广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

第一部分: a - h
by a. cliff last updated july 3, 2001
translated by mad，last updated july 9, 2001

虽然入侵检测技术还不是很成熟，但是其发展却是很迅速。与ids相关的新名词也日新月异。这里按字母顺序罗列了相关的术语，有的可能很普遍了，但是有的却很少见，或者定义不明确。ids的迅速发展以及一些ids生产厂商的市场影响力使得一些名词的含义混乱：同一个名词，不同厂商却用它表示不同的意义。
术语添加或者需要解释, pls mailto:talisker@networkintrusion.co.uk
中文解释的问题,pls mailto:mad@email.com.cn

警报（alerts）
警报是ids向系统操作员发出的有入侵正在发生或者正在尝试的消息。一旦侦测到入侵，ids会以各种方式向分析员发出警报。如果控制台在本地，ids警报通常会显示在监视器上。ids还可以通过声音报警（但在繁忙的ids上，建议关闭声音）。警报还可以通过厂商的通信手段发送到远程控制台，除此之外，还有利用snmp协议（安全性有待考虑）、email、sms/pager或者这几种方式的组合进行报警。
异常（anomaly）
大多ids在检测到与已知攻击特征匹配的事件就会发出警报，而基于异常的ids会用一段时间建立一个主机或者网络活动的轮廓。在这个轮廓之外的事件会引起ids警报，也就是说，当有人进行以前从没有过的活动，ids就会发出警报。比如一个用户突然获得管理员权限（或者root权限）。一些厂商把这种方法称为启发式ids，但是真正的启发式ids比这种方法有更高的智能性。
硬件ids（appliance ）
现在的ids做成硬件放到机架上，而不是安装到现有的操作系统中，这样很容易就可以把ids嵌入网络。这样的ids产品如captio, cisco secure ids, opensnort, dragon and securenetpro。
网络入侵特征数据库（arachnids - advanced reference archive of current heuristics for network intrusion detection systems）
由白帽子住持max vision开发维护的arachnids是一个动态更新的攻击特征数据库，适用于多种基于网络的入侵检测系统。（白帽子成员相继入狱， max butler还未出狱，max vision又被判18月监禁，但愿白帽子能够好好维持）
url： http://www.whitehats.com/ids/
攻击注册和信息服务（aris - attack registry & intelligence service ）
aris是securityfocus推出的一项安全信息服务，允许用户向securityfocus匿名报告网络安全事件。securityfocus整理这些数据，并和其它信息综合，形成详细的网络安全统计分析和趋势预测。
攻击（attacks ）
攻击可以定义为试图渗透系统或者绕过系统安全策略获取信息，更改信息或者中断目标网络或者系统的正常运行的活动。下面是一些ids可以检测的常见攻击的列表和解释：
攻击1：拒绝服务攻击（attacks: dos - denial of service attack ）
dos攻击只是使系统无法向其用户提供服务，而不是通过黑客手段渗透系统。拒绝服务攻击的方法从缓冲区溢出到通过洪流耗尽系统资源，不一而足。随着对拒绝服务攻击的认识和防范不断加强，又出现了分布式拒绝服务攻击。
攻击2：分布式拒绝服务攻击（attacks: ddos - distributed denial of service ）
分布式拒绝服务攻击是一种标准的拒绝服务攻击，通过控制多台分布的远程主机向单一主机发送大量数据，并因此得名。
攻击3：smurf攻击（attacks: smurf ）
smurf攻击是以最初发动这种攻击的程序名smurf来命名。这种攻击方法通过欺骗方法向"smurf放大器"的网络发送广播地址的ping，放大器网络向欺骗地址——攻击目标系统返回大量的icmp回复消息，引起目标系统的拒绝服务。
这里有每5分钟更新一次的可用的"放大器"： http://www.powertech.no/smurf/ （但愿你的网络不在此列…）
攻击4：特洛伊木马（attacks: trojans ）
特洛伊密码来自于古希腊著名的木马攻击特洛伊城的故事。在计算机术语中最初指的是貌似合法但其中包含恶意软件的程序。当合法程序执行时，恶意软件在用户毫无察觉的情况下被安装。后来大多数的这类恶意软件都是远程控制工具，特洛伊木马也就专指这类工具，如backorifice, subseven, netbus 等。
自动响应（automated response ）
如对攻击发出警报，一些ids 能够自动对攻击作出防御性反应，可以通过以下途径实现：
1 重新配置路由器或者防火墙，拒绝来自相同地址的流量；
2 发送reset包切断连接。
这两种方法都有问题。攻击者可以通过信任地址欺骗实施攻击，引起设备重新配置，使得设备拒绝这些信任地址，达到拒绝服务的目的。发包需要有一个活动的网络接口，又使得其本身易受攻击。解决办法是可以把活动网卡放在防火墙内，或者使用专门的发包程序，避开标准ip栈的需求。
cert计算机应急响应组(cert - computer emergency response team )
cert来自成立于carnegie mellon university的第一支计算机安全事件响应队伍的名称。今天许多组织都有自己的cert(计算机安全事件处理队伍)。同cirt（计算机事件响应组）相区别，cert侧重于紧急事件的快速反应，而不是长期监视。
通用入侵检测框架：（cidf - common intrusion detection framework ）
cidf是为了在某种程度上对入侵检测进行标准化，开发了一些协议和应用程序接口，使得入侵检测研究项目的软件能够共享信息和资源，同样入侵检测系统组件也可以被其他系统应用。
计算机事件响应组（cirt - computer incident response team ）
源自cert, cirt的不同在于对安全事件的处理方式。cert的目标是特殊的计算机紧急事件。而cirt中的事件并不都是紧急事件，还包括其它安全事件。
通用入侵描述语言(cisl - common intrusion specification language )
cisl是为了在cidf组件之间进行通信而描述入侵的通用语言。同cidf的标准化工作一样，cisl也是试图对入侵检测研究的描述语言进行标准化。
通用漏洞披露（cve - common vulnerabilities and exposures ）
关于漏洞一个问题就是当设计漏洞扫描或者采取应对策略时，不同厂商对漏洞的称谓完全不同。此外有的厂商用几种特征去描述一条漏洞，并解释为可以检测更多的攻击。mitre建设了cve，对漏洞名称进行了标准化，加入cve的厂商都使用标准化漏洞描述。
url： www.cve.mitre.org.
构造数据包（crafting packets ）
不遵循通常的数据包结构，通过构造自己的数据包，能够进行数据包欺骗,或者使接收者无法处理这样的数据包。 nemesis就是这样一个工具，最新版本1.32（当然你可以自己用libnet写）. url： http://jeff.chi.wwti.com/nemesis/
同步失效（见"躲避"）( desyncronization (see also evasion) )
最初，同步实效是指利用序列号的躲避ids的方法。一些ids无法确定期望的序列号，从而对这种数据包无能为力，无法重构数据包。这种技术98年产生，现在已经过时。有的文章用来指代其他ids躲避方法。
eleet
黑客们在写漏洞开发程序时，经常会留下标记，最常见的就是"elite" （精华，精锐），通常是elite = eleet，转换为数字就是31337. 31337 经常被用作端口号或者序列号等。现在流行的词是"skillz".
列举（enumeration ）
在经过被动探测和社会工程学的工作之后，攻击者开始列举网络资源。列举就是当攻击者主动探测一个网络来发现有哪些漏洞可以利用。由于这个活动是主动的，并且可以被探测到，但是攻击者的活动仍会尽可能地隐蔽，避免被探测到。
躲避（见"同步失效"）（evasion (see also desynchronization) ）
躲避是实施攻击计划，避开ids检测的过程。躲避的技巧就是使ids只看到攻击的一面，而目标却在其它。一种躲避的形式就是为不同的数据包设置不同的ttl值。因此经过ids的信息看上去并没有什么问题，然而，这些并不影响攻击到达目标。一旦到达目标，就只有有用的攻击了。这里大大简化了实际躲避的复杂性。ptacek and nesham的文章《嵌入、逃避和拒绝服务：如何躲避网络入侵检测》（insertion, evasion, and denial of service: eluding network intrusion detection）讲述了实施躲避的基本原理和方法。
http://www.robertgraham.com/mirror/ptacek-newsham-evasion-98.html
漏洞利用（exploits ）
对于每一个漏洞，都有利用此漏洞进行攻击的机制。为了攻击系统，攻击者编写出漏洞利用代码或教本。
漏洞利用：零时间利用（exploits: zero day exploit）
零时间漏洞利用指的是还没有被公布或者传播的漏洞利用。一旦安全界发现一个漏洞，厂商会发布补丁，ids系统会加入相应的攻击特征检测。对攻击者而言，零时间漏洞利用的价值最大。
漏报（false negatives ）
漏报：攻击事件没有被ids检测到或者逃过分析员的眼睛。
误报（false positives ）
误报：ids对正常事件识别为攻击并进行报警。
防火墙（firewalls ）
防火墙作为网络安全的第一道闸门，它与ids功能不同，但其日志可以为ids提供有用的信息。防火墙依据对ip地址或者端口的规则拒绝非法连接。
first - forum of incident response and security teams
first是一个由国际上政府或者民间组织建立的联盟，以进行安全信息交换和协调安全事件响应。first年会总是受到很大关注。
url: http://www.first.org
分片（fragmentation ）
如果数据包过大，将会被分片传输。分片依据是网络最大传输单元（mtu）。例如灵牌环网是4464，而以太网是1500。当一个数据包从令牌环网向以太网传输，它将被按照以太网的mtu进行分片。在有限的网络条件下，分片传输是很正常的。但是黑客们利用分片来逃避ids检测，有几种臭名昭著的dos攻击也是利用了分片技术。
黑客规范：（hacker ethics ）
尽管每个人的认识不同，对大多数成熟的黑客而言，黑客规范是神圣的，应该受到尊敬并得到遵守。例如无条件信息共享，不得偷窃、修改和泄漏被攻击系统的数据信息等。
url：http://www.tuxedo.org/~esr/jargon/html/entry/hacker-ethic.html
黑客规范1：黑帽子（hacker ethics: black hat ）
藐视法律，做事不考虑任何约束的反面黑客。一旦发现漏洞他们往往会私下传播利用，而不是向社会公布。
黑客规范2：白帽子（hacker ethics: white hat ）
正面黑客：一旦发现漏洞，他们首先通知厂商，在发布修补补丁之前，他们不会公布漏洞。关于白帽对黑客规范的观点和一些免费的ids工具，见jude thaddeus的文章confessions of a white hat hacker.
url：http://www.idg.net/english/crd_network_480552.html
黑客规范3：灰帽子（hacker ethics: grey hat ）
灰帽黑客介于前两者之间，一旦发现漏洞，他们会向黑客群体发布，同时通知厂商，然后观察事态发展。他们遵循了黑客守则的两点道德规范。许多人认为厂商应该最先得到通知，很多厂商利用这些信息。rain forest puppy 发布了一个策略既能保证厂商利益，又不影响安全研究。
url：http://www.wiretrip.net/rfp/policy.html
启发（heuristics ）
"启发"中包含了应用于ids中的人工智能的思想。启发式ids已经提出近十年，然而至今仍进展不大，而黑客却可以"训练"ids使其忽视恶意攻击。一些ids使用异常模型来探测入侵攻击，然而ids需要大量时间来"学习"以识别正常事件。厂商在市场上把这称为启发式ids，但至少这种ids并没有应用人工智能对输入数据进行分析。
honeynet 工程（honeynet project ）
根据honeynet 工程的定义：honeynet是一个学习工具，是一个被设计含有缺陷的网络系统。一旦系统安全受到威胁，相关信息就会被捕捉，并被小组人员分析和学习。因此honeynet是一个非常有用的，透视攻击全过程的资源。honeynet小组由30个安全专家组成，每人都设置了一系列的"蜜罐"来引诱攻击者，通过观察研究策略、工具和黑客行为。
url：http://project.honeynet.org/project.html
蜜罐（honeypot ）
蜜罐是模拟存在漏洞的系统，为攻击者提供攻击目标。蜜罐在网络中没有任何用途，因此任何连接都是可能的攻击。蜜罐的另一个目的就是诱惑攻击者在其上浪费时间，延缓对真正目标的攻击。尽管蜜罐的最初设计目标是为起诉攻击者提供证据收集，但是关于应用蜜罐做陷阱的讨论很多。如果蜜罐在网络内部，攻击者至少要攻陷一个网络设备。有的国家法律规定，蜜罐收集的证据不能最为起诉证据。

（）