+设为首页 +添加到收藏夹
ids(入侵检测系统)术语
ids(入侵检测系统)术语<br>第一部分: a - h <br>by a. cliff last updated july 3, 2001 <br>translated by mad,last updated july 9, 2001 <br><br>虽然入侵检测技术还不是很成熟,但是其发展却是很迅速.与ids相关的新名词也日新月异.这里按字母顺序罗列了相关的术语,有的可能很普遍了,但是有的却很少见,或者定义不明确.ids的迅速发展以及一些ids生产厂商的市场影响力使得一些名词的含义混乱:同一个名词,不同厂商却用它表示不同的意义. <br>术语添加或者需要解释, pls mailto:talisker@networkintrusion.co.uk <br>中文解释的问题,pls mailto:mad@email.com.cn <br><br>警报(alerts) <br>警报是ids向系统操作员发出的有入侵正在发生或者正在尝试的消息.一旦侦测到入侵,ids会以各种方式向分析员发出警报.如果控制台在本地,ids警报通常会显示在监视器上.ids还可以通过声音报警(但在繁忙的ids上,建议关闭声音).警报还可以通过厂商的通信手段发送到远程控制台,除此之外,还有利用snmp协议(安全性有待考虑).email.sms/pager或者这几种方式的组合进行报警. <br>异常(anomaly) <br>大多ids在检测到与已知攻击特征匹配的事件就会发出警报,而基于异常的ids会用一段时间建立一个主机或者网络活动的轮廓.在这个轮廓之外的事件会引起ids警报,也就是说,当有人进行以前从没有过的活动,ids就会发出警报.比如一个用户突然获得管理员权限(或者root权限).一些厂商把这种方法称为启发式ids,但是真正的启发式ids比这种方法有更高的智能性. <br>硬件ids(appliance ) <br>现在的ids做成硬件放到机架上,而不是安装到现有的操作系统中,这样很容易就可以把ids嵌入网络.这样的ids产品如captio, cisco secure ids, opensnort, dragon and securenetpro. <br>网络入侵特征数据库(arachnids - advanced reference archive of current heuristics for network intrusion detection systems) <br>由白帽子住持max vision开发维护的arachnids是一个动态更新的攻击特征数据库,适用于多种基于网络的入侵检测系统.... 下一页