我爱电脑技术论坛 » 电脑综合区 » 经典入侵检测术语全接触（二）

tianshiren 发表于 2008-6-26 18:14

经典入侵检测术语全接触（二）

FIRST（Forum of Incident Response and Security Teams，事件响应和安全团队论坛）  sCeiI|
A/G/oS VS|
\+z$z}+ab8p
FIRST是由国际性政府和私人组织联合起来交换信息并协调响应行动的联盟，一年一度的FIRST受到高度的重视，它的URL地址[url]http://www.first.org/[/url]。  8D[sJ:uf.C|7}H

?Ig'^)FP4FI5o$l |g&?qO,S
U
Fragmentation（分片）  
,[TLj]#B 0g-I\oT9| o3Y
Xa0G8}8VX
如果一个信息包太大而无法装载，它就不得不被分成片断。分片的依据是网络的MTU（Maximum Transmission Units，最大传输单元）。例如，灵牌环网（token ring）的MTU是4464，以太网（Ethernet）的MTU是1500，因此，如果一个信息包要从灵牌环网传输到以太网，它就要被分裂成一些小的片断，然后再在目的地重建。虽然这样处理会造成效率降低，但是分片的效果还是很好的。黑客将分片视为躲避IDS的方法，另外还有一些DOS攻击也使用分片技术。  M#d"O |2f'k
\v
etS.P(@`4GdM

9]]X%v1y.L5xQ6Xg Heuristics（启发）  U_4wO%iH%G9K
@0uTq p9d5{)@
*J6AcP9jD
Heuristics就是指在入侵检测中使用AI（artificial intelligence，人工智能）思想。真正使用启发理论的IDS已经出现大约10年了，但他们还不够“聪明”，攻击者可以通过训练它而使它忽视那些恶意的信息流。有些IDS使用异常模式去检测入侵，这样的IDS必须要不断地学习什么是正常事件。一些产商认为这已经是相当“聪明”的IDS了，所以就将它们看做是启发式IDS。但实际上，真正应用AI技术对输入数据进行分析的IDS还很少很少。  !x)B`*N,KKm~D_

AtRL!a7W Bz x "E{)T]9V)A)rXz
Honeynet Project（Honeynet工程）  OC/G4Rb!@3y9vA

9f@@q1KgvQ$p5p/I
5| a.p?{:q]3@N!L.l Honeynet是一种学习工具，是一个包含安全缺陷的网络系统。当它受到安全威胁时，入侵信息就会被捕获并接受分析，这样就可以了解黑客的一些情况。Honeynet是一个由30余名安全专业组织成员组成、专门致力于了解黑客团体使用的工具、策略和动机以及共享他们所掌握的知识的项目。他们已经建立了一系列的honeypots，提供了看似易受攻击的Honeynet网络，观察入侵到这些系统中的黑客，研究黑客的战术、动机及行为。  
0R(wqcz k*_0X d!RA%Y,Jv(L

G ]T|*NF4U Honeypot（蜜罐）  lDpP$N Y-K_
l|]bSp&w

Lr5Ns+@|W%r!v 蜜罐是一个包含漏洞的系统，它模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。与此同时，最初的攻击目标受到了保护，真正有价值的内容将不受侵犯。  
Y8}l \ f-?[
zlR~.rz2W0Hx y[P-d vo
蜜罐最初的目的之一是为起诉恶意黑客搜集证据，这看起来有“诱捕”的感觉。但是在一些国家中，是不能利用蜜罐收集证据起诉黑客的。  ;g*FH"L/ME
.UfRF3R,w4k'L"c
TWut/b'i1G#M
IDS Categories（IDS分类）  
'D
Ss7`V8j|?j
,g#?*D"l
E._7w?tU8v
ly?|(R;P 有许多不同类型的IDS，以下分别列出：  .tj2w'\x#ZrT

:`/nG&R CzV7q[,M vv/W3rP p(fd
●IDS分类1－Application IDS（应用程序IDS）：应用程序IDS为一些特殊的应用程序发现入侵信号，这些应用程序通常是指那些比较易受攻击的应用程序，如Web服务器、数据库等。有许多原本着眼于操作系统的基于主机的IDS，虽然在默认状态下并不针对应用程序，但也可以经过训练，应用于应用程序。例如，KSE（一个基于主机的IDS）可以告诉我们在事件日志中正在进行的一切，包括事件日志报告中有关应用程序的输出内容。应用程序IDS的一个例子是Entercept的Web Server Edition。  
9z'T5yc0U3~$V;|
[`,q:B-`wH^4v Gu/br4Iw
●IDS分类2－Consoles IDS（控制台IDS）：为了使IDS适用于协同环境，分布式IDS代理需要向中心控制台报告信息。现在的许多中心控制台还可以接收其它来源的数据，如其它产商的IDS、防火墙、路由器等。将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。有些控制台还将它们自己的攻击特征添加到代理级别的控制台，并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。  ,O+f
kRT!kR:@
!~RBjFqv

S@.cpx0H%bQX ●IDS分类3－File Integrity Checkers（文件完整性检查器）：当一个系统受到攻击者的威胁时，它经常会改变某些关键文件来提供持续的访问和预防检测。通过为关键文件附加信息摘要（加密的杂乱信号），就可以定时地检查文件，查看它们是否被改变，这样就在某种程度上提供了保证。一旦检测到了这样一个变化，完整性检查器就会发出一个警报。而且，当一个系统已经受到攻击后，系统管理员也可以使用同样的方法来确定系统受到危害的程度。以前的文件检查器在事件发生好久之后才能将入侵检测出来，是“事后诸葛亮”，最近出现的许多产品能在文件被访问的同时就进行检查，可以看做是实时IDS产品了。该类产品有Tripwire和Intact。  %W;a{/G`e

Y:V)J(h'C4h$|U9u
d I5})L'u:lXg ●IDS分类4－Honeypots（蜜罐）：关于蜜罐，前面已经介绍过。蜜罐的例子包括Mantrap和Sting。  [/X&vW P:]]1]V
.D%h3UMFN%Q9tT
6x!^L6Uku o0xD%D
●IDS分类5－Host-based IDS（基于主机的IDS）：这类IDS对多种来源的系统和事件日志进行监控，发现可疑活动。基于主机的IDS也叫做主机IDS，最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。除了完成类似事件日志阅读器的功能，主机IDS还对“事件/日志/时间”进行签名分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的，系统的错误就可以很快地检测出来，技术人员和安全人士都非常喜欢它。现在，基于主机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。  
BC ^h_
a&Sm Il;LL IsQ
Oj;UOIQk |$M
●IDS分类6－Hybrid IDS（混合IDS）：现代交换网络的结构给入侵检测操作带来了一些问题。首先，默认状态下的交换网络不允许网卡以混杂模式工作，这使传统网络IDS的安装非常困难。其次，很高的网络速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS（混合IDS）正是解决这些问题的一个方案，它将IDS提升了一个层次，组合了网络节点IDS和Host IDS（主机IDS）。虽然这种解决方案覆盖面极大，但同时要考虑到由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合IDS。有些产商把完成一种以上任务的IDS都叫做Hybrid IDS，实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。  2^t'SVshw ?V

+Y+`7l;}h 3r D!}-Di |
●IDS分类7－Network IDS（NIDS，网络IDS）：NIDS对所有流经监测代理的网络通信量进行监控，对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带有IDS过滤器的混合信息包嗅探器，但是近来它们变得更加智能化，可以破译协议并维护状态。NIDS存在基于应用程序的产品，只需要安装到主机上就可应用。NIDS对每个信息包进行攻击特征的分析，但是在网络高负载下，还是要丢弃些信息包。网络IDS的产品有SecureNetPro和Snort。  \T} u~9J)X

5zD^uc^)e*U
8j!~zG7Szy&` ●IDS分类8－Network Node IDS（NNIDS，网络节点IDS）：有些网络IDS在高速下是不可靠的，装载之后它们会丢弃很高比例的网络信息包，而且交换网络经常会防碍网络IDS看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机，从而缓解了高速和交换的问题。虽然NNIDS与个人防火墙功能相似，但它们之间还有区别。对于被归类为NNIDS的个人防火墙，应该对企图的连接做分析。例如，不像在许多个人防火墙上发现的“试图连接到端口xxx”，一个NNIDS会对任何的探测都做特征分析。另外，NNIDS还会将主机接收到的事件发送到一个中心控制台。NNIDS产品有BlackICE Agent和Tiny CMDS。  (qFSHh7w&J
&c7`-Zr Z;U!l;n;a

.iu$r
FfVV*|k ●IDS分类9－Personal Firewall（个人防火墙）：个人防火墙安装在单独的系统中，防止不受欢迎的连接，无论是进来的还是出去的，从而保护主机系统。注意不要将它与NNIDS混淆。个人防火墙有ZoneAlarm和Sybergen。  
z g3|n
e%L2W(M "j%Jj$q6^$A/sgM
ii'o/|)?0g
●IDS分类10－Target-Based IDS（基于目标的IDS）：这是不明确的IDS术语中的一个，对不同的人有不同的意义。可能的一个定义是文件完整性检查器，而另一个定义则是网络IDS，后者所寻找的只是对那些由于易受攻击而受到保护的网络所进行的攻击特征。后面这个定义的目的是为了提高IDS的速度，因为它不搜寻那些不必要的攻击。  
C.Al xq2l
u-j!ZeP3F.^

a[
L3Q-l5k/? m[r IDWG（Intrusion Detection Working Group，入侵检测工作组）  DZt*`$YG4~ J

\9K-],M0E]e$R%} b"H.C-V
m
入侵检测工作组的目标是定义数据格式和交换信息的程序步骤，这些信息是对于入侵检测系统、响应系统以及那些需要与它们交互作用的管理系统都有重要的意义。入侵检测工作组与其它IETF组织协同工作。  
w+kX\"q 'A%d+zv+iYo&DDk9C-d!d

6EQPz6i'Q(Af:_ EG IDWG的URL地址[url]http://www.ietf.org/html.charters/idwg-charter.html[/url]。   ]&w _)qi.?,cS
U U5R;s*Wg$vIH
3Q"P-A6UGgq9E
IETF的URL地址[url]http://www.ietf.org/[/url]。  Z'OL's3G3]$qV
!Ae1kQ&T R!{2J

w|N |m UQ Incident Handling（事件处理）  
l(d8|zw7ph
.n)mx g1W_,P
-{MPQ,?_9` 检测到一个入侵只是开始。更普遍的情况是，控制台操作员会不断地收到警报，由于根本无法分出时间来亲自追踪每个潜在事件，操作员会在感兴趣的事件上做出标志以备将来由事件处理团队来调查研究。在最初的反应之后，就需要对事件进行处理，也就是诸如调查、辩论和起诉之类的事宜。  
4}vgm+lRvR/gA
_ ih J@p
nHo H2f2HM5a p Incident Response（事件响应）  
VisJ}/TF[EE
yer d OmD#bL

;l#G4[~$o 对检测出的潜在事件的最初反应，随后对这些事件要根据事件处理的程序进行处理。   Q%D l @$L
w
R7iP"Hw`5C8\#a
0YE3PdK\d&T
Islanding（孤岛）  !bb;Qy&Ipi!GZI!^
|x"Dx4jC2iCB3?
t` U(rw D4u*o^
孤岛就是把网络从Internet上完全切断，这几乎是最后一招了，没有办法的办法。一个组织只有在大规模的病毒爆发或受到非常明显的安全攻击时才使用这一手段。  
.[,CK|a*@_
1xH$e#eN]1~u4o BFc ah#wdE&Y3D
Promiscuous（混杂模式）  ;bpL%l1Jbo

Iev(@ID#n4mxD
I$Y3C:x.y)z4PxN-G 默认状态下，IDS网络接口只能看到进出主机的信息，也就是所谓的non-promiscuous（非混杂模式）。如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地。这对于网络IDS是必要的，但同时可能被信息包嗅探器所利用来监控网络通信量。交换型HUB可以解决这个问题，在能看到全面通信量的地方，会都许多跨越（span）端口。  x#q n+vq4~Y

*b(z"D|gNQ"G-u W
rda%G'yl-{3~)Q Routers（路由器）   ]4P5|lL!I wb
~O s4]+^2H

_0^)sq/|Q
l 路由器是用来连接不同子网的中枢，它们工作于OSI 7层模型的传输层和网络层。路由器的基本功能就是将网络信息包传输到它们的目的地。一些路由器还有访问控制列表（ACLs），允许将不想要的信息包过滤出去。许多路由器都可以将它们的日志信息注入到IDS系统中，提供有关被阻挡的访问网络企图的宝贵信息。  Yt@*S Qa
1h nH5Y\B s
6]P+J6Oa\#g3b&f
Scanners（扫描器）  T!a9pl$G$S B'a

R6c6Se+pI%]a!`l +kW$qYL'\|$n
扫描器是自动化的工具，它扫描网络和主机的漏洞。同入侵检测系统一样，它们也分为很多种，以下分别描述。  
9oj$y5]fb7]B }0T,X
t#|R|Sy
q'J:p
L"} ●扫描器种类1－Network Scanners（网络扫描器）：网络扫描器在网络上搜索以找到网络上所有的主机。传统上它们使用的是ICMP ping技术，但是这种方法很容易被检测出来。为了变得隐蔽，出现了一些新技术，例如ack扫描和fin扫描。使用这些更为隐蔽扫描器的另一个好处是：不同的操作系统对这些扫描会有不同的反应，从而为攻击者提供了更多有价值的信息。这种工具的一个例子是nmap。  &P4[/a]+\+Tp

@vEj$k9@$D
M

bD
s}-|$H"S ●扫描器种类2－Network Vulnerability Scanners（网络漏洞扫描器）：网络漏洞扫描器将网络扫描器向前发展了一步，它能检测目标主机，并突出一切可以为黑客利用的漏洞。网络漏洞扫描器可以为攻击者和安全专家使用，但会经常让IDS系统“紧张”。该类产品有Retina和CyberCop。   YQ'[Y(N2P
,]:VT+vTN'G*b[
qC
C\'c,Wv9@W
●扫描器种类3－Host Vulnerability Scanners（主机漏洞扫描器）：这类工具就像个有特权的用户，从内部扫描主机，检测口令强度、安全策略以及文件许可等内容。网络IDS，特别是主机IDS可以将它检测出来。该类产品有SecurityExpressions，它是一个远程Windows漏洞扫描器，并且能自动修复漏洞。还有如ISS数据库扫描器，会扫描数据库中的漏洞。   WMa:Xte'~
%K_Yo1u*}
H
8K nK:L4[H{@;C3}Zy
Script Kiddies（脚本小子）  +gowi8R%BjP

oF5H6G+]~X~4i p,^
|bv0}w)U,_ 有些受到大肆宣扬的Internet安全破坏，如2000年2月份对Yahoo的拒绝服务攻击，是一些十来岁的中学生干的，他们干这些坏事的目的好象是为了扬名。安全专家通常把这些人称为脚本小子（Script Kiddies）。脚本小子通常都是一些自发的、不太熟练的cracker，他们使用从Internet 上下载的信息、软件或脚本对目标站点进行破坏。黑客组织或法律实施权威机构都对这些脚本小孩表示轻蔑，因为他们通常都技术不熟练，手上有大把时间可以来搞破坏，他们的目的一般是为了给他们的朋友留下印象。脚本小子就像是拿着抢的小孩，他们不需要懂得弹道理论，也不必能够制造枪支，就能成为强大的敌人。因此，无论何时都不能低估他们的实力。  -[-f9[L.m~HQ
Zz:?

[*Err!GNO6f
rZDuVS Shunning（躲避）  z;Zih ?D"W$B

G/@4J3sn"qn-\ u (Fd_CKqM(y9h3cu
躲避是指配置边界设备以拒绝所有不受欢迎的信息包，有些躲避甚至会拒绝来自某些国家所有IP地址的信息包。  E#G'~)a2Dh2p/G

K%J(aU;y FRYi G e&?P^k'B)Em
Signatures（特征）  
[ ~ R*Z5l;abV9I%E+Rh 6S5uob by zU1s
(e_ \2HFAl}I
IDS的核心是攻击特征，它使IDS在事件发生时触发。特征信息过短会经常触发IDS，导致误报或错报，过长则会减慢IDS的工作速度。有人将IDS所支持的特征数视为IDS好坏的标准，但是有的产商用一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的IDS。大家一定要清楚这些。  
;S%j&Y){u M+qr3C5~#[ iXLG9`n&Q7lR

/G/u'`)\6Dxj3|U M Stealth（隐藏）  w~K5k"`7Z3g6E

z'R0U1J.D"T B
Apv1E `SLy&H],m/K
隐藏是指IDS在检测攻击时不为外界所见，它们经常在DMZ以外使用，没有被防火墙保护。它有些缺点，如自动响应。

laio2008 发表于 2008-7-22 15:02

好东西收藏

查看完整版本: 经典入侵检测术语全接触（二）