隨著IDS(入侵檢測系統)的超速發展,與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語,其中一些是非常基本并相對通用的,而另一些則有些生僻。由于IDS的飛速發展以及一些IDS產商的市場影響力,不同的產商可能會用同一個術語表示不同的意義,從而導致某些術語的確切意義出現了混亂。對此,本文會試圖將所有的術語都囊括進來。
Alerts(警報)
當一個入侵正在發生或者試圖發生時,IDS系統將發布一個alert信息通知系統管理員。如果控制臺與IDS系統同在一臺機器,alert信息將顯示在監視器上,也可能伴隨著聲音提示。如果是遠程控制臺,那么alert將通過IDS系統內置方法(通常是加密的)、SNMP(簡單網絡管理協議,通常不加密)、email、SMS(短信息)或者以上幾種方法的混合方式傳遞給管理員。
Anomaly(異常)
當有某個事件與一個已知攻擊的信號相匹配時,多數IDS都會告警。一個基于anomaly(異常)的IDS會構造一個當時活動的主機或網絡的大致輪廓,當有一個在這個輪廓以外的事件發生時,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個用戶突然獲取了管理員或根目錄的權限。有些IDS廠商將此方法看做啟發式功能,但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。
Appliance(IDS硬件)
除了那些要安裝到現有系統上去的IDS軟件外,在市場的貨架上還可以買到一些現成的IDS硬件,只需將它們接入網絡中就可以應用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。
ArachNIDS
ArachNIDS是由Max Visi開發的一個攻擊特征數據庫,它是動態更新的,適用于多種基于網絡的入侵檢測系統。
ARIS:Attack Registry & Intelligence Service(攻擊事件注冊及智能服務)
ARIS是SecurityFocus公司提供的一個附加服務,它允許用戶以網絡匿名方式連接到Internet上向SecurityFocus報送網絡安全事件,隨后SecurityFocus會將這些數據與許多其它參與者的數據結合起來,最終形成詳細的網絡安全統計分析及趨勢預測,發布在網絡上。它的URL地址是。
Attacks(攻擊)
Attacks可以理解為試圖滲透系統或繞過系統的安全策略,以獲取信息、修改信息以及破壞目標網絡或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型:
攻擊類型1-DOS(Denial Of Service attack,拒絕服務攻擊):DOS攻擊不是通過黑客手段破壞一個系統的安全,它只是使系統癱瘓,使系統拒絕向其用戶提供服務。其種類包括緩沖區溢出、通過洪流(flooding)耗盡系統資源等等。
攻擊類型2-DDOS(Distributed Denial of Service,分布式拒絕服務攻擊):一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊,卻無法發出足夠的信息包來達到理想的結果,因此就產生了DDOS,即從多個分散的主機一個目標發動攻擊,耗盡遠程系統的資源,或者使其連接失效。
攻擊類型3-Smurf:這是一種老式的攻擊,但目前還時有發生,攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作,然后所有活動主機都會向該目標應答,從而中斷網絡連接。
攻擊類型4-Trojans(特洛伊木馬):Trojan這個術語來源于古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當木馬運到城里,士兵就涌出木馬向這個城市及其居民發起攻擊。在計算機術語中,它原本是指那些以合法程序的形式出現,其實包藏了惡意軟件的那些軟件。這樣,當用戶運行合法程序時,在不知情的情況下,惡意軟件就被安裝了。但是由于多數以這種形式安裝的惡意程序都是遠程控制工具,Trojan這個術語很快就演變為專指這類工具,例如BackOrifice、SubSeven、NetBus等等。
Automated Response(自動響應)
除了對攻擊發出警報,有些IDS還能自動抵御這些攻擊。抵御方式有很多:首先,可以通過重新配置路由器和防火墻,拒絕那些來自同一地址的信息流;其次,通過在網絡上發送reset包切斷連接。但是這兩種方式都有問題,攻擊者可以反過來利用重新配置的設備,其方法是:通過偽裝成一個友方的地址來發動攻擊,然后IDS就會配置路由器和防火墻來拒絕這些地址,這樣實際上就是對“自己人”拒絕服務了。發送reset包的方法要求有一個活動的網絡接口,這樣它將置于攻擊之下,一個補救的辦法是:使活動網絡接口位于防火墻內,或者使用專門的發包程序,從而避開標準IP棧需求。
CERT(Computer Emergency Response Team,計算機應急響應小組)
這個術語是由第一支計算機應急反映小組選擇的,這支團隊建立在Carnegie Mellon大學,他們對計算機安全方面的事件做出反應、采取行動。現在許多組織都有了CERT,比如CNCERT/CC(中國計算機網絡應急處理協調中心)。由于emergency這個詞有些不夠明確,因此許多組織都用Incident這個詞來取代它,產生了新詞Computer Incident Response Team(CIRT),即計算機事件反應團隊。response這個詞有時也用handling來代替,其含義是response表示緊急行動,而非長期的研究。
CIDF(Common Intrusion Detection Framework;通用入侵檢測框架)
CIDF力圖在某種程度上將入侵檢測標準化,開發一些協議和應用程序接口,以使入侵檢測的研究項目之間能夠共享信息和資源,并且入侵檢測組件也能夠在其它系統中再利用。
CIRT(Computer Incident Response Team,計算機事件響應小組)
CIRT是從CERT演變而來的,CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的,而CIRT中的術語incident則表明并不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。
CISL(Common Intrusion Specification Language,通用入侵規范語言)
CISL是CIDF組件間彼此通信的語言。由于CIDF就是對協議和接口標準化的嘗試,因此CISL就是對入侵檢測研究的語言進行標準化的嘗試。
CVE(Common Vulnerabilities and Exposures,通用漏洞披露)
關于漏洞的一個老問題就是在設計掃描程序或應對策略時,不同的廠商對漏洞的稱謂也會完全不同。還有,一些產商會對一個漏洞定義多種特征并應用到他們的IDS系統中,這樣就給人一種錯覺,好像他們的產品更加有效。MITRE創建了CVE,將漏洞名稱進行標準化,參與的廠商也就順理成章按照這個標準開發IDS產品。
Crafting Packets(自定義數據包)
建立自定義數據包,就可以避開一些慣用規定的數據包結構,從而制造數據包欺騙,或者使得收到它的計算機不知該如何處理它。
Desynchronization(同步失效)
Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑,從而導致無法重新構建數據。這一技術在1998年很流行,現在已經過時了,有些文章把desynchronization這個術語代指其它IDS逃避方法。
Eleet
當黑客編寫漏洞開發程序時,他們通常會留下一個簽名,其中最聲名狼藉的一個就是elite。如果將eleet轉換成數字,它就是31337,而當它是指他們的能力時,elite=eleet,表示精英。31337通常被用做一個端口號或序列號。目前流行的詞是“skillz”。
Enumeration(列舉)
經過被動研究和社會工程學的工作后,攻擊者就會開始對網絡資源進行列舉。列舉是指攻擊者主動探查一個網絡以發現其中有什么以及哪些可以被他利用。由于現在的行動不再是被動的,它就有可能被檢測出來。當然為了避免被檢測到,他們會盡可能地悄悄進行。
Evasion(躲避)
Evasion是指發動一次攻擊,而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面,而實際攻擊的卻是另一個目標,所謂明修棧道,暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL(有效時間)值,這樣,經過IDS的信息看起來好像是無害的,而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS并接近目標,無害的部分就會被丟掉,只剩下有害的。
Exploits(漏洞利用)
對于每一個漏洞,都有利用此漏洞進行攻擊的機制。為了攻擊系統,攻擊者編寫出漏洞利用代碼或教本。
對每個漏洞都會存在利用這個漏洞執行攻擊的方式,這個方式就是Exploit。為了攻擊系統,黑客會編寫出漏洞利用程序。
漏洞利用:Zero Day Exploit(零時間漏洞利用)
零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用,也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網絡安全界發現,很快就會出現針對它的補丁程序,并在IDS中寫入其特征標識信息,使這個漏洞利用無效,有效地捕獲它。
False Negatives(漏報)
漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。
False Positives(誤報)
誤報是指實際無害的事件卻被IDS檢測為攻擊事件。
Firewalls(防火墻)
防火墻是網絡安全的第一道關卡,雖然它不是IDS,但是防火墻日志可以為IDS提供寶貴信息。防火墻工作的原理是根據規則或標準,如源地址、端口等,將危險連接阻擋在外。
FIRST(Forum of Incident Response and Security Teams,事件響應和安全團隊論壇)
FIRST是由國際性政府和私人組織聯合起來交換信息并協調響應行動的聯盟,一年一度的FIRST受到高度的重視。
Fragmentation(分片)
如果一個信息包太大而無法裝載,它就不得不被分成片斷。分片的依據是網絡的MTU(Maximum Transmission Units,最大傳輸單元)。例如,靈牌環網(token ring)的MTU是4464,以太網(Ethernet)的MTU是1500,因此,如果一個信息包要從靈牌環網傳輸到以太網,它就要被分裂成一些小的片斷,然后再在目的地重建。雖然這樣處理會造成效率降低,但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法,另外還有一些DOS攻擊也使用分片技術。
Heuristics(啟發)
Heuristics就是指在入侵檢測中使用AI(artificial intelligence,人工智能)思想。真正使用啟發理論的IDS已經出現大約10年了,但他們還不夠“聰明”,攻擊者可以通過訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵,這樣的IDS必須要不斷地學習什么是正常事件。一些產商認為這已經是相當“聰明”的IDS了,所以就將它們看做是啟發式IDS。但實際上,真正應用AI技術對輸入數據進行分析的IDS還很少很少。
Honeynet Project(Honeynet工程)
Honeynet是一種學習工具,是一個包含安全缺陷的網絡系統。當它受到安全威脅時,入侵信息就會被捕獲并接受分析,這樣就可以了解黑客的一些情況。Honeynet是一個由30余名安全專業組織成員組成、專門致力于了解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots,提供了看似易受攻擊的Honeynet網絡,觀察入侵到這些系統中的黑客,研究黑客的戰術、動機及行為。
Honeypot(蜜罐)
蜜罐是一個包含漏洞的系統,它模擬一個或多個易受攻擊的主機,給黑客提供一個容易攻擊的目標。由于蜜罐沒有其它任務需要完成,因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊,讓攻擊者在蜜罐上浪費時間。與此同時,最初的攻擊目標受到了保護,真正有價值的內容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客搜集證據,這看起來有“誘捕”的感覺。但是在一些國家中,是不能利用蜜罐收集證據起訴黑客的。
IDS Categories(IDS分類)
有許多不同類型的IDS,以下分別列出:
IDS分類1-Application IDS(應用程序IDS):應用程序IDS為一些特殊的應用程序發現入侵信號,這些應用程序通常是指那些比較易受攻擊的應用程序,如Web服務器、數據庫等。有許多原本著眼于操作系統的基于主機的IDS,雖然在默認狀態下并不針對應用程序,但也可以經過訓練,應用于應用程序。例如,KSE(一個基于主機的IDS)可以告訴我們在事件日志中正在進行的一切,包括事件日志報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。
IDS分類2-Consoles IDS(控制臺IDS):為了使IDS適用于協同環境,分布式IDS代理需要向中心控制臺報告信息。現在的許多中心控制臺還可以接收其它來源的數據,如其它產商的IDS、防火墻、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制臺還將它們自己的攻擊特征添加到代理級別的控制臺,并提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分類3-File Integrity Checkers(文件完整性檢查器):當一個系統受到攻擊者的威脅時,它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要(加密的雜亂信號),就可以定時地檢查文件,查看它們是否被改變,這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化,完整性檢查器就會發出一個警報。而且,當一個系統已經受到攻擊后,系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之后才能將入侵檢測出來,是“事后諸葛亮”,最近出現的許多產品能在文件被訪問的同時就進行檢查,可以看做是實時IDS產品了。該類產品有Tripwire和Intact。
IDS分類4-Honeypots(蜜罐):關于蜜罐,前面已經介紹過。蜜罐的例子包括Mantrap和Sting。
IDS分類5-Host-based IDS(基于主機的IDS):這類IDS對多種來源的系統和事件日志進行監控,發現可疑活動。基于主機的IDS也叫做主機IDS,最適合于檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網絡中的活動。除了完成類似事件日志閱讀器的功能,主機IDS還對“事件/日志/時間”進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的,系統的錯誤就可以很快地檢測出來,技術人員和安全人士都非常喜歡它。現在,基于主機的IDS就是指基于服務器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。
IDS分類6-Hybrid IDS(混合IDS):現代交換網絡的結構給入侵檢測操作帶來了一些問題。首先,默認狀態下的交換網絡不允許網卡以混雜模式工作,這使傳統網絡IDS的安裝非常困難。其次,很高的網絡速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS(混合IDS)正是解決這些問題的一個方案,它將IDS提升了一個層次,組合了網絡節點IDS和Host IDS(主機IDS)。雖然這種解決方案覆蓋面極大,但同時要考慮到由此引起的巨大數據量和費用。許多網絡只為非常關鍵的服務器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS,實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。
IDS分類7-Network IDS(NIDS,網絡IDS):NIDS對所有流經監測代理的網絡通信量進行監控,對可疑的異常活動和包含攻擊特征的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器,但是近來它們變得更加智能化,可以破譯協議并維護狀態。NIDS存在基于應用程序的產品,只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特征的分析,但是在網絡高負載下,還是要丟棄些信息包。網絡IDS的產品有SecureNetPro和Snort。
IDS分類8-Network Node IDS(NNIDS,網絡節點IDS):有些網絡IDS在高速下是不可靠的,裝載之后它們會丟棄很高比例的網絡信息包,而且交換網絡經常會防礙網絡IDS看到混合傳送的信息包。NNIDS將NIDS的功能委托給單獨的主機,從而緩解了高速和交換的問題。雖然NNIDS與個人防火墻功能相似,但它們之間還有區別。對于被歸類為NNIDS的個人防火墻,應該對企圖的連接做分析。例如,不像在許多個人防火墻上發現的“試圖連接到端口xxx”,一個NNIDS會對任何的探測都做特征分析。另外,NNIDS還會將主機接收到的事件發送到一個中心控制臺。NNIDS產品有BlackICE Agent和Tiny CMDS。
IDS分類9-Personal Firewall(個人防火墻):個人防火墻安裝在單獨的系統中,防止不受歡迎的連接,無論是進來的還是出去的,從而保護主機系統。注意不要將它與NNIDS混淆。個人防火墻有ZoneAlarm和Sybergen。
IDS分類10-Target-Based IDS(基于目標的IDS):這是不明確的IDS術語中的一個,對不同的人有不同的意義。可能的一個定義是文件完整性檢查器,而另一個定義則是網絡IDS,后者所尋找的只是對那些由于易受攻擊而受到保護的網絡所進行的攻擊特征。后面這個定義的目的是為了提高IDS的速度,因為它不搜尋那些不必要的攻擊。
IDWG(Intrusion Detection Working Group,入侵檢測工作組)
入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟,這些信息是對于入侵檢測系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協同工作。
Incident Handling(事件處理)
檢測到一個入侵只是開始。更普遍的情況是,控制臺操作員會不斷地收到警報,由于根本無法分出時間來親自追蹤每個潛在事件,操作員會在感興趣的事件上做出標志以備將來由事件處理團隊來調查研究。在最初的反應之后,就需要對事件進行處理,也就是諸如調查、辯論和起訴之類的事宜。
Incident Response(事件響應)
對檢測出的潛在事件的最初反應,隨后對這些事件要根據事件處理的程序進行處理。
Islanding(孤島)
孤島就是把網絡從Internet上完全切斷,這幾乎是最后一招了,沒有辦法的辦法。一個組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。
Promiscuous(混雜模式)
默認狀態下,IDS網絡接口只能看到進出主機的信息,也就是所謂的non-promiscuous(非混雜模式)。如果網絡接口是混雜模式,就可以看到網段中所有的網絡通信量,不管其來源或目的地。這對于網絡IDS是必要的,但同時可能被信息包嗅探器所利用來監控網絡通信量。交換型HUB可以解決這個問題,在能看到全面通信量的地方,會都許多跨越(span)端口。
Routers(路由器)
路由器是用來連接不同子網的中樞,它們工作于OSI 7層模型的傳輸層和網絡層。路由器的基本功能就是將網絡信息包傳輸到它們的目的地。一些路由器還有訪問控制列表(ACLs),允許將不想要的信息包過濾出去。許多路由器都可以將它們的日志信息注入到IDS系統中,提供有關被阻擋的訪問網絡企圖的寶貴信息。
Scanners(掃描器)
掃描器是自動化的工具,它掃描網絡和主機的漏洞。同入侵檢測系統一樣,它們也分為很多種,以下分別描述。
掃描器種類1-Network Scanners(網絡掃描器):網絡掃描器在網絡上搜索以找到網絡上所有的主機。傳統上它們使用的是ICMP ping技術,但是這種方法很容易被檢測出來。為了變得隱蔽,出現了一些新技術,例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是:不同的操作系統對這些掃描會有不同的反應,從而為攻擊者提供了更多有價值的信息。這種工具的一個例子是nmap。
掃描器種類2-Network Vulnerability Scanners(網絡漏洞掃描器):網絡漏洞掃描器將網絡掃描器向前發展了一步,它能檢測目標主機,并突出一切可以為黑客利用的漏洞。網絡漏洞掃描器可以為攻擊者和安全專家使用,但會經常讓IDS系統“緊張”。該類產品有Retina和CyberCop。
掃描器種類3-Host Vulnerability Scanners(主機漏洞掃描器):這類工具就像個有特權的用戶,從內部掃描主機,檢測口令強度、安全策略以及文件許可等內容。網絡IDS,特別是主機IDS可以將它檢測出來。該類產品有SecurityExpressions,它是一個遠程Windows漏洞掃描器,并且能自動修復漏洞。還有如ISS數據庫掃描器,會掃描數據庫中的漏洞。
Script Kiddies(腳本小子)
有些受到大肆宣揚的Internet安全破壞,如2000年2月份對Yahoo的拒絕服務攻擊,是一些十來歲的中學生干的,他們干這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為腳本小子(Script Kiddies)。腳本小子通常都是一些自發的、不太熟練的cracker,他們使用從Internet 上下載的信息、軟件或腳本對目標站點進行破壞。黑客組織或法律實施權威機構都對這些腳本小孩表示輕蔑,因為他們通常都技術不熟練,手上有大把時間可以來搞破壞,他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩,他們不需要懂得彈道理論,也不必能夠制造槍支,就能成為強大的敵人。因此,無論何時都不能低估他們的實力。
Shunning(躲避)
躲避是指配置邊界設備以拒絕所有不受歡迎的信息包,有些躲避甚至會拒絕來自某些國家所有IP地址的信息包。
Signatures(特征)
IDS的核心是攻擊特征,它使IDS在事件發生時觸發。特征信息過短會經常觸發IDS,導致誤報或錯報,過長則會減慢IDS的工作速度。有人將IDS所支持的特征數視為IDS好壞的標準,但是有的產商用一個特征涵蓋許多攻擊,而有些產商則會將這些特征單獨列出,這就會給人一種印象,好像它包含了更多的特征,是更好的IDS。大家一定要清楚這些。
Stealth(隱藏)
隱藏是指IDS在檢測攻擊時不為外界所見,它們經常在DMZ以外使用,沒有被防火墻保護。它有些缺點,如自動響應。
