng)中的黑客，研究黑客的戰(zhàn)術(shù)、動(dòng)機(jī)及行為。
Honeypot（蜜罐）
蜜罐是一個(gè)包含漏洞的系統(tǒng)，它模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給黑客提供一個(gè)容易攻擊的目標(biāo)。由于蜜罐沒有其它任務(wù)需要完成，因此所有連接的嘗試都應(yīng)被視為是可疑的。蜜罐的另一個(gè)用途是拖延攻擊者對(duì)其真正目標(biāo)的攻擊，讓攻擊者在蜜罐上浪費(fèi)時(shí)間。與此同時(shí)，最初的攻擊目標(biāo)受到了保護(hù)，真正有價(jià)值的內(nèi)容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客搜集證據(jù)，這看起來有“誘捕”的感覺。但是在一些國(guó)家中，是不能利用蜜罐收集證據(jù)起訴黑客的。
IDS Categories（IDS分類）
有許多不同類型的IDS，以下分別列出：
●IDS分類1－Application IDS（應(yīng)用程序IDS）：應(yīng)用程序IDS為一些特殊的應(yīng)用程序發(fā)現(xiàn)入侵信號(hào)，這些應(yīng)用程序通常是指那些比較易受攻擊的應(yīng)用程序，如Web服務(wù)器、數(shù)據(jù)庫(kù)等。有許多原本著眼于操作系統(tǒng)的基于主機(jī)的IDS，雖然在默認(rèn)狀態(tài)下并不針對(duì)應(yīng)用程序，但也可以經(jīng)過訓(xùn)練，應(yīng)用于應(yīng)用程序。例如，KSE（一個(gè)基于主機(jī)的IDS）可以告訴我們?cè)谑录罩局姓谶M(jìn)行的一切，包括事件日志報(bào)告中有關(guān)應(yīng)用程序的輸出內(nèi)容。應(yīng)用程序IDS的一個(gè)例子是Entercept的Web Server Edition。
●IDS分類2－Consoles IDS（控制臺(tái)IDS）：為了使IDS適用于協(xié)同環(huán)境，分布式IDS代理需要向中心控制臺(tái)報(bào)告信息。現(xiàn)在的許多中心控制臺(tái)還可以接收其它來源的數(shù)據(jù)，如其它產(chǎn)商的IDS、防火墻、路由器等。將這些信息綜合在一起就可以呈現(xiàn)出一幅更完整的攻擊圖景。有些控制臺(tái)還將它們自己的攻擊特征添加到代理級(jí)別的控制臺(tái)，并提供遠(yuǎn)程管理功能。這種IDS產(chǎn)品有Intellitactics Network Security Monitor和Open Esecurity Platform。
●IDS分類3－File Integrity Checkers（文件完整性檢查器）：當(dāng)一個(gè)系統(tǒng)受到攻擊者的威脅時(shí)，它經(jīng)常會(huì)改變某些關(guān)鍵文件來提供持續(xù)的訪問和預(yù)防檢測(cè)。通過為關(guān)鍵文件附加信息摘要（加密的雜亂信號(hào)），就可以定時(shí)地檢查文件，查看它們是否被改變，這樣就在某種程度上提供了保證。一旦檢測(cè)到了這樣一個(gè)變化，完整性檢查器就會(huì)發(fā)出一個(gè)警報(bào)。而且，當(dāng)一個(gè)系統(tǒng)已經(jīng)受到攻擊后，系統(tǒng)管理員也可以使用同樣的方法來確定系統(tǒng)受到危害的程度。以前的文件檢查器在事件發(fā)生好久之后才能將入侵檢測(cè)出來，是“事后諸葛亮”，最近出現(xiàn)的許多產(chǎn)品能在文件被訪問的同時(shí)就進(jìn)行檢查，可以看做是實(shí)時(shí)IDS產(chǎn)品了。該類產(chǎn)品有Tripwire和Intact。
●IDS分類4－Honeypots（蜜罐）：關(guān)于蜜罐，前面已經(jīng)介紹過。蜜罐的例子包括Mantrap和Sting。
●IDS分類5－Host-based IDS（基于主機(jī)的IDS）：這類IDS對(duì)多種來源的系統(tǒng)和事件日志進(jìn)行監(jiān)控，發(fā)現(xiàn)可疑活動(dòng)。基于主機(jī)的IDS也叫做主機(jī)IDS，最適合于檢測(cè)那些可以信賴的內(nèi)部人員的誤用以及已經(jīng)避開了傳統(tǒng)的檢測(cè)方法而滲透到網(wǎng)絡(luò)中的活動(dòng)。除了完成類似事件日志閱讀器的功能，主機(jī)IDS還對(duì)“事件/日志/時(shí)間”進(jìn)行簽名分析。許多產(chǎn)品中還包含了啟發(fā)式功能。因?yàn)橹鳈C(jī)IDS幾乎是實(shí)時(shí)工作的，系統(tǒng)的錯(cuò)誤就可以很快地檢測(cè)出來，技術(shù)人員和安全人士都非常喜歡它。現(xiàn)在，基于主機(jī)的IDS就是指基于服務(wù)器/工作站主機(jī)的所有類型的入侵檢測(cè)系統(tǒng)。該類產(chǎn)品包括Kane Secure Enterprise和Dragon Squire。
●IDS分類6－Hybrid IDS（混合IDS）：現(xiàn)代交換網(wǎng)絡(luò)的結(jié)構(gòu)給入侵檢測(cè)操作帶來了一些問題。首先，默認(rèn)狀態(tài)下的交換網(wǎng)絡(luò)不允許網(wǎng)卡以混雜模式工作，這使傳統(tǒng)網(wǎng)絡(luò)IDS的安裝非常困難。其次，很高的網(wǎng)絡(luò)速度意味著很多信息包都會(huì)被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問題的一個(gè)方案，它將IDS提升了一個(gè)層次，組合了網(wǎng)絡(luò)節(jié)點(diǎn)IDS和Host IDS（主機(jī)IDS）。雖然這種解決方案覆蓋面極大，但同時(shí)要考慮到由此引起的巨大數(shù)據(jù)量和費(fèi)用。許多網(wǎng)絡(luò)只為非常關(guān)鍵的服務(wù)器保留混合IDS。有些產(chǎn)商把完成一種以上任務(wù)的IDS都叫做Hybrid IDS，實(shí)際上這只是為了廣告的效應(yīng)。混合IDS產(chǎn)品有CentraxICE和RealSecure Server Sensor。
●IDS分類7－Network IDS（NIDS，網(wǎng)絡(luò)IDS）：NIDS對(duì)所有流經(jīng)監(jiān)測(cè)代理的網(wǎng)絡(luò)通信量進(jìn)行監(jiān)控，對(duì)可疑的異常活動(dòng)和包含攻擊特征的活動(dòng)作出反應(yīng)。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器，但是近來它們變得更加智能化，可以破譯協(xié)議并維護(hù)狀態(tài)。NIDS存在基于應(yīng)用程序的產(chǎn)品，只需要安裝到主機(jī)上就可應(yīng)用。NIDS對(duì)每個(gè)信息包進(jìn)行攻擊特征的分析，但是在網(wǎng)絡(luò)高負(fù)載下，還是要丟棄些信息包。網(wǎng)絡(luò)IDS的產(chǎn)品有SecureNetPro和Snort。
●IDS分類8－Network Node IDS（NNIDS，網(wǎng)絡(luò)節(jié)點(diǎn)IDS）：有些網(wǎng)絡(luò)IDS在高速下是不可靠的，裝載之后它們會(huì)丟棄很高比例的網(wǎng)絡(luò)信息包，而且交換網(wǎng)絡(luò)經(jīng)常會(huì)防礙網(wǎng)絡(luò)IDS看到混合傳送的信息包。NNIDS將NIDS的功能委托給單獨(dú)的主機(jī)，從而緩解了高速和交換的問題。雖然NNIDS與個(gè)人防火墻功能相似，但它們之間還有區(qū)別。對(duì)于被歸類為NNIDS的個(gè)人防火墻，應(yīng)該對(duì)企圖的連接做分析。例如，不像在許多個(gè)人防火墻上發(fā)現(xiàn)的“試圖連接到端口xxx”，一個(gè)NNIDS會(huì)對(duì)任何的探測(cè)都做特征分析。另外，NNIDS還會(huì)將主機(jī)接收到的事件發(fā)送到一個(gè)中心控制臺(tái)。NNIDS產(chǎn)品有BlackICE Agent和Tiny CMDS。
●IDS分類9－Personal Firewall（個(gè)人防火墻）：個(gè)人防火墻安裝在單獨(dú)的系統(tǒng)中，防止不受歡迎的連接，無論是進(jìn)來的還是出去的，從而保護(hù)主機(jī)系統(tǒng)。注意不要將它與NNIDS混淆。個(gè)人防火墻有ZoneAlarm和Sybergen。
●IDS分類10－Target-Based IDS（基于目標(biāo)的IDS）：這是不明確的IDS術(shù)語中的一個(gè)，對(duì)不同的人有不同的意義。可能的一個(gè)定義是文件完整性檢查器，而另一個(gè)定義則是網(wǎng)絡(luò)IDS，后者所尋找的只是對(duì)那些由于易受攻擊而受到保護(hù)的網(wǎng)絡(luò)所進(jìn)行的攻擊特征。后面這個(gè)定義的目的是為了提高IDS的速度，因?yàn)樗凰褜つ切┎槐匾墓簟?br>IDWG（Intrusion Detection Working Group，入侵檢測(cè)工作組）
入侵檢測(cè)工作組的目標(biāo)是定義數(shù)據(jù)格式和交換信息的程序步驟，這些信息是對(duì)于入侵檢測(cè)系統(tǒng)、響應(yīng)系統(tǒng)以及那些需要與它們交互作用的管理系統(tǒng)都有重要的意義。入侵檢測(cè)工作組與其它IETF組織協(xié)同工作。
IDWG的URL地址是：http://www.ietf.org/html.charters/idwg-charter.html。
IETF的URL地址是：http://www.ietf.org/。
Incident Handling（事件處理）
檢測(cè)到一個(gè)入侵只是開始。更普遍的情況是，控制臺(tái)操作員會(huì)不斷地收到警報(bào)，由于根本無法分出時(shí)間來親自追蹤每個(gè)潛在事件，操作員會(huì)在感興趣的事件上做出標(biāo)志以備將來由事件處理團(tuán)隊(duì)來調(diào)查研究。在最初的反應(yīng)之后，就需要對(duì)事件進(jìn)行處理，也就是諸如調(diào)查、辯論和起訴之類的事宜。
Incident Response（事件響應(yīng)）
對(duì)檢測(cè)出的潛在事件的最初反應(yīng)，隨后對(duì)這些事件要根據(jù)事件處理的程序進(jìn)行處理。
Islanding（孤島）
孤島就是把網(wǎng)絡(luò)從Internet上完全切斷，這幾乎是最后一招了，沒有辦法的辦法。一個(gè)組織只有在大規(guī)模的病毒爆發(fā)或受到非常明顯的安全攻擊時(shí)才使用這一手段。
Promiscuous（混雜模式）
默認(rèn)狀態(tài)下，IDS網(wǎng)絡(luò)接口只能看到進(jìn)出主機(jī)的信息，也就是所謂的non-promiscuous（非混雜模式）。如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來源或目的地。這對(duì)于網(wǎng)絡(luò)IDS是必要的，但同時(shí)可能被信息包嗅探器所利用來監(jiān)控網(wǎng)絡(luò)通信量。交換型HUB可以解決這個(gè)問題，在能看到全面通信量的地方，會(huì)都許多跨越（span）端口。
Routers（路由器）
路由器是用來連接不同子網(wǎng)的中樞，它們工作于OSI 7層模型的傳輸層和網(wǎng)絡(luò)層。路由器的基本功能就是將網(wǎng)絡(luò)信息包傳輸?shù)剿鼈兊哪康牡亍Ｒ恍┞酚善鬟€有訪問控制列表（ACLs），允許將不想要的信息包過濾出去。許多路由器都可以將它們的日志信息注入到IDS系統(tǒng)中，提供有關(guān)被阻擋的訪問網(wǎng)絡(luò)企圖的寶貴信息。
Scanners（掃描器）
掃描器是自動(dòng)化的工具，它掃描網(wǎng)絡(luò)和主機(jī)的漏洞。同入侵檢測(cè)系統(tǒng)一樣，它們也分為很多種，以下分別描述。
●掃描器種類1－Network Scanners（網(wǎng)絡(luò)掃描器）：網(wǎng)絡(luò)掃描器在網(wǎng)絡(luò)上搜索以找到網(wǎng)絡(luò)上所有的主機(jī)。傳統(tǒng)上它們使用的是ICMP ping技術(shù)，但是這種方法很容易被檢測(cè)出來。為了變得隱蔽，出現(xiàn)了一些新技術(shù)，例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個(gè)好處是：不同的操作系統(tǒng)對(duì)這些掃描會(huì)有不同的反應(yīng)，從而為攻擊者提供了更多有價(jià)值的信息。這種工具的一個(gè)例子是nmap。
●掃描器種類2－Network Vulnerability Scanners（網(wǎng)絡(luò)漏洞掃描器）：網(wǎng)絡(luò)漏洞掃描器將網(wǎng)絡(luò)掃描器向前發(fā)展了一步，它能檢測(cè)目標(biāo)主機(jī)，并突出一切可以為黑客利用的漏洞。網(wǎng)絡(luò)漏洞掃描器可以為攻擊者和安全專家使用，但會(huì)經(jīng)常讓IDS系統(tǒng)“緊張”。該類產(chǎn)品有Retina和CyberCop。
●掃描器種類3－Host Vulnerability Scanners（主機(jī)漏洞掃描器）：這類工具就像個(gè)有特權(quán)的用戶，從內(nèi)部掃描主機(jī)，檢測(cè)口令強(qiáng)度、安全策略以及文件許可等內(nèi)容。網(wǎng)絡(luò)IDS，特別是主機(jī)IDS可以將它檢測(cè)出來。該類產(chǎn)品有SecurityExpressions，它是一個(gè)遠(yuǎn)程Windows漏洞掃描器，并且能自動(dòng)修復(fù)漏洞。還有如ISS數(shù)據(jù)庫(kù)掃描器，會(huì)掃描數(shù)據(jù)庫(kù)中的漏洞。
Script Kiddies（腳本小子）
有些受到大肆宣揚(yáng)的Internet安全破壞，如2000年2月份對(duì)Yahoo的拒絕服務(wù)攻擊，是一些十來歲的中學(xué)生干的，他們干這些壞事的目的好象是為了揚(yáng)名。安全專家通常把這些人稱為腳本小子（Script Kiddies）。腳本小子通常都是一些自發(fā)的、不太熟練的cracker，他們使用從Internet 上下載的信息、軟件或腳本對(duì)目標(biāo)站點(diǎn)進(jìn)行破壞。黑客組織或法律實(shí)施權(quán)威機(jī)構(gòu)都對(duì)這些腳本小孩表示輕蔑，因?yàn)樗麄兺ǔ６技夹g(shù)不熟練，手上有大把時(shí)間可以來搞破壞，他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩，他們不需要懂得彈道理論，也不必能夠制造槍支，就能成為強(qiáng)大的敵人。因此，無論何時(shí)都不能低估他們的實(shí)力。
Shunning（躲避）
躲避是指配置邊界設(shè)備以拒絕所有不受歡迎的信息包，有些躲避甚至?xí)芙^來自某些國(guó)家所有IP地址的信息包。
Signatures（特征）
IDS的核心是攻擊特征，它使IDS在事件發(fā)生時(shí)觸發(fā)。特征信息過短會(huì)經(jīng)常觸發(fā)IDS，導(dǎo)致誤報(bào)或錯(cuò)報(bào)，過長(zhǎng)則會(huì)減慢IDS的工作速度。有人將IDS所支持的特征數(shù)視為IDS好壞的標(biāo)準(zhǔn)，但是有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊，而有些產(chǎn)商則會(huì)將這些特征單獨(dú)列出，這就會(huì)給人一種印象，好像它包含了更多的特征，是更好的IDS。大家一定要清楚這些。
Stealth（隱藏）
隱藏是指IDS在檢測(cè)攻擊時(shí)不為外界所見，它們經(jīng)常在DMZ以外使用，沒有被防火墻保護(hù)。它有些缺點(diǎn)，如自動(dòng)響應(yīng)。