IDS入侵检测系统基本知识-术语篇(续)
2007-10-30 22:15
253 查看
网络节点IDS( Network Node IDS (NNIDS))
交换网络和高速网络给NIDS带来问题:一些NIDS在高速网络下工作不可靠,丢包率升高。交换网络不允许混杂模式网卡监听到网络内所有流量。而网络节点IDS将NIDS的功能分布到单个的网络节点,从而解决了高速和交换网络的问题。
虽然网络节点IDS与个人防火墙相近,但它们也有区别。对个人防火墙归类为NNIDS,在对连接企图将应用事件分析。例如在个人防火墙上报警"attempted connection to port *****" ,NNIDS将根据“whatever”攻击特征识别为“whatever”探测。NNIDS将收集到的事件向中央控制台汇报。尽管有这些区别,但是有的个人防火墙厂商还是将其作为网络节点IDS推出。
产品: BlackICE Agent 、Tiny CMDS.
个人防火墙 Personal Firewall
个人防火墙安装在个人操作系统上防止非法连接进出。它们能否有效保护主机免受攻击并不可靠。不要将它与网络节点IDS混淆。
例如: ZoneAlarm 、 Sybergen.
基于目标的IDS(Target-Based IDS )
这类IDS的概念不是很明确,不同的人有不同的理解。一种定义指的是文件完整性检查工具,而另一种是基于网络的IDS,可以侦测攻击特征保护网络。后一种定义的目标是避开不必要的检测,加速IDS。我个人希望了解每一种攻击而不考虑其成功与否。由于这个术语有太多的含义,应该避免使用它,以免混淆。
入侵检测工作组-IDWG(Intrusion Detection Working Group (IDWG))
IDWG的工作目标是定义入侵检测和响应系统进行信息共享和交换,以及与管理系统交互所需的数据格式。IDWG与IETF其它工作组协同工作。
事件处理Incident Handling
探测到入侵只是开始。更多的情况是,控制台操作员会经常接到警报,因此没有时间亲自跟踪每个事件,他们会对感兴趣的事件做上标志,以利于事件处理小组深入调查事件。经过最初响应之后,接下来需要处理的问题是深入调查、取证和法庭起诉工作。Chris Jordan的论文 "Analyzing IDS Data" 论述了IDS警报分析的前两个阶段。
事件响应(Incident Response)
对潜在事件的初始反应,然后依据事件处理程序操作。
隔离(Islanding)
隔离是把网络从Internet上隔离开来,这往往是迫不得已采取得办法,通常在遇到大规模病毒发作或者遇到很严重的攻击的情况下才采取隔离措施。
混杂模式Promiscuous
缺省情况下,IDS的网络界面只能看到从主机进出的包――这是非混杂模式。通过设置网络界面的混杂模式,IDS可以监听到整个网络内所有的流量。这是基于网络地IDS工作的必要条件。交换式HUB防止主机监听网段内所有流量,但是很多交换机提供跨越端口来监视网络内所有的网络活动。
路由器Routers
路由器是连接子网的设备,它在OSI七层模型的传输层和网络层工作。路由器的基本职能是为网络数据包到达目的地找到正确路由。许多路由器都有访问控制表(Access Control Lists (ACLs))来过滤不期望的数据包。许多路由器的*志可以被IDS利用,提供关于阻止网络访问有价值的信息。
扫描器(Scanners)
扫描器是一种能够扫描网络或者主机漏洞的自动工具。像IDS一样,扫描器有很多种类。
网络扫描器(Network Scanners)
网络扫描器用来映射一个网络,找到网络上的所有主机。传统的方法使用ICMP ping来进行探测,但是这种方法容易被发现。有多种不同的方法来隐蔽网络扫描,像ack扫描和fin扫描。这些隐蔽扫描方法主要是利用不同操作系统对这些扫描方式的响应方式不同。
工具:nmap.
网络漏洞扫描器Network Vulnerability Scanners
网络漏洞扫描器是网络扫描器的发展,可以检查目标主机的漏洞。攻击者和安全人员都利用网络漏洞扫描器作为探测工具。它很容易引起网络入侵检测系统的警报。有的网络漏洞扫描器主要扫描web服务器的漏洞,像Whisker 甚至可以有一些的设置方法来避开NIDS的检测
产品:Retina、 CyberCop Scanner
Scanner Category: 主机漏洞扫描器Host Vulnerability Scanners
使用主机漏洞扫描器,特权用户可以从内部扫描主机,检查诸如密码强度、文件权限的安全策略方面的漏洞。它的扫描可以被IDS,尤其是HIDS探测到。 SecurityExpressions 是一个远程 Windows 漏洞扫描器,甚至可以自动修补系统漏洞。其它像ISS的数据库扫描器(ISS database scanner)可以扫描数据库漏洞。
脚本小子Script Kiddies
脚本小子利用别人开发的漏洞利用脚本来达到自己的目的,而不是自己努力。有很多人轻视脚本小子的能力,甚至贬损他们。但是他们是一股不可小看的力量,他们就像持有枪械的小孩,不需要理解弹道学或者去构筑坚固的炮台,但决不能低估他们。
躲避(Shunning )
“躲避”是很多边缘设备的配置方法,目的是拒绝从不受欢迎的源地址来的各种数据包。有的网络甚至拒绝从某一特定国家来的流量。
特征(Signatures)
IDS的核心是攻击特征,IDS根据攻击特征产生事件触发。攻击特征的描述太短容易产生误报,太长则延缓IDS的响应速度。有人将IDS识别攻击特征的数量作为IDS质量的衡量标准。有的厂商用一条特征覆盖很多种攻击方法,而有的厂商则将其拆分为几种特征,假以宣传自己的产品可以识别更多的攻击,实则不然。
隐蔽(Stealth )
隐蔽模式使得IDS在对外界不可见的情况下正常工作。这种IDS大多数用在DMZ外,在防火墙的保护之外。它有自动响应的缺点。
交换网络和高速网络给NIDS带来问题:一些NIDS在高速网络下工作不可靠,丢包率升高。交换网络不允许混杂模式网卡监听到网络内所有流量。而网络节点IDS将NIDS的功能分布到单个的网络节点,从而解决了高速和交换网络的问题。
虽然网络节点IDS与个人防火墙相近,但它们也有区别。对个人防火墙归类为NNIDS,在对连接企图将应用事件分析。例如在个人防火墙上报警"attempted connection to port *****" ,NNIDS将根据“whatever”攻击特征识别为“whatever”探测。NNIDS将收集到的事件向中央控制台汇报。尽管有这些区别,但是有的个人防火墙厂商还是将其作为网络节点IDS推出。
产品: BlackICE Agent 、Tiny CMDS.
个人防火墙 Personal Firewall
个人防火墙安装在个人操作系统上防止非法连接进出。它们能否有效保护主机免受攻击并不可靠。不要将它与网络节点IDS混淆。
例如: ZoneAlarm 、 Sybergen.
基于目标的IDS(Target-Based IDS )
这类IDS的概念不是很明确,不同的人有不同的理解。一种定义指的是文件完整性检查工具,而另一种是基于网络的IDS,可以侦测攻击特征保护网络。后一种定义的目标是避开不必要的检测,加速IDS。我个人希望了解每一种攻击而不考虑其成功与否。由于这个术语有太多的含义,应该避免使用它,以免混淆。
入侵检测工作组-IDWG(Intrusion Detection Working Group (IDWG))
IDWG的工作目标是定义入侵检测和响应系统进行信息共享和交换,以及与管理系统交互所需的数据格式。IDWG与IETF其它工作组协同工作。
事件处理Incident Handling
探测到入侵只是开始。更多的情况是,控制台操作员会经常接到警报,因此没有时间亲自跟踪每个事件,他们会对感兴趣的事件做上标志,以利于事件处理小组深入调查事件。经过最初响应之后,接下来需要处理的问题是深入调查、取证和法庭起诉工作。Chris Jordan的论文 "Analyzing IDS Data" 论述了IDS警报分析的前两个阶段。
事件响应(Incident Response)
对潜在事件的初始反应,然后依据事件处理程序操作。
隔离(Islanding)
隔离是把网络从Internet上隔离开来,这往往是迫不得已采取得办法,通常在遇到大规模病毒发作或者遇到很严重的攻击的情况下才采取隔离措施。
混杂模式Promiscuous
缺省情况下,IDS的网络界面只能看到从主机进出的包――这是非混杂模式。通过设置网络界面的混杂模式,IDS可以监听到整个网络内所有的流量。这是基于网络地IDS工作的必要条件。交换式HUB防止主机监听网段内所有流量,但是很多交换机提供跨越端口来监视网络内所有的网络活动。
路由器Routers
路由器是连接子网的设备,它在OSI七层模型的传输层和网络层工作。路由器的基本职能是为网络数据包到达目的地找到正确路由。许多路由器都有访问控制表(Access Control Lists (ACLs))来过滤不期望的数据包。许多路由器的*志可以被IDS利用,提供关于阻止网络访问有价值的信息。
扫描器(Scanners)
扫描器是一种能够扫描网络或者主机漏洞的自动工具。像IDS一样,扫描器有很多种类。
网络扫描器(Network Scanners)
网络扫描器用来映射一个网络,找到网络上的所有主机。传统的方法使用ICMP ping来进行探测,但是这种方法容易被发现。有多种不同的方法来隐蔽网络扫描,像ack扫描和fin扫描。这些隐蔽扫描方法主要是利用不同操作系统对这些扫描方式的响应方式不同。
工具:nmap.
网络漏洞扫描器Network Vulnerability Scanners
网络漏洞扫描器是网络扫描器的发展,可以检查目标主机的漏洞。攻击者和安全人员都利用网络漏洞扫描器作为探测工具。它很容易引起网络入侵检测系统的警报。有的网络漏洞扫描器主要扫描web服务器的漏洞,像Whisker 甚至可以有一些的设置方法来避开NIDS的检测
产品:Retina、 CyberCop Scanner
Scanner Category: 主机漏洞扫描器Host Vulnerability Scanners
使用主机漏洞扫描器,特权用户可以从内部扫描主机,检查诸如密码强度、文件权限的安全策略方面的漏洞。它的扫描可以被IDS,尤其是HIDS探测到。 SecurityExpressions 是一个远程 Windows 漏洞扫描器,甚至可以自动修补系统漏洞。其它像ISS的数据库扫描器(ISS database scanner)可以扫描数据库漏洞。
脚本小子Script Kiddies
脚本小子利用别人开发的漏洞利用脚本来达到自己的目的,而不是自己努力。有很多人轻视脚本小子的能力,甚至贬损他们。但是他们是一股不可小看的力量,他们就像持有枪械的小孩,不需要理解弹道学或者去构筑坚固的炮台,但决不能低估他们。
躲避(Shunning )
“躲避”是很多边缘设备的配置方法,目的是拒绝从不受欢迎的源地址来的各种数据包。有的网络甚至拒绝从某一特定国家来的流量。
特征(Signatures)
IDS的核心是攻击特征,IDS根据攻击特征产生事件触发。攻击特征的描述太短容易产生误报,太长则延缓IDS的响应速度。有人将IDS识别攻击特征的数量作为IDS质量的衡量标准。有的厂商用一条特征覆盖很多种攻击方法,而有的厂商则将其拆分为几种特征,假以宣传自己的产品可以识别更多的攻击,实则不然。
隐蔽(Stealth )
隐蔽模式使得IDS在对外界不可见的情况下正常工作。这种IDS大多数用在DMZ外,在防火墙的保护之外。它有自动响应的缺点。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 在CentOS上配置基于主机的入侵检测系统(IDS)
- 网络入侵检测系统(IDS)
- 如何辨别网络入侵检测系统(IDS)的性能
- PHP入侵检测系统—PHPIDS
- 入侵检测系统基础知识
- 在CentOS6.5上配置基于主机的入侵检测系统(IDS)
- 如何在CentOS上配置基于主机的入侵检测系统(IDS)的教程
- IDS的新方向:可视化入侵检测系统
- IDS入侵检测系统基本知识-术语篇
- Snort 网络入侵检测系统(一)之IDS 介绍
- 在CentOS上配置基于主机的入侵检测系统(IDS)
- 入侵检测基础知识
- 关于入侵检测系统常用的几种检测方法
- 最好的入侵linux教程基本知识
- 防火墙与入侵检测知识整理 (二)
- 入侵检测系统原理和实践
- 认识 Linux平台四大IDS入侵检测工具[zt]
- 如何在CentOS上配置基于主机的入侵检测系统?
- 分布式系统的基本术语之有状态、无状态