入侵检测技术07年已经取得了越来越多的应用，很多用户对IDS(入侵检测系统)具体信息并不是十分了解，但随着其快速发展，我们有必要了解IDS，为日后做好准备。与IDS相关的新名词也日新月异，这里按字母顺序罗列了相关的术语，有的可能很普遍了，但是有的却很少见。 
　　警报(Alerts)

　　警报是IDS向系统操作员发出的有入侵正在发生或者正在尝试的消息。一旦侦测到入侵，IDS会以各种方式向分析员发出警报。如果控制台在本地，IDS警报通常会显示在监视器上。IDS还可以通过声音报警(但在繁忙的IDS上，建议关闭声音)。警报还可以通过厂商的通信手段发送到远程控制台，除此之外，还有利用SNMP协议(安全性有待考虑)、email、SMS/Pager或者这几种方式的组合进行报警。

　　异常(Anomaly)

　　大多IDS在检测到与已知攻击特征匹配的事件就会发出警报，而基于异常的IDS会用一段时间建立一个主机或者网络活动的轮廓。在这个轮廓之外的事件会引起IDS警报，也就是说，当有人进行以前从没有过的活动，IDS就会发出警报。比如一个用户突然获得管理员权限(或者root权限)。一些厂商把这种方法称为启发式IDS，但是真正的启发式IDS比这种方法有更高的智能性。

　　硬件IDS(Appliance )

　　现在的IDS做成硬件放到机架上，而不是安装到现有的操作系统中，这样很容易就可以把IDS嵌入网络。这样的IDS产品如CaptIO, Cisco Secure IDS, OpenSnort, Dragon and SecureNetPro。

　　网络入侵特征数据库(ArachNIDS - Advanced Reference Archive of Current Heuristics for Network Intrusion Detection Systems)

　　由白帽子住持Max Vision开发维护的ArachNIDS是一个动态更新的攻击特征数据库，适用于多种基于网络的入侵检测系统。

　　攻击注册和信息服务(ARIS - Attack Registry & Intelligence Service )

　　ARIS是SecurityFocus推出的一项安全信息服务，允许用户向SecurityFocus匿名报告网络安全事件。SecurityFocus整理这些数据，并和其它信息综合，形成详细的网络安全统计分析和趋势预测。

　　攻击(Attacks )

　　攻击可以定义为试图渗透系统或者绕过系统安全策略获取信息，更改信息或者中断目标网络或者系统的正常运行的活动。下面是一些IDS可以检测的常见攻击的列表和解释：

　　拒绝服务攻击(DOS - Denial Of Service attack )

　　DOS攻击只是使系统无法向其用户提供服务，而不是通过黑客手段渗透系统。拒绝服务攻击的方法从缓冲区溢出到通过洪流耗尽系统资源，不一而足。随着对拒绝服务攻击的认识和防范不断加强，又出现了分布式拒绝服务攻击。

　　分布式拒绝服务攻击(DDOS - Distributed Denial of Service )

　　分布式拒绝服务攻击是一种标准的拒绝服务攻击，通过控制多台分布的远程主机向单一主机发送大量数据，并因此得名。

　　攻Smurf攻击(Smurf )

　　Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法通过欺骗方法向“Smurf放大器”的网络发送广播地址的ping，放大器网络向欺骗地址——攻击目标系统返回大量的ICMP回复消息，引起目标系统的拒绝服务。

　　这里有每5分钟更新一次的可用的“放大器”： http://www.powertech.no/smurf/ (但愿你的网络不在此列…)

　　特洛伊木马(Trojans )

　　特洛伊密码来自于古希腊著名的木马攻击特洛伊城的故事。在计算机术语中最初指的是貌似合法但其中包含恶意软件的程序。当合法程序执行时，恶意软件在用户毫无察觉的情况下被安装。后来大多数的这类恶意软件都是远程控制工具，特洛伊木马也就专指这类工具，如BackOrifice, SubSeven, NetBus 等。

　　自动响应(Automated Response )

　　如对攻击发出警报，一些IDS 能够自动对攻击作出防御性反应，可以通过以下途径实现：

　　1 重新配置路由器或者防火墙，拒绝来自相同地址的流量;

　　2 发送reset包切断连接。

　　这两种方法都有问题。攻击者可以通过信任地址欺骗实施攻击，引起设备重新配置，使得设备拒绝这些信任地址，达到拒绝服务的目的。发包需要有一个活动的网络接口，又使得其本身易受攻击。解决办法是可以把活动网卡放在防火墙内，或者使用专门的发包程序，避开标准IP栈的需求。

CERT计算机应急响应组(CERT - Computer Emergency Response Team ) 
　　CERT来自成立于Carnegie Mellon University的第一支计算机安全事件响应队伍的名称。今天许多组织都有自己的CERT(计算机安全事件处理队伍)。同CIRT(计算机事件响应组)相区别，CERT侧重于紧急事件的快速反应，而不是长期监视。

　　通用入侵检测框架：(CIDF - Common Intrusion Detection Framework )

　　CIDF是为了在某种程度上对入侵检测进行标准化，开发了一些协议和应用程序接口，使得入侵检测研究项目的软件能够共享信息和资源，同样入侵检测系统组件也可以被其他系统应用。

　　计算机事件响应组(CIRT - Computer Incident Response Team )

　　源自CERT, CIRT的不同在于对安全事件的处理方式。CERT的目标是特殊的计算机紧急事件。而CIRT中的事件并不都是紧急事件，还包括其它安全事件。

　　通用入侵描述语言(CISL - Common Intrusion Specification Language )

　　CISL是为了在CIDF组件之间进行通信而描述入侵的通用语言。同CIDF的标准化工作一样，CISL也是试图对入侵检测研究的描述语言进行标准化。

　　通用漏洞披露(CVE - Common Vulnerabilities and Exposures )

　　关于漏洞一个问题就是当设计漏洞扫描或者采取应对策略时，不同厂商对漏洞的称谓完全不同。此外有的厂商用几种特征去描述一条漏洞，并解释为可以检测更多的攻击。MITRE建设了CVE，对漏洞名称进行了标准化，加入CVE的厂商都使用标准化漏洞描述。

　　构造数据包(Crafting Packets )

　　不遵循通常的数据包结构，通过构造自己的数据包，能够进行数据包欺骗,或者使接收者无法处理这样的数据包。 Nemesis就是这样一个工具。

　　同步失效( Desyncronization )

　　最初，同步实效是指利用序列号的躲避IDS的方法。一些IDS无法确定期望的序列号，从而对这种数据包无能为力，无法重构数据包。这种技术98年产生，现在已经过时。有的文章用来指代其他IDS躲避方法。

　　Eleet

　　黑客们在写漏洞开发程序时，经常会留下标记，最常见的就是“elite” (精华，精锐)，通常是elite = eleet，转换为数字就是31337. 31337 经常被用作端口号或者序列号等。现在流行的词是"skillz".

　　列举(Enumeration )

　　在经过被动探测和社会工程学的工作之后，攻击者开始列举网络资源。列举就是当攻击者主动探测一个网络来发现有哪些漏洞可以利用。由于这个活动是主动的，并且可以被探测到，但是攻击者的活动仍会尽可能地隐蔽，避免被探测到。

　　躲避(Evasion)

　　躲避是实施攻击计划，避开IDS检测的过程。躲避的技巧就是使IDS只看到攻击的一面，而目标却在其它。一种躲避的形式就是为不同的数据包设置不同的TTL值。因此经过IDS的信息看上去并没有什么问题，然而，这些并不影响攻击到达目标。一旦到达目标，就只有有用的攻击了。这里大大简化了实际躲避的复杂性。Ptacek and Nesham的文章《嵌入、逃避和拒绝服务：如何躲避网络入侵检测》(Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection)讲述了实施躲避的基本原理和方法。

　漏洞利用(Exploits ) 
　　对于每一个漏洞，都有利用此漏洞进行攻击的机制。为了攻击系统，攻击者编写出漏洞利用代码或教本。

　　漏洞利用：零日攻击(Zero Day Exploit)

　　零时间漏洞利用指的是还没有被公布或者传播的漏洞利用。一旦安全界发现一个漏洞，厂商会发布补丁，IDS系统会加入相应的攻击特征检测。对攻击者而言，零时间漏洞利用的价值最大。

　　漏报(False Negatives )

　　漏报：攻击事件没有被IDS检测到或者逃过分析员的眼睛。

　　误报(False Positives )

　　误报：IDS对正常事件识别为攻击并进行报警。

　　防火墙(Firewalls )

　　防火墙作为网络安全的第一道闸门，它与IDS功能不同，但其日志可以为IDS提供有用的信息。防火墙依据对IP地址或者端口的规则拒绝非法连接。

　　FIRST - Forum of Incident Response and Security Teams

　　FIRST是一个由国际上政府或者民间组织建立的联盟，以进行安全信息交换和协调安全事件响应。FIRST年会总是受到很大关注。

　　URL: http://www.first.org

　　分片(Fragmentation )

　　如果数据包过大，将会被分片传输。分片依据是网络最大传输单元(MTU)。例如灵牌环网是4464，而以太网是1500。当一个数据包从令牌环网向以太网传输，它将被按照以太网的MTU进行分片。在有限的网络条件下，分片传输是很正常的。但是黑客们利用分片来逃避IDS检测，有几种臭名昭著的DOS攻击也是利用了分片技术。

　　黑客规范：(Hacker Ethics )

　　尽管每个人的认识不同，对大多数成熟的黑客而言，黑客规范是神圣的，应该受到尊敬并得到遵守。例如无条件信息共享，不得偷窃、修改和泄漏被攻击系统的数据信息等。

　　黑客规范1：黑帽(Hacker Ethics: Black Hat )

　　藐视法律，做事不考虑任何约束的反面黑客。一旦发现漏洞他们往往会私下传播利用，而不是向社会公布。

　　黑客规范2：白帽(Hacker Ethics: White Hat )

　　正面黑客：一旦发现漏洞，他们首先通知厂商，在发布修补补丁之前，他们不会公布漏洞。关于白帽对黑客规范的观点和一些免费的IDS工具，见Jude Thaddeus的文章Confessions of a white hat hacker.

　　黑客规范3：灰帽(Hacker Ethics: Grey Hat )

　　灰帽黑客介于前两者之间，一旦发现漏洞，他们会向黑客群体发布，同时通知厂商，然后观察事态发展。他们遵循了黑客守则的两点道德规范。许多人认为厂商应该最先得到通知，很多厂商利用这些信息。Rain Forest Puppy 发布了一个策略既能保证厂商利益，又不影响安全研究。

　　URL：http://www.wiretrip.net/rfp/policy.html

　　启发(Heuristics )

　　“启发“中包含了应用于IDS中的人工智能的思想。启发式IDS已经提出近十年，然而至今仍进展不大，而黑客却可以“训练”IDS使其忽视恶意攻击。一些IDS使用异常模型来探测入侵攻击，然而IDS需要大量时间来“学习”以识别正常事件。厂商在市场上把这称为启发式IDS，但至少这种IDS并没有应用人工智能对输入数据进行分析。

　　Honeynet 工程(Honeynet Project )

　　根据Honeynet 工程的定义：Honeynet是一个学习工具，是一个被设计含有缺陷的网络系统。一旦系统安全受到威胁，相关信息就会被捕捉，并被小组人员分析和学习。因此Honeynet是一个非常有用的，透视攻击全过程的资源。Honeynet小组由30个安全专家组成，每人都设置了一系列的“蜜罐”来引诱攻击者，通过观察研究策略、工具和黑客行为。

　　蜜罐(Honeypot )

　　蜜罐是模拟存在漏洞的系统，为攻击者提供攻击目标。蜜罐在网络中没有任何用途，因此任何连接都是可能的攻击。蜜罐的另一个目的就是诱惑攻击者在其上浪费时间，延缓对真正目标的攻击。尽管蜜罐的最初设计目标是为起诉攻击者提供证据收集，但是关于应用蜜罐做陷阱的讨论很多。如果蜜罐在网络内部，攻击者至少要攻陷一个网络设备。有的国家法律规定，蜜罐收集的证据不能最为起诉证据。