文章大纲：

• 1、现在常用的入侵检测系统有那些啊,软件还是硬件?
• 2、入侵检测软件snort有哪些功能
• 3、 *** 入侵检测软件
• 4、简述入侵检测常用的四种 ***
• 5、网站入侵检测需要用到什么工具
• 6、入侵检测的分类情况

现在常用的入侵检测系统有那些啊,软件还是硬件?

入侵检测系统分软件防火墙和硬件防火墙：

如中大型公司用，基本采用硬件防火墙。安全但成本高，动轨10多万元也不稀奇。

如小型公司或私人用户可采用软件防火墙，如诺盾（我的更爱），瑞星，熊猫，天网等。。。。。

软件防火墙占用SERVER资源较多，但成本低，几百元到千元就可搞定

具体看你们单位的实力和 *** 规模了。

入侵检测软件snort有哪些功能

Snort最重要的用途还是作为 *** 入侵检测系统(NIDS)。

使用简介

Snort并非复杂难以操作的软体。 Snort可以三个模式进行运作：

侦测模式（Sniffer Mode）：此模式下，Snort将在现有的网域内撷取封包，并显示在荧幕上。

封包纪录模式（packet logger mode）：此模式下，Snort将已撷取的封包存入储存媒体中（如硬碟）。

上线模式（inline mode）：此模式下，Snort可对撷取到的封包做分析的动作，并根据一定的规则来判断是否有网路攻击行为的出现。

基本指令：侦测模式

若你想要在萤幕上显示网路封包的标头档（header）内容，请使用

./snort -v

如果想要在萤幕上显示正在传输的封包标头档内容，请使用

./snort -vd

如果除了以上显示的内容之外，欲另外显示数据链路层（Data link layer）的资料的话，请使用

./snort -vde

*** 入侵检测软件

·B/S结构入侵检测软件的时代已经来临 关于 *** 安全软件B/S、C/S两种结构的优劣，近两年来出现过一些技术性的争论，但目前业内人士已经基本达成共识，B/S结构的优越性得到了普遍的认可，B/S结构是否能成为C/S结构的终结者还有待时间的验证。

何为C/S、B/S结构

C/S结构软件（即客户机/服务器模式）分为客户机和服务器两层，客户机不是毫无运算能力的输入、输出设备，而是具备了一定的数据处理和数据存储能力；通过把应用软件的计算和数据合理地分配在客户机和服务器两端，可以有效地降低 *** 通信量和服务器运算量。由于服务器连接数量和数据通信量的限制，这种结构的软件适于在用户数目不多的局域网内使用。

B/S结构软件（浏览器/服务器模式）是随着Internet技术的兴起，对C/S结构的一种改进。在这种结构中，软件应用的业务逻辑完全在应用服务器端实现，用户表现完全在Web服务器实现，客户端只需要浏览器即可进行业务处理，是一种全新的软件系统构造技术。这种结构已经成为当今应用软件的首选体系结构。

B/S入侵检测软件的优越性

目前 *** 安全领域备受瞩目的入侵检测软件也有B/S和C/S两大类，由于B/S软件先天的优越性，使得采用这种结构的入侵检测软件逐步受到用户的欢迎，表现出愈来愈强的市场竞争力，其优越性主要体现在下面几个方面。

更低的布署成本

传统的C/S结构入侵检测系统需要在管理主机上安装客户端软件及第三方数据库（SQL Server 2000、Access 2000等），如果用户需要在多台主机上管理设备则需要大量的重复安装工作，而B/S结构的入侵检测软件避免了这些麻烦，开机即可运行无需安装数据库软件，简化了用户端的环境要求，用户也无须为了使用这种软件而安装任何数据库软件或单独的设备，只需具备IE浏览器即可操作。如此显著的易用性大大降低了入侵检测系统在一个用户 *** 中的布署成本，成为这类入侵检测软件最吸引用户的因素之一。

在目前国内的入侵检测产品已经有少数技术领先的厂家开始采用B/S结构，榕基网安就是其中比较有代表性的一个。榕基RJ－IDS入侵检测系统问世于2005年，其基于WEB2.0模式的B/S软件结构有着采用C/S结构的入侵检测软件无法比拟的优势，目前已经陆续应用于电力、电信、金融等大型行业。

更高的数据安全性

C/S结构软件在保护数据的安全性方面有着先天的弊端。由于C/S结构软件的数据分布特性，客户端所发生的火灾、盗抢、地震、病毒等都将成为可怕的数据杀手。另外，对于集团公司内部 *** 中常见的多级应用，C/S结构的软件必须安装多个服务器，并在多个服务器之间进行数据同步。如此一来，每个数据点上的数据安全性都将影响到整个应用的数据安全性。所以，对于集团公司多级的大型应用来讲，C/S结构软件的安全性是令人无法接受的。

由于B/S结构数据集中存放于总部的数据库服务器，客户端不保存任何业务数据和数据库连接信息，也无需进行数据同步，所以上述安全问题也就不必担心了。对于所安装的入侵检测系统采用C/S软件结构的用户，还需要一台装有Windows操作系统的PC机来安装客户端和数据库作为控制台，在日常的应用中，这样的控制台的安全性难以保证，容易因内部人员滥用以及外部攻击而失去起码的安全保障，而对于采用了B/S结构的入侵检测软件来说，这个问题也不存在。所以从数据安全的角度看来，入侵检测系统采用B/S结构尤其重要，榕基 *** 入侵检测系统正是通过更为先进的B/S软件结构为用户的系统带来更可靠的数据安全性。

[01] [02] [下一页]

【频道首页】【对本文感兴趣】【大 中 小】【发MAIL给好友】【收藏】【打印】【回到顶部】网关导航：网关报价 | 网关图片 | 网关排行榜 | 论坛 | 产品库 | 订阅

更多相关：入侵检测 *** 安全 B/S

办公· *** 精选

简述入侵检测常用的四种 ***

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1、特征检测

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵 *** 检查出来，但对新的入侵 *** 无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2、异常检测

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

扩展资料

入侵分类：

1、基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。

这种类型的检测系统不需要额外的硬件．对 *** 流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测 *** 攻击。

2、基于 ***

通过被动地监听 *** 上传输的原始流量，对获取的 *** 数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常 *** 行为原型相比较来识别攻击事件。

此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。

但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于 *** 的入侵检测系统。

3、分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在 *** 关键节点上采用 *** 入侵检测，同时分析来自主机系统的审计日志和来自 *** 的数据流，判断被保护系统是否受到攻击。

参考资料来源：百度百科-入侵检测

网站入侵检测需要用到什么工具

你先弄明白web工作的原理是什么，然后在想着入侵检测吧，只用工具，不明白原理是没用的，最简单的莫非于注入之类的了，百度 啊D，明小子，穿山甲之类的，针对asp足够了，当然了，入侵不仅仅有注入，编辑器漏洞，暴库，敏感目录，弱口令等等，千万别忘记了上传漏洞，当然了，PHP的更好玩了，反正这个是个经验活，不是学两天就能学会的，自己慢慢的总结，你先下载啊D之类的，自己玩玩 找找感觉吧

入侵检测的分类情况

入侵检测系统所采用的技术可分为特征检测与异常检测两种。 （警报）

当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示。如果是远程控制台，那么alert将通过IDS系统内置 *** （通常是加密的）、SNMP（简单 *** 管理协议，通常不加密）、email、 *** S（短信息）或者以上几种 *** 的混合方式传递给管理员。 （异常）

当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警。一个基于anomaly（异常）的IDS会构造一个当时活动的主机或 *** 的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警，例如有人做了以前他没有做过的事情的时候，例如，一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此 *** 看做启发式功能，但一个启发式的IDS应该在其推理判断方面具有更多的智能。 （IDS硬件）

除了那些要安装到现有系统上去的IDS软件外，在市场的货架上还可以买到一些现成的IDS硬件，只需将它们接入 *** 中就可以应用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS是由Max Visi开发的一个攻击特征数据库，它是动态更新的，适用于多种基于 *** 的入侵检测系统。

ARIS：Attack Registry Intelligence Service（攻击事件注册及智能服务）

ARIS是SecurityFocus公司提供的一个附加服务，它允许用户以 *** 匿名方式连接到Internet上向SecurityFocus报送 *** 安全事件，随后SecurityFocus会将这些数据与许多其它参与者的数据结合起来，最终形成详细的 *** 安全统计分析及趋势预测，发布在 *** 上。它的URL地址是。 （攻击）

Attacks可以理解为试图渗透系统或绕过系统的安全策略，以获取信息、修改信息以及破坏目标 *** 或系统功能的行为。以下列出IDS能够检测出的最常见的Internet攻击类型：

攻击类型1－DOS（Denial Of Service attack，拒绝服务攻击）：DOS攻击不是通过黑客手段破坏一个系统的安全，它只是使系统瘫痪，使系统拒绝向其用户提供服务。其种类包括缓冲区溢出、通过洪流（flooding）耗尽系统资源等等。

攻击类型2－DDOS（Distributed Denial of Service，分布式拒绝服务攻击）：一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击，却无法发出足够的信息包来达到理想的结果，因此就产生了DDOS，即从多个分散的主机一个目标发动攻击，耗尽远程系统的资源，或者使其连接失效。

攻击类型3－Smurf：这是一种老式的攻击，还时有发生，攻击者使用攻击目标的伪装源地址向一个 *** urf放大器广播地址执行ping操作，然后所有活动主机都会向该目标应答，从而中断 *** 连接。

攻击类型4－Trojans（特洛伊木马）：Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马，木马中藏有希腊士兵，当木马运到城里，士兵就涌出木马向这个城市及其居民发起攻击。在计算机术语中，它原本是指那些以合法程序的形式出现，其实包藏了恶意软件的那些软件。这样，当用户运行合法程序时，在不知情的情况下，恶意软件就被安装了。但是由于多数以这种形式安装的恶意程序都是远程控制工具，Trojan这个术语很快就演变为专指这类工具，例如BackOrifice、SubSeven、NetBus等等。 （自动响应）

除了对攻击发出警报，有些IDS还能自动抵御这些攻击。抵御方式有很多：首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流；其次，通过在 *** 上发送reset包切断连接。但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其 *** 是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了。发送reset包的 *** 要求有一个活动的 *** 接口，这样它将置于攻击之下，一个补救的办法是：使活动 *** 接口位于防火墙内，或者使用专门的发包程序，从而避开标准IP栈需求。 （Computer Emergency Response Team，计算机应急响应小组）

这个术语是由之一支计算机应急反映小组选择的，这支团队建立在Carnegie Mellon大学，他们对计算机安全方面的事件做出反应、采取行动。许多组织都有了CERT，比如CNCERT/CC（中国计算机 *** 应急处理协调中心）。由于emergency这个词有些不够明确，因此许多组织都用Incident这个词来取代它，产生了新词Computer Incident Response Team（CIRT），即计算机事件反应团队。response这个词有时也用handling来代替，其含义是response表示紧急行动，而非长期的研究。 （Common Intrusion Detection Framework；通用入侵检测框架）

CIDF力图在某种程度上将入侵检测标准化，开发一些协议和应用程序接口，以使入侵检测的研究项目之间能够共享信息和资源，并且入侵检测组件也能够在其它系统中再利用。 （Computer Incident Response Team，计算机事件响应小组）

CIRT是从CERT演变而来的，CIRT代表了对安全事件在哲学认识上的改变。CERT最初是专门针对特定的计算机紧急情况的，而CIRT中的术语incident则表明并不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。 （Common Intrusion Specification Language，通用入侵规范语言）

CISL是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试，因此CISL就是对入侵检测研究的语言进行标准化的尝试。 （Common Vulnerabilities and Exposures，通用漏洞披露）

关于漏洞的一个老问题就是在设计扫描程序或应对策略时，不同的厂商对漏洞的称谓也会完全不同。还有，一些产商会对一个漏洞定义多种特征并应用到他们的IDS系统中，这样就给人一种错觉，好像他们的产品更加有效。MITRE创建了CVE，将漏洞名称进行标准化，参与的厂商也就顺理成章按照这个标准开发IDS产品。 （自定义数据包）

建立自定义数据包，就可以避开一些惯用规定的数据包结构，从而制造数据包欺骗，或者使得收到它的计算机不知该如何处理它。 （同步失效）

Desynchronization这个术语本来是指用序列数逃避IDS的 *** 。有些IDS可能会对它本来期望得到的序列数感到迷惑，从而导致无法重新构建数据。这一技术在1998年很流行，已经过时了，有些文章把desynchronization这个术语代指其它IDS逃避 *** 。 （列举）

经过被动研究和社会工程学的工作后，攻击者就会开始对 *** 资源进行列举。列举是指攻击者主动探查一个 *** 以发现其中有什么以及哪些可以被他利用。由于行动不再是被动的，它就有可能被检测出来。当然为了避免被检测到，他们会尽可能地悄悄进行。 （躲避）

Evasion是指发动一次攻击，而又不被IDS成功地检测到。其中的窍门就是让IDS只看到一个方面，而实际攻击的却是另一个目标，所谓明修栈道，暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL（有效时间）值，这样，经过IDS的信息看起来好像是无害的，而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。一旦经过了IDS并接近目标，无害的部分就会被丢掉，只剩下有害的。 （漏洞利用）

对于每一个漏洞，都有利用此漏洞进行攻击的机制。为了攻击系统，攻击者编写出漏洞利用代码或脚本。

对每个漏洞都会存在利用这个漏洞执行攻击的方式，这个方式就是Exploit。为了攻击系统，黑客会利用漏洞编写出程序。

漏洞利用：Zero Day Exploit（零时间漏洞利用）

零时间漏洞利用是指还未被了解且仍在肆意横行的漏洞利用，也就是说这种类型的漏洞利用当前还没有被发现。一旦一个漏洞利用被 *** 安全界发现，很快就会出现针对它的补丁程序，并在IDS中写入其特征标识信息，使这个漏洞利用无效，有效地捕获它。 （漏报）

漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。

False Positives（误报）

误报是指实际无害的事件却被IDS检测为攻击事件。

Firewalls（防火墙）

防火墙是 *** 安全的之一道关卡，虽然它不是IDS，但是防火墙日志可以为IDS提供宝贵信息。防火墙工作的原理是根据规则或标准，如源地址、端口等，将危险连接阻挡在外。 （Forum of Incident Response and Security Teams，事件响应和安全团队论坛）

FIRST是由国际性 *** 和私人组织联合起来交换信息并协调响应行动的联盟，一年一度的FIRST受到高度的重视。 （分片）

如果一个信息包太大而无法装载，它就不得不被分成片断。分片的依据是 *** 的MTU（Maximum Tran *** ission Units，更大传输单元）。例如，灵牌环网（token ring）的MTU是4464，以太网（Ethernet）的MTU是1500，因此，如果一个信息包要从灵牌环网传输到以太网，它就要被分裂成一些小的片断，然后再在目的地重建。虽然这样处理会造成效率降低，但是分片的效果还是很好的。黑客将分片视为躲避IDS的 *** ，另外还有一些DOS攻击也使用分片技术。 （启发）

Heuristics就是指在入侵检测中使用AI（artificial intelligence，人工智能）思想。真正使用启发理论的IDS已经出现大约10年了，但他们还不够“聪明”，攻击者可以通过训练它而使它忽视那些恶意的信息流。有些IDS使用异常模式去检测入侵，这样的IDS必须要不断地学习什么是正常事件。一些产商认为这已经是相当“聪明”的IDS了，所以就将它们看做是启发式IDS。但实际上，真正应用AI技术对输入数据进行分析的IDS还很少很少。 （Honeynet工程）

Honeynet是一种学习工具，是一个包含安全缺陷的 *** 系统。当它受到安全威胁时，入侵信息就会被捕获并接受分析，这样就可以了解黑客的一些情况。Honeynet是一个由30余名安全专业组织成员组成、专门致力于了解黑客团体使用的工具、策略和动机以及共享他们所掌握的知识的项目。他们已经建立了一系列的honeypots，提供了看似易受攻击的Honeynet *** ，观察入侵到这些系统中的黑客，研究黑客的战术、动机及行为。 （蜜罐）

蜜罐是一个包含漏洞的系统，它模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。与此同时，最初的攻击目标受到了保护，真正有价值的内容将不受侵犯。

蜜罐最初的目的之一是为起诉恶意黑客搜集证据，这看起来有“诱捕”的感觉。但是在一些国家中，是不能利用蜜罐收集证据起诉黑客的。 （IDS分类）

有许多不同类型的IDS，以下分别列出：

IDS分类1－Application IDS（应用程序IDS）：应用程序IDS为一些特殊的应用程序发现入侵信号，这些应用程序通常是指那些比较易受攻击的应用程序，如Web服务器、数据库等。有许多原本着眼于操作系统的基于主机的IDS，虽然在默认状态下并不针对应用程序，但也可以经过训练，应用于应用程序。例如，KSE（一个基于主机的IDS）可以告诉我们在事件日志中正在进行的一切，包括事件日志报告中有关应用程序的输出内容。应用程序IDS的一个例子是Entercept的Web Server Edition。

IDS分类2－Consoles IDS（控制台IDS）：为了使IDS适用于协同环境，分布式IDS *** 需要向中心控制台报告信息。许多中心控制台还可以接收其它来源的数据，如其它产商的IDS、防火墙、路由器等。将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。有些控制台还将它们自己的攻击特征添加到 *** 级别的控制台，并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。

IDS分类3－File Integrity Checkers（文件完整性检查器）：当一个系统受到攻击者的威胁时，它经常会改变某些关键文件来提供持续的访问和预防检测。通过为关键文件附加信息摘要（加密的杂乱信号），就可以定时地检查文件，查看它们是否被改变，这样就在某种程度上提供了保证。一旦检测到了这样一个变化，完整性检查器就会发出一个警报。而且，当一个系统已经受到攻击后，系统管理员也可以使用同样的 *** 来确定系统受到危害的程度。以前的文件检查器在事件发生好久之后才能将入侵检测出来，是“事后诸葛亮”，出现的许多产品能在文件被访问的同时就进行检查，可以看做是实时IDS产品了。该类产品有Tripwire和Intact。

IDS分类4－Honeypots（蜜罐）：关于蜜罐，前面已经介绍过。蜜罐的例子包括Mantrap和Sting。

IDS分类5－Host-based IDS（基于主机的IDS）：这类IDS对多种来源的系统和事件日志进行监控，发现可疑活动。基于主机的IDS也叫做主机IDS，最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测 *** 而渗透到 *** 中的活动。除了完成类似事件日志阅读器的功能，主机IDS还对“事件/日志/时间”进行签名分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的，系统的错误就可以很快地检测出来，技术人员和安全人士都非常喜欢它。基于主机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。

IDS分类6－Hybrid IDS（混合IDS）：现代交换 *** 的结构给入侵检测操作带来了一些问题。首先，默认状态下的交换 *** 不允许网卡以混杂模式工作，这使传统 *** IDS的安装非常困难。其次，很高的 *** 速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS（混合IDS）正是解决这些问题的一个方案，它将IDS提升了一个层次，组合了 *** 节点IDS和Host IDS（主机IDS）。虽然这种解决方案覆盖面极大，但同时要考虑到由此引起的巨大数据量和费用。许多 *** 只为非常关键的服务器保留混合IDS。有些产商把完成一种以上任务的IDS都叫做Hybrid IDS，实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。

IDS分类7－Network IDS（NIDS， *** IDS）：NIDS对所有流经监测 *** 的 *** 通信量进行监控，对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带有IDS过滤器的混合信息包嗅探器，但是它们变得更加智能化，可以破译协议并维护状态。NIDS存在基于应用程序的产品，只需要安装到主机上就可应用。NIDS对每个信息包进行攻击特征的分析，但是在 *** 高负载下，还是要丢弃些信息包。 *** IDS的产品有SecureNetPro和Snort。

IDS分类8－Network Node IDS（NNIDS， *** 节点IDS）：有些 *** IDS在高速下是不可靠的，装载之后它们会丢弃很高比例的 *** 信息包，而且交换 *** 经常会妨碍 *** IDS看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机，从而缓解了高速和交换的问题。虽然NNIDS与个人防火墙功能相似，但它们之间还有区别。对于被归类为NNIDS的个人防火墙，应该对企图的连接做分析。例如，不像在许多个人防火墙上发现的“试图连接到端口xxx”，一个NNIDS会对任何的探测都做特征分析。另外，NNIDS还会将主机接收到的事件发送到一个中心控制台。NNIDS产品有BlackICE Agent和Tiny CMDS。

IDS分类9－Personal Firewall（个人防火墙）：个人防火墙安装在单独的系统中，防止不受欢迎的连接，无论是进来的还是出去的，从而保护主机系统。注意不要将它与NNIDS混淆。个人防火墙有ZoneAlarm和Sybergen。

IDS分类10－Target-Based IDS（基于目标的IDS）：这是不明确的IDS术语中的一个，对不同的人有不同的意义。可能的一个定义是文件完整性检查器，而另一个定义则是 *** IDS，后者所寻找的只是对那些由于易受攻击而受到保护的 *** 所进行的攻击特征。后面这个定义的目的是为了提高IDS的速度，因为它不搜寻那些不必要的攻击。 （Intrusion Detection Working Group，入侵检测工作组）

入侵检测工作组的目标是定义数据格式和交换信息的程序步骤，这些信息是对于入侵检测系统、响应系统以及那些需要与它们交互作用的管理系统都有重要的意义。入侵检测工作组与其它IETF组织协同工作。 （事件处理）

检测到一个入侵只是开始。更普遍的情况是，控制台操作员会不断地收到警报，由于根本无法分出时间来亲自追踪每个潜在事件，操作员会在感兴趣的事件上做出标志以备将来由事件处理团队来调查研究。在最初的反应之后，就需要对事件进行处理，也就是诸如调查、辩论和起诉之类的事宜。 （事件响应）

对检测出的潜在事件的最初反应，随后对这些事件要根据事件处理的程序进行处理。 （孤岛）

孤岛就是把 *** 从Internet上完全切断，这几乎是最后一招了，没有办法的办法。一个组织只有在大规模的病毒爆发或受到非常明显的安全攻击时才使用这一手段。 （混杂模式）

默认状态下，IDS *** 接口只能看到进出主机的信息，也就是所谓的non-promiscuous（非混杂模式）。如果 *** 接口是混杂模式，就可以看到网段中所有的 *** 通信量，不管其来源或目的地。这对于 *** IDS是必要的，但同时可能被信息包嗅探器所利用来监控 *** 通信量。交换型HUB可以解决这个问题，在能看到全面通信量的地方，会都许多跨越（span）端口。

Routers（路由器）

路由器是用来连接不同子网的中枢，它们工作于OSI 7层模型的传输层和 *** 层。路由器的基本功能就是将 *** 信息包传输到它们的目的地。一些路由器还有访问控制列表（ACLs），允许将不想要的信息包过滤出去。许多路由器都可以将它们的日志信息注入到IDS系统中，提供有关被阻挡的访问 *** 企图的宝贵信息。 （扫描器）

扫描器是自动化的工具，它扫描 *** 和主机的漏洞。同入侵检测系统一样，它们也分为很多种，以下分别描述。

扫描器种类1－NetworkScanners（ *** 扫描器）： *** 扫描器在 *** 上搜索以找到 *** 上所有的主机。传统上它们使用的是ICMP ping技术，但是这种 *** 很容易被检测出来。为了变得隐蔽，出现了一些新技术，例如ack扫描和fin扫描。使用这些更为隐蔽扫描器的另一个好处是：不同的操作系统对这些扫描会有不同的反应，从而为攻击者提供了更多有价值的信息。这种工具的一个例子是nmap。

扫描器种类2－Network Vulnerability Scanners（ *** 漏洞扫描器）： *** 漏洞扫描器将 *** 扫描器向前发展了一步，它能检测目标主机，并突出一切可以为黑客利用的漏洞。 *** 漏洞扫描器可以为攻击者和安全专家使用，但会经常让IDS系统“紧张”。该类产品有Retina和CyberCop。

扫描器种类3－Host VulnerabilityScanners（主机漏洞扫描器）：这类工具就像个有特权的用户，从内部扫描主机，检测口令强度、安全策略以及文件许可等内容。 *** IDS，特别是主机IDS可以将它检测出来。该类产品有SecurityExpressions，它是一个远程Windows漏洞扫描器，并且能自动修复漏洞。还有如ISS数据库扫描器，会扫描数据库中的漏洞。 （脚本小子）

有些受到大肆宣扬的Internet安全破坏，如2000年2月份对Yahoo的拒绝服务攻击，是一些十来岁的中学生干的，他们干这些坏事的目的好象是为了扬名。安全专家通常把这些人称为脚本小子（Script Kiddies）。脚本小子通常都是一些自发的、不太熟练的cracker，他们使用从Internet 上下载的信息、软件或脚本对目标站点进行破坏。黑客组织或法律实施权威机构都对这些脚本小孩表示轻蔑，因为他们通常都技术不熟练，手上有大把时间可以来搞破坏，他们的目的一般是为了给他们的朋友留下印象。脚本小子就像是拿着抢的小孩，他们不需要懂得弹道理论，也不必能够制造枪支，就能成为强大的敌人。因此，无论何时都不能低估他们的实力。 （躲避）

躲避是指配置边界设备以拒绝所有不受欢迎的信息包，有些躲避甚至会拒绝来自某些国家所有IP地址的信息包。 （特征）

IDS的核心是攻击特征，它使IDS在事件发生时触发。特征信息过短会经常触发IDS，导致误报或错报，过长则会减慢IDS的工作速度。有人将IDS所支持的特征数视为IDS好坏的标准，但是有的产商用一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的IDS。大家一定要清楚这些。 （隐藏）

隐藏是指IDS在检测攻击时不为外界所见，它们经常在DMZ以外使用，没有被防火墙保护。它有些缺点，如自动响应。