隨著IDS(入侵檢驗系統)的超速發展,與之關聯的術語同樣急劇演變。本文向大家介紹一些IDS技術術語,其中一些是非常基本並相對通用的,而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力,不同的產商可能會用同一個術語表示不同的意義,從而導致某些術語的確切意義出現了混亂。對此,本文會試圖將所有的術語都囊括進來。
Alerts(警報)
當一個入侵正在發生或是試圖發生時,IDS系統將發佈一個alert訊息知會系統管理員。若果控制台與IDS系統同在一台機器,alert訊息將顯示在監視器上,也可能伴隨著音效提示。若果是遠端控制台,那麼alert將通過IDS系統內置方法(通常是加密的)、SNMP(簡單網路管理協定,通常不加密)、email、SMS(短訊息)或是以上幾種方法的混合模式傳遞給管理員。
Anomaly(異常)
當有某個事件與一個已知攻擊的信號相符合時,多數IDS都會告警。一個基於anomaly(異常)的IDS會構造一個當時活動的主電腦或網路的大致輪廓,當有一個在這個輪廓以外的事件發生時,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個使用者突然取得了管理員或根目錄的權限。有些IDS廠商將此方法看做啟髮式功能,但一個啟髮式的IDS應該在其推理判斷方面具有更多的智慧。
Appliance(IDS硬體)
除了那些要安裝到現有系統上去的IDS軟體外,在市場的貨架上還可以買到一些現成的IDS硬體,只需將它們接入網路中就可以套用。一些可用IDS硬體內含CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。
ArachNIDS
ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫,它是動態更新的,適用於多種基於網路的入侵檢驗系統,它的URL地http://www.whitehats.com/ids/。
ARIS:Attack Registry & Intelligence Service(攻擊事件註冊及智慧服務)
ARIS是SecurityFocus公司提供的一個附加服務,它容許使用者以網路匿名模式連線到Internet上向SecurityFocus報送網路安全事件,隨後SecurityFocus會將這些資料與許多其它參與者的資料結合起來,最終形成詳細的網路安全統計分析及趨勢預測,發佈在網路上。它的URL地http://aris.securityfocus.com/。
Attacks(攻擊)
Attacks可以理解為試圖滲透系統或繞過系統的安全策略,以取得訊息、修改訊息以及破壞目的網路或系統功能的行為。以下列出IDS能夠檢驗出的最常見的Internet攻擊類型:
●攻擊類型1-DOS(Denial Of Service attack,拒絕服務攻擊):DOS攻擊不是通過黑客手段破壞一個系統的安全,它只是使系統癱瘓,使系統拒絕向其使用者提供服務。其種類內含緩沖區溢出、通過洪流(flooding)耗盡系統資源等等。
●攻擊類型2-DDOS(Distributed Denial of Service,分散式拒絕服務攻擊):一個標準的DOS攻擊使用大量來自一個主電腦的資料向一個遠端主電腦發動攻擊,卻無法發出足夠的訊息包來達到理想的結果,因此就產生了DDOS,即從多個分散的主電腦一個目的發動攻擊,耗盡遠端系統的資源,或是使其連線失效。
●攻擊類型3-Smurf:這是一種老式的攻擊,但目前還時有發生,攻擊者使用攻擊目的的偽裝源位址向一個smurf放大器廣播位址執行ping動作,然後所有活動主電腦都會向該目的應答,從而中斷網路連線。以下是10大smurf放大器的參考資料URhttp://www.powertech.no/smurf/。
●攻擊類型4-Trojans(特洛伊木馬):Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當木馬運到城裡,士兵就湧出木馬向這個城市及其居民發起攻擊。在電腦術語中,它原本是指那些以合法程式的形式出現,其實包藏了惡意軟體的那些軟體。這樣,當使用者執行合法程式時,在不知情的情況下,惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程式都是遠端控制工具,Trojan這個術語很快就演變為專指這類工具,例如BackOrifice、SubSeven、NetBus等等。
Automated Response(自動響應)
除了對攻擊發出警報,有些IDS還能自動抵禦這些攻擊。抵禦模式有很多:首先,可以通過重新組態路由器和防火牆,拒絕那些來自同一位址的訊息流;其次,通過在網路上傳送reset包切斷連線。但是這兩種模式都有問題,攻擊者可以反過來利用重新組態的裝置,其方法是:通過偽裝成一個友方的位址來發動攻擊,然後IDS就會組態路由器和防火牆來拒絕這些位址,這樣實際上就是對「自己人」拒絕服務了。傳送reset包的方法要求有一個活動的網路接口,這樣它將置於攻擊之下,一個補救的辦法是:使活動網路接口位於防火牆內,或是使用專門的發包程式,從而避開標準IP棧需求。
CERT(Computer Emergency Response Team,電腦應急響應小群組)
這個術語是由第一支電腦應急反映小群組選取的,這支團隊建立在Carnegie Mellon大學,他們對電腦安全方面的事件做出反應、採取行動。現在許多群組織都有了CERT,比如CNCERT/CC(中國電腦網路應急處理協調中心)。由於emergency這個詞有些不夠明確,因此許多群組織都用Incident這個詞來取代它,產生了新詞Computer Incident Response Team(CIRT),即電腦事件反應團隊。response這個詞有時也用handling來代替,其含義是response表示緊急行動,而非長期的研究。
CIDF(Common Intrusion Detection Framework;通用入侵檢驗框架)
CIDF力圖在某種程度上將入侵檢驗標準化,開發一些協定和套用程式接口,以使入侵檢驗的研究項目之間能夠共享訊息和資源,並且入侵檢驗元件也能夠在其它系統中再利用。CIDF的URL位址http://www.isi.edu/gost/cidf/。
CIRT(Computer Incident Response Team,電腦事件響應小群組)
CIRT是從CERT演變而來的,CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的電腦緊急情況的,而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。
CISL(Common Intrusion Specification Language,通用入侵規範語系)
CISL是CIDF元件間彼此通信的語系。由於CIDF就是對協定和接口標準化的嘗試,因此CISL就是對入侵檢驗研究的語系進行標準化的嘗試。
CVE(Common Vulnerabilities and Exposures,通用漏洞披露)
關於漏洞的一個老問題就是在設計掃瞄程式或應對策略時,不同的廠商對漏洞的稱謂也會完全不同。還有,一些產商會對一個漏洞定義多種特徵並套用到他們的IDS系統中,這樣就給人一種錯覺,好像他們的產品更加有效。MITRE建立了CVE,將漏洞名稱進行標準化,參與的廠商也就順理成章按照這個標準開發IDS產品。CVE的URL位址http://cve.mitre.org/。
Crafting Packets(自訂封包)
建立自訂封包,就可以避開一些慣用規定的封包結構,從而製造封包欺騙,或是使得收到它的電腦不知該如何處理它。製作自訂封包的一個可用程式Nemesis,它的URL位址http://jeff.chi.wwti.com/nemesis/。
Desynchronization(同步失效)
desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑,從而導致無法重新構建資料。這一技術在1998年很流行,現在已經由時了,有些文章把desynchronization這個術語代指其它IDS逃避方法。
Eleet
當黑客編寫漏洞開發程式時,他們通常會留下一個簽名,其中最聲名狼藉的一個就是elite。若果將eleet轉換成數字,它就是31337,而當它是指他們的能力時,elite=eleet,表示精英。31337通常被用做一個連接埠號或序號。目前流行的詞是「skillz」。
Enumeration(列舉)
經由被動研究和社會工程學的工作後,攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於現在的行動不再是被動的,它就有可能被檢驗出來。當然為了避免被檢驗到,他們會盡可能地悄悄進行。
Evasion(躲避)
Evasion是指發動一次攻擊,而又不被IDS成功地檢驗到。其中的竅門就是讓IDS只看到一個方面,而實際攻擊的卻是另一個目的,所謂明修棧道,暗渡陳倉。Evasion的一種形式是為不同的訊息包設定不同的TTL(有效時間)值,這樣,經由IDS的訊息看起來好像是無害的,而在無害訊息位上的TTL比要到達目的主電腦所需要的TTL要短。一旦經由了IDS並接近目的,無害的部分就會被丟掉,只剩下有害的。
Exploits(漏洞利用)
對於每一個漏洞,都有利用此漏洞進行攻擊的機制。為了攻擊系統,攻擊者編寫出漏洞利用代碼或教本。
對每個漏洞都會存在利用這個漏洞執行攻擊的模式,這個模式就是Exploit。為了攻擊系統,黑客會編寫出漏洞利用程式。
漏洞利用:Zero Day Exploit(零時間漏洞利用)
零時間漏洞利用是指還未被瞭解且仍在肆意橫行的漏洞利用,也就是說這種類型的漏洞利用目前還沒有被發現。一旦一個漏洞利用被網路安全界發現,很快就會出現針對它的補丁程式,並在IDS中寫入其特徵標識訊息,使這個漏洞利用無效,有效地捕獲它。
False Negatives(漏報)
漏報是指一個攻擊事件未被IDS檢驗到或被分析人員認為是無害的。
False Positives(誤報)
誤報是指實際無害的事件卻被IDS檢驗為攻擊事件。
Firewalls(防火牆)
防火牆是網路安全的第一道關卡,雖然它不是IDS,但是防火牆日誌可以為IDS提供寶貴訊息。防火牆工作的原理是根據規則或標準,如源位址、連接埠等,將危險連線阻擋在外。
FIRST(Forum of Incident Response and Security Teams,事件響應和安全團隊論壇)
FIRST是由國際性政府和私人群組織聯合起來交換訊息並協調響應行動的聯盟,一年一度的FIRST受到高度的重視,它的URL位址http://www.first.org/。
Fragmentation(分片)
若果一個訊息包太大而無法裝載,它就不得不被分成片斷。分片的依據是網路的MTU(Maximum Transmission Units,最大傳輸單元)。例如,靈牌環網(token ring)的MTU是4464,乙太網(Ethernet)的MTU是1500,因此,若果一個訊息包要從靈牌環網傳輸到乙太網,它就要被分裂成一些小的片斷,然後再在目的地重建。雖然這樣處理會造成效率降低,但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法,另外還有一些DOS攻擊也使用分片技術。
Heuristics(啟發)
Heuristics就是指在入侵檢驗中使用AI(artificial intelligence,人工智慧)思想。真正使用啟發理論的IDS已經出現大約10年了,但他們還不夠「聰明」,攻擊者可以通過訓練它而使它忽視那些惡意的訊息流。有些IDS使用異常模式去檢驗入侵,這樣的IDS必須要不斷地學習什麼是標準事件。一些產商認為這已經是相當「聰明」的IDS了,所以就將它們看做是啟髮式IDS。但實際上,真正套用AI技術對輸入資料進行分析的IDS還很少很少。
Honeynet Project(Honeynet工程)
Honeynet是一種學習工具,是一個包括安全缺陷的網路系統。當它受到安全威脅時,入侵訊息就會被捕獲並接受分析,這樣就可以瞭解黑客的一些情況。Honeynet是一個由30餘名安全專業群組織成員群組成、專門致力於瞭解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots,提供了看似易受攻擊的Honeynet網路,觀察入侵到這些系統中的黑客,研究黑客的戰術、動機及行為。
Honeypot(蜜罐)
蜜罐是一個包括漏洞的系統,它類比一個或多個易受攻擊的主電腦,給黑客提供一個容易攻擊的目的。由於蜜罐沒有其它任務需要完成,因此所有連線的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目的的攻擊,讓攻擊者在蜜罐上浪費時間。與此同時,最初的攻擊目的受到了保護,真正有價值的內容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客搜集證據,這看起來有「誘捕」的感覺。但是在一些國家中,是不能利用蜜罐收集證據起訴黑客的。
IDS Categories(IDS分類)
有許多不同類型的IDS,以下分別列出:
●IDS分類1-Application IDS(套用程式IDS):套用程式IDS為一些特殊的套用程式發現入侵信號,這些套用程式通常是指那些比較易受攻擊的套用程式,如Web伺服器、資料庫等。有許多原本著眼於動作系統的基於主電腦的IDS,雖然在預設狀態下並不針對套用程式,但也可以經由訓練,套用於套用程式。例如,KSE(一個基於主電腦的IDS)可以告訴我們在事件日誌中正在進行的一切,內含事件日誌報告中有關套用程式的輸出內容。套用程式IDS的一個例子是Entercept的Web Server Edition。
●IDS分類2-Consoles IDS(控制台IDS):為了使IDS適用於協同環境,分散式IDS代理需要向中心控制台報告訊息。現在的許多中心控制台還可以接收其它來源的資料,如其它產商的IDS、防火牆、路由器等。將這些訊息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵新增到代理層級的控制台,並提供遠端管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。
●IDS分類3-File Integrity Checkers(檔案完整性檢查器):當一個系統受到攻擊者的威脅時,它經常會改變某些關鍵檔案來提供持續的訪問和預防檢驗。通過為關鍵檔案附加訊息摘要(加密的雜亂信號),就可以定時地檢查檔案,檢視它們是否被改變,這樣就在某種程度上提供了保證。一旦檢驗到了這樣一個變化,完整性檢查器就會發出一個警報。而且,當一個系統已經受到攻擊後,系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的檔案檢查器在事件發生好久之後才能將入侵檢驗出來,是「事後諸葛亮」,最近出現的許多產品能在檔案被訪問的同時就進行檢查,可以看做是實時IDS產品了。該類產品有Tripwire和Intact。
●IDS分類4-Honeypots(蜜罐):關於蜜罐,前面已經介紹過。蜜罐的例子內含Mantrap和Sting。
●IDS分類5-Host-based IDS(基於主電腦的IDS):這類IDS對多種來源的系統和事件日誌進行監控,發現可疑活動。基於主電腦的IDS也叫做主電腦IDS,最適合於檢驗那些可以信賴的內定人員的誤用以及已經避開了傳統的檢驗方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能,主電腦IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包括了啟髮式功能。因為主電腦IDS幾乎是實時工作的,系統的錯誤就可以很快地檢驗出來,技術人員和安全人士都非常喜歡它。現在,基於主電腦的IDS就是指基於伺服器/工作站主電腦的所有類型的入侵檢驗系統。該類產品內含Kane Secure Enterprise和Dragon Squire。
●IDS分類6-Hybrid IDS(混合IDS):現代交換網路的結構給入侵檢驗動作帶來了一些問題。首先,預設狀態下的交換網路不容許網卡以混雜模式工作,這使傳統網路IDS的安裝非常困難。其次,很高的網路速度意味著很多訊息包都會被NIDS所丟棄。Hybrid IDS(混合IDS)正是解決這些問題的一個專案,它將IDS提升了一個層次,群組合了網路節點IDS和Host IDS(主電腦IDS)。雖然這種解決專案覆蓋面極大,但同時要考慮到由此引起的巨大資料量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS,實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。
●IDS分類7-Network IDS(NIDS,網路IDS):NIDS對所有流經監測代理的網路通信量進行監控,對可疑的異常活動和包括攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合訊息包嗅探器,但是近來它們變得更加智慧化,可以破譯協定並維護狀態。NIDS存在基於套用程式的產品,只需要安裝到主電腦上就可套用。NIDS對每個訊息包進行攻擊特徵的分析,但是在網路高負載下,還是要丟棄些訊息包。網路IDS的產品有SecureNetPro和Snort。
●IDS分類8-Network Node IDS(NNIDS,網路節點IDS):有些網路IDS在高速下是不可靠的,裝載之後它們會丟棄很高比例的網路訊息包,而且交換網路經常會妨礙網路IDS看到混合傳輸的訊息包。NNIDS將NIDS的功能委託給單獨的主電腦,從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似,但它們之間還有區別。對於被歸類為NNIDS的個人防火牆,應該對企圖的連線做分析。例如,不像在許多個人防火牆上發現的「試圖連線到連接埠xxx」,一個NNIDS會對任何的探測都做特徵分析。另外,NNIDS還會將主電腦接收到的事件傳送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。
●IDS分類9-Personal Firewall(個人防火牆):個人防火牆安裝在單獨的系統中,防止不受歡迎的連線,無論是進來的還是出去的,從而保護主電腦系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。
●IDS分類10-Target-Based IDS(基於目的的IDS):這是不明確的IDS術語中的一個,對不同的人有不同的意義。可能的一個定義是檔案完整性檢查器,而另一個定義則是網路IDS,後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度,因為它不搜尋那些不必要的攻擊。
IDWG(Intrusion Detection Working Group,入侵檢驗工作群組)
入侵檢驗工作群組的目的是定義資料格式和交換訊息的程式步驟,這些訊息是對於入侵檢驗系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢驗工作群組與其它IETF群組織協同工作。
IDWG的URL位址http://www.ietf.org/html.charters/idwg-charter.html。
IETF的URL位址http://www.ietf.org/。
Incident Handling(事件處理)
檢驗到一個入侵只是開始。更普遍的情況是,控制台動作員會不斷地收到警報,由於根本無法分出時間來親自追蹤每個潛在事件,動作員會在感興趣的事件上做出標誌以備將來由事件處理團隊來調查研究。在最初的反應之後,就需要對事件進行處理,也就是諸如調查、辯論和起訴之類的事宜。
Incident Response(事件響應)
對檢驗出的潛在事件的最初反應,隨後對這些事件要根據事件處理的程式進行處理。
Islanding(孤島)
孤島就是把網路從Internet上完全切斷,這幾乎是最後一招了,沒有辦法的辦法。一個群組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。
Promiscuous(混雜模式)
預設狀態下,IDS網路接口只能看到進出主電腦的訊息,也就是所謂的non-promiscuous(非混雜模式)。若果網路接口是混雜模式,就可以看到網段中所有的網路通信量,不管其來源或目的地。這對於網路IDS是必要的,但同時可能被訊息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題,在能看到全面通信量的地方,會都許多跨越(span)連接埠。
Routers(路由器)
路由器是用來連線不同子網的中樞,它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路訊息包傳輸到它們的目的地。一些路由器還有訪問控制清單(ACLs),容許將不想要的訊息包過濾出去。許多路由器都可以將它們的日誌訊息注入到IDS系統中,提供有關被阻擋的訪問網路企圖的寶貴訊息。
Scanners(掃瞄器)
掃瞄器是自動化的工具,它掃瞄網路和主電腦的漏洞。同入侵檢驗系統一樣,它們也分為很多種,以下分別描述。
●掃瞄器種類1-Network Scanners(網路掃瞄器):網路掃瞄器在網路上搜尋以找到網路上所有的主電腦。傳統上它們使用的是ICMP ping技術,但是這種方法很容易被檢驗出來。為了變得隱蔽,出現了一些新技術,例如ack掃瞄和fin掃瞄。使用這些更為隱蔽掃瞄器的另一個好處是:不同的動作系統對這些掃瞄會有不同的反應,從而為攻擊者提供了更多有價值的訊息。這種工具的一個例子是nmap。
●掃瞄器種類2-Network Vulnerability Scanners(網路漏洞掃瞄器):網路漏洞掃瞄器將網路掃瞄器向前發展了一步,它能檢驗目的主電腦,並突出一切可以為黑客利用的漏洞。網路漏洞掃瞄器可以為攻擊者和安全專家使用,但會經常讓IDS系統「緊張」。該類產品有Retina和CyberCop。
●掃瞄器種類3-Host Vulnerability Scanners(主電腦漏洞掃瞄器):這類工具就像個有特權的使用者,從內定掃瞄主電腦,檢驗密碼強度、安全策略以及檔案許可等內容。網路IDS,特別是主電腦IDS可以將它檢驗出來。該類產品有SecurityExpressions,它是一個遠端Windows漏洞掃瞄器,並且能自動修復漏洞。還有如ISS資料庫掃瞄器,會掃瞄資料庫中的漏洞。
Script Kiddies(腳本小子)
有些受到大肆宣揚的Internet安全破壞,如2000年2月份對Yahoo的拒絕服務攻擊,是一些十來歲的國中生干的,他們幹這些壞事的目的好像是為了揚名。安全專家通常把這些人稱為腳本小子(Script Kiddies)。腳本小子通常都是一些自發的、不太熟練的cracker,他們使用從Internet 上下載的訊息、軟體或腳本對目的站台進行破壞。黑客群組織或法律實施權威機構都對這些腳本小孩表示輕蔑,因為他們通常都技術不熟練,手上有大把時間可以來搞破壞,他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩,他們不需要懂得彈道理論,也不必能夠製造槍支,就能成為強大的敵人。因此,無論何時都不能低估他們的實力。
Shunning(躲避)
躲避是指組態邊界裝置以拒絕所有不受歡迎的訊息包,有些躲避甚至會拒絕來自某些國家所有IP位址的訊息包。
Signatures(特徵)
IDS的核心是攻擊特徵,它使IDS在事件發生時觸發。特徵訊息過短會經常觸發IDS,導致誤報或錯報,過長則會減慢IDS的工作速度。有人將IDS所支援的特徵數視為IDS好壞的標準,但是有的產商用一個特徵涵蓋許多攻擊,而有些產商則會將這些特徵單獨列出,這就會給人一種印象,好像它包括了更多的特徵,是更好的IDS。大家一定要清楚這些。
Stealth(隱藏)
隱藏是指IDS在檢驗攻擊時不為外界所見,它們經常在DMZ以外使用,沒有被防火牆保護。它有些缺點,如自動響應。
