入侵是網路安全專業術語

❶ 網路入侵的名詞解釋

1, 入侵檢測技術（IDS）可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術。
入侵檢測方法很多，如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。
入侵檢測通過執行以下任務來實現：
1.監視、分析用戶及系統活動；
2.系統構造和弱點的審計；
3.識別反映已知進攻的活動模式並向相關人士報警；
4.異常行為模式的統計分析；
5.評估重要系統和數據文件的完整性；
6.操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。
入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司（國際互聯網安全系統公司）的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為，在系統受到危害之前截取和響應安全漏洞和內部誤用，從而最大程度地為企業網路提供安全。
入侵檢測系統目前存在的問題:
1. 現有的入侵檢測系統檢測速度遠小於網路傳輸速度, 導致誤報率和漏報率
2. 入侵檢測產品和其它網路安全產品結合問題, 即期間的信息交換,共同協作發現攻擊並阻擊攻擊
3. 基於網路的入侵檢測系統對加密的數據流及交換網路下的數據流不能進行檢測, 並且其本身構建易受攻擊
4. 入侵檢測系統體系結構問題
發展趨勢:
1. 基於agent(注:代理服務)的分布協作式入侵檢測與通用入侵檢測結合
2. 入侵檢測標準的研究, 目前缺乏統一標准
3. 寬頻高速網路實時入侵檢測技術
4. 智能入侵檢測
5. 入侵檢測的測度

2,在1998年,Martin Roesch先生用C語言開發了開放源代碼(Open Source)的入侵檢測系統Snort.直至今天,Snort已發展成為一個多平台(Multi-Platform),實時(Real-Time)流量分析,網路IP數據包(Pocket)記錄等特性的強大的網路入侵檢測/防禦系統(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共許可(GPL——GUN General Pubic License),在網上可以通過免費下載獲得Snort,並且只需要幾分鍾就可以安裝並開始使用它.snort基於libpcap。
snort系統組成：snort由三個重要的子系統構成：數據包解碼器，檢測引擎，日誌與報警系統。
Snort有三種工作模式：嗅探器、數據包記錄器、網路入侵檢測系統。嗅探器模式僅僅是從網路上讀取數據包並作為連續不斷的流顯示在終端上。數據包記錄器模式把數據包記錄到硬碟上。網路入侵檢測模式是最復雜的，而且是可配置的。我們可以讓snort分析網路數據流以匹配用戶定義的一些規則，並根據檢測結果採取一定的動作。

3,SPAN技術主要是用來監控交換機上的數據流，大體分為兩種類型，本地SPAN和遠程SPAN.
----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，實現方法上稍有不同。
利用SPAN技術我們可以把交換機上某些想要被監控埠（以下簡稱受控埠）的數據流COPY或MIRROR一
份，發送給連接在監控埠上的流量分析儀，比如CISCO的IDS或是裝了SNIFFER工具的PC. 受控埠和
監控埠可以在同一台交換機上（本地SPAN），也可以在不同的交換機上（遠程SPAN）。
二、名詞解釋
SPAN Session--SPAN會話
SPAN會話是指一組受控埠與一個監控埠之間的數據流。可以同時對多個埠的進入流量或是一個端
口的外出流量進行監控，也可以對VLAN內所有埠的進入流量進行監控，但不能同時對多個埠的外出
流量及VLAN的外出流量進行監控，可以對處於關閉狀態的埠設置SPAN，但此時的SPAN會話是非活動，
但只要相關的介面被打開，SPAN就會變為活動的。
監控埠最好是>=受控埠的帶寬，否則可能會出現丟包的情況。
SPAN Traffic--SPAN的流量
使用本地SPAN可以監控所有的網路流量，包括multicast、bridge protocol data unit (BPDU)，和CDP、
VTP、DTP、STP、PagP、LACP packets. RSPAN不能監控二層協議。
Traffic Types--流量類型
被監控的流量類型分為三種，Receive (Rx) SPAN 受控埠的接收流量，Transmit (Tx) SPAN 受控埠
的發送流量，Both 一個受控埠的接收和發送流量。
Source Port--SPAN會話的源埠（也就是monitored port-即受控埠）
受控埠可以是實際的物理埠、VLAN、以太通道埠組EtherChannel，物理埠可以在不同的VLAN中，
受控埠如果是VLAN則包括此VLAN中的所以物理埠，受控埠如果是以太通道則包括組成此以太通道組
的所有物理埠，如果受控埠是一個TRUNK幹道埠，則此TRUNK埠上承載的所有VLAN流量都會受到監
控，也可以使用filter vlan 參數進行調整，只對filter vlan 中指定的VLAN數據流量做監控。
Destination Port--SPAN會話的目的埠（也就是monitoring port-即監控埠）
監控埠只能是單獨的一個實際物理埠，一個監控埠同時只能在一個SPAN會話中使用，監控
埠不參與其它的二層協議如：Layer 2 protocols
Cisco Discovery Protocol (CDP),
VLAN Trunk Protocol (VTP),
Dynamic Trunking Protocol (DTP),
Spanning Tree Protocol (STP),
Port Aggregation Protocol (PagP),
Link Aggregation Control Protocol (LACP).
預設情況下監控埠不會轉發除SPAN Session以外的任何其它的數據流，也可以通過設置ingress
參數，打開監控埠的二層轉發功能，比如當連接CISCO IDS的時會有這種需求，此時IDS不僅要接
收SPAN Session的數據流，IDS本身在網路中還會與其它設備有通訊流量，所以要打開監控埠的
二層轉發功能。
Reflector Port--反射埠
反射埠只在RSPAN中使用，與RSPAN中的受控埠在同一台交換機上，是用來將本地的受控埠流量
轉發到RSPAN中在另一台交換機上的遠程監控埠的方法，反射埠也只能是一個實際的物理埠，
它不屬於任何VLAN(It is invisible to all VLANs.)。
RSPAN中還要使用一個專用的VLAN來轉發流量，反射埠會使用這個專用VLAN將數據流通過TRUNK埠
發送給其它的交換機，遠程交換機再通過此專用VLAN將數據流發送到監控埠上的分析儀。
關於RSPAN VLAN的創建，所有參與RSPAN的交換機應在同一個VTP域中，不能用VLAN 1，也不能用
1002-1005，這是保留的(reserved for Token Ring and FDDI VLANs)，如果是2-1001的標准VLAN，
則只要在VTP Server上創建即可，其它的交換機會自動學到，如果是1006-4094的擴展VLAN，則需要
在所有交換機上創建此專用VLAN.
反射埠最好是>=受控埠的帶寬，否則可能會出現丟包的情況。
VLAN-Based SPAN--基於VLAN的SPAN
基於VLAN的SPAN只能監控VLAN中所有活動埠接收的流量(only received (Rx) traffic)，如果
監控埠屬於此VLAN，則此埠不在監控范圍內，VSPAN只監控進入交換機的流量，不對VLAN介面上
的路由數據做監控。
(VSPAN only monitors traffic that enters the switch, not traffic that is routed between VLANs.
For example, if a VLAN is being Rx-monitored and the multilayer switch routes traffic
from another VLAN to the monitored VLAN, that traffic is not monitored and is not received
on the SPAN destination port. )
三、SPAN和RSPAN與其它特性的互操作性
Routing--SPAN不監控VLAN間的路由數據；(不好理解)
Routing—Ingress SPAN does not monitor routed traffic. VSPAN only monitors traffic that
enters the switch, not traffic that is routed between VLANs. For example, if a VLAN is
being Rx-monitored and the multilayer switch routes traffic from another VLAN to the
monitored VLAN, that traffic is not monitored and not received on the SPAN destination port.
STP--監控埠和反射埠不會參與STP，但SPAN對受控埠的STP沒有影響；
CDP--監控埠不參與CDP；
VTP--RSPAN VLAN可以被修剪pruning；
VLAN and trunking--可以修改受控埠、監控埠和反射埠的VLAN和TRUNK設置，受控埠的改變
會立即生效，而監控埠和反射埠則要在從SPAN中去除後才會生效；
EtherChannel--整個以太通道組可以做為受控埠使用，如果一個屬於某個以太通道組的物理埠被
配成了受控埠、監控埠或反射埠，則此埠會自動從以太通道組去除，當SPAN
刪除後，它又會自動加入原以太通道組；
QoS--由於受QoS的策略影響，監控埠上收到的數據流會與受控埠實際的數據流不同，比如DSCP值
被修改等；
Multicast--SPAN可以監控組播的數據流；
Port security--安全埠不能做為監控埠使用；
802.1x--受控埠、監控埠和反射埠上可以設置802.1x，但有些限制。
四、SPAN和RSPAN的配置舉例
SPAN的限制和預設設置
Catalyst 3550交換機上最多隻能設置兩個SPAN Session，預設SPAN沒有使用，如果做了設置，預設
情況下，第一個被設為受控埠的介面進出流量都會受到監控，以後再追加的受控埠只會對接收的
流量進行監控，監控埠的默認封裝類型為Native，也就是沒有打VLAN的標記。

❷ 什麼是網路入侵

網路安全從其本質上來講就是網路上的信息安全。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。確保網路系統的信息安全是網路安全的目標，信息安全包括兩個方面：信息的存儲安全和信息的傳輸安全。信息的存儲安全是指信息在靜態存放狀態下的安全，如是否會被非授權調用等。信息的傳輸安全是指信息在動態傳輸過程中安全。為了確保網路信息的傳輸安全，有以下幾個問題：

（１）對網路上信息的監聽
（２）對用戶身份的仿冒
（３）對網路上信息的篡改
（４）對發出的信息予以否認
（５）對信息進行重發

這差不多可以幫你理解什麼是網路入侵，以及入侵的目的。

❸ 什麼是入侵檢測，以及入侵檢測的系統結構組成

入侵檢測是防火牆的合理補充。

入侵檢測的系統結構組成：

1、事件產生器：它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2、事件分析器：它經過分析得到數據，並產生分析結果。

3、響應單元：它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4、事件資料庫：事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

(3)入侵是網路安全專業術語擴展閱讀：

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵。

後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高。

誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。

這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

❹ 什麼是入侵檢測

入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。

它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

檢測步驟

(1)信息收集。入侵檢測的第一步是信息收集，內容包括系統、網路、數據及用戶活動的狀態和行為。

而且，需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的昂好標識。

當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要只昶用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其他工具。

黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣，而實際上不是。例如，UNIX系統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於指定文件的文件(票客隱藏了初始文件並用另一版本代替)。

這需要保證用來檢測網路系統的軟體的完整性，特別是入侵檢測系統軟體本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。

(2)信號分析。對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。

❺ 互聯網安全術語

36條網路安全術語盤點

網路安全

以下的網路安全常用術語，你都清楚嗎？

01肉雞

被黑客入侵並被長期駐扎的計算機或伺服器。

02抓雞

利用使用量大的程序的漏洞，使用自動化方式獲取肉雞的行為。

03webshell

通過web入侵的一種腳本工具，可以據此對網站服務進行一定程度的控制。

04一句話木馬

通過向伺服器提交一句簡短的代碼，配合本地客戶端實現webshell功能的木馬。

05提權

操作系統低許可權的賬戶將自己提升為管理員許可權使用的方法。

06後門

黑客為了對主機進行長期的控制，在機器上種植的一段程序或留下的一個入口。

07跳板

使用肉雞IP來實施攻擊其他目標，以便更好的隱藏自己的身份信息。

08旁站入侵

即同伺服器下的網站入侵。

090day 漏洞 和 0day 攻擊

0day 漏洞，又稱零日漏洞 「zero-day」。是已經被發現 (有可能未被公開)，而官方還沒有相關補丁的漏洞。 利用0day漏洞的攻擊行為即為0day攻擊。

10CVE

CVE 的英文全稱是 「Common Vulnerabilities & Exposures」 公共漏洞和暴露，例如 CVE-2015-0057、CVE-1999-0001 等等。CVE 就好像是一個字典表，為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。

11PoC

你可以理解成為漏洞驗證程序。和一些應用程序相比，PoC 是一段不完整的程序，僅僅是為了證明提出者的觀點的一段代碼。

12Exp

漏洞利用程序。簡單講就是一段可以發揮漏洞價值的程序,可以用過漏洞拿到目標機器的許可權。

13SSL

安全套接字層(SSL, Secure Sockets Layer)是一種協議，支持服務通過網路進行通信而不損害安全性。

14APT攻擊

高級持續性攻擊，也稱為定向威脅攻擊，指某組織對特定對象展開的持續有效的攻擊活動。這種攻擊活動具有極強的隱蔽性和針對性,通常會運用受感染的各種介質、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊。

15旁註

旁註是一種入侵方法，利用同一主機上面不同網站的漏洞得到webshell，從而利用主機上的程序或者是服務所暴露的用戶所在的物理路徑進行入侵。

16免殺

就是通過加殼、加密、修改特徵碼、加花指令等等技術來修改程序，使其逃過殺毒軟體的查殺。

17紅藍對抗

網路安全中，紅藍對抗是一方扮演黑客（藍軍），一方扮演防禦者（紅軍），進行網路安全的攻防對抗。

18Payload

Payload即有效載荷，被隱藏並且秘密發送的信息。

19DDOS攻擊

分布式拒絕服務攻擊(英文意思是Distributed Denial of Service，簡稱DDoS)是指處於不同位置的多個攻擊者同時向一個或數個目標發動攻擊，或者一個攻擊者控制了位於不同位置的多台機器並利用這些機器對受害者同時實施攻擊。由於攻擊的發出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務攻擊，其中的攻擊者可以有多個。

20IDS

入侵檢測系統(IDS是英文「Intrusion Detection Systems」的縮寫)。專業上講就是依照一定的安全策略，通過軟、硬體，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

21IPS

入侵防禦系統（IPS）,有過濾攻擊功能的特種安全設備。一般布於防火牆和外來網路的設備之間，依靠對數據包的檢測進行防禦（檢查入網的數據包，確定數據包的真正用途，然後決定是否允許其進入內網）。

22WAF防護

WAF英文全稱為Web Application Firewall，中文含義為網站應用級入侵防禦系統，是一項網路安全技術，主要用於加強網站伺服器安全。

23MD5演算法

信息摘要演算法（英語：MD5 Message-Digest Algorithm），一種被廣泛使用的密碼散列函數，可以產生出一個128位的散列值（hash value），用於確保信息傳輸完整一致。

24黑盒測試

在未授權的情況下，模擬黑客的攻擊方法和思維方式，來評估計算機網路系統可能存在的安全風險。

25白盒測試

白盒測試就偏向於代碼審計。

26灰盒測試

基於白盒與黑盒測試之間的一種產物。

27僵屍網路（Botnet）

僵屍網路 Botnet是指採用一種或多種傳播手段，將大量主機感染bot程序（僵屍程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。

28魚叉攻擊

「魚叉攻擊」通常是指利用木馬程序作為電子郵件的附件，發送到目標電腦上，誘導受害者去打開附件來感染木馬。

29釣魚式攻擊

釣魚式攻擊是一種企圖從電子通訊中，通過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。

30水坑攻擊

水坑攻擊」，黑客攻擊方式之一，顧名思義，是在受害者必經之路設置了一個「水坑(陷阱)」。最常見的做法是，黑客分析攻擊目標的上網活動規律，尋找攻擊目標經常訪問的網站的弱點，先將此網站「攻破」並植入攻擊代碼，一旦攻擊目標訪問該網站就會「中招」。

31社會工程學攻擊

社會工程學（Social Engineering），是一種通過人際交流的方式獲得信息的非技術滲透手段。

32TOP500姓名

中國常用姓名前500個,可以設置為攻擊字典碰撞用戶密碼。

33DLL注入

將一個DLL放進某個進程的地址空間里，讓它成為那個進程的一部分。

34SQL注入

SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串，最終達到欺騙伺服器執行惡意的SQL命令。具體來說，它是利用現有應用程序，將（惡意的）SQL命令注入到後台資料庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的資料庫，而不是按照設計者意圖去執行SQL語句。

35sys驅動

驅動程序一般指的是設備驅動程序(Device Driver),是一種可以使計算機和設備通信的特殊程序。相當於硬體的介面,操作系統只有通過這個介面,才能控制硬體設備的工作。

36加殼

對可執行程序進行資源壓縮的手段. 另一種形式是在二進制的程序中植入一段代碼，在運行的時候優先取得程序的控制權，之後再把控制權交還給原始代碼，這樣做的目的是隱藏程序真正的OEP（入口點，防止被破解）。大多數病毒就是基於此原理。

如有幫助，敬請採納，謝謝！

❻ 網路安全中，入侵和滲透的區別

滲透測試為模擬黑客攻擊測試，但兩者也有區別，滲透測試是「面」的測試，黑客攻擊是「深度」測試。前者講究廣泛度，後者講究破壞性。

❼ 黑客都有那些術語盡量說詳細點謝謝了

黑客術語一點通
關鍵詞： 黑客 術語 一點通

「反彈埠」原理：
服務端（被控制端）主動連接客戶端（控制端），為了隱蔽起見，監聽埠一般開在80（提供HTTP服務的埠），這樣，即使用戶使用埠掃描軟體檢查自己的埠，也難以發現。而控制端發給服務端的數據是一個第三方的空間來實現的，一般用一個主頁空間，控制端通過FTP寫主頁空間上的一個文件，而服務端定期?*** TTP協議讀取這個文件的內容，當發現客戶端讓自己開始連接時，就主動連接。這樣，控制端就可以穿過防火牆，甚至還能訪問區域網內部的電腦。

軟體加殼：
「殼」是一段專門負責保護軟體不被非法修改或反編譯的程序。它們一般都是先於程序運行，拿到控制權，然後完成它們保護軟體的任務。經過加殼的軟體在跟蹤時已看到其真實的十六進制代碼，因此可以起到保護軟體的目的。

軟體脫殼：
顧名思義，就是利用相應的工具，把在軟體「外面」起保護作用的「殼」程序去除，還文件本來面目，這樣再修改文件內容就容易多了。

蠕蟲病毒：
它利用了WINDOWS系統的開放性特點，特別是COM到COM+的組件編程思路，一個腳本程序能調用功能更大的組件來完成自己的功能。以VB腳本病毒為例，它們都是把VBS腳本文件加在附件中，使用*.HTM，VBS等欺騙性的文件名。蠕蟲病毒的主要特性有：自我復制能力、很強的傳播性、潛伏性、特定的觸發性、很大的破壞性。

緩沖區溢出：
功擊者向一個地址區輸入這個區間存儲不下的大量字元。在某些性況下，這些多餘的字元可以作為「執行代碼」來運行，因此足以使功擊者不受安全措施限制地獲得計算機的控制權。

CMD：
是一個所謂命令行控制台。有兩條進入該程序的通道：第一、滑鼠點擊「開始—運行」，在出現的編輯框中鍵入「CMD」，然後點擊「確定」；第二、在啟動Windows2000的時候，按F8進入啟動選擇菜單，移動光條或鍵入數字至安全模式的命令行狀態。出現的窗口是一個在win9x系統常見的那種MSDOS方式的界面。盡管微軟把這個工具當做命令解釋器一個新的實例，但使用方法去和原來的DOS沒有區別。

嗅控器：
（Snifffer）就是能夠捕獲網路報文的設備。嗅控器的正當用處在於分析網路的流量，以便找出所關心的網路中潛在的問題。

密罐：（Honeypot）
是一個包含漏洞的系統，它摸擬一個或多個易受功擊的主機，給黑客提供一個容易功擊的目標。由於密罐沒有其它任務需要完成，因此所有連接的嘗試都應被視為是可疑的。密罐的另一個用途是拖延功擊者對其真正目標的功擊，讓功擊者在密罐上浪費時間。與此同時，最初的功擊目標受到了保護，真正有價值的內容光煥發不將受侵犯。

路由器（Routers）：
是用來連接不同子網的中樞，它們工作於osi 7層模型的傳輸層和網路層。路由器的基本功能就是將網路信息包傳輸到它們的目的地。一些路由器還有訪問控制列表（ACLs），允許將不想要的信息包過濾出去。許多路由器都可以將它們的日誌信息注入到IDS系統中，提供有關被阻擋的訪問網路企圖的寶貴信息。

Unicode漏洞：

Unicode是一個16位的字元集，他可以移植到所有主要的計算機平台並且覆蓋幾乎整個世界。微軟IIS4和5都存在利用擴展Unicode字元取代「/」「\」而能利用「../」目錄便利的漏洞。未經授權的用戶可能利用IUSR_machinename帳號的上下文空間訪問任何已知的文件。該帳號在默認情況下屬於Everyone和Users組的成員，因此任何與Web根目錄在同一個邏輯驅動器上的能被這些用戶組訪問的文件都能被刪除、修改或執行，如同一個用戶成功的登陸所能完成的功能一樣！

CGI漏洞：

CGI是Common Gateway Inerface（公用網關介面）的簡稱，並不特指一種語言。Web伺服器的安全問題主要包括：1）Web伺服器軟體編制中的BUG；2）伺服器配置的錯誤。可能導致CGI源代碼泄漏，物理路徑信息泄漏，系統敏感信息泄漏或遠程執行任意命令。CGI語言漏洞分為以下幾類：配置錯誤、邊界條件錯誤、訪問驗證錯誤、來源驗證錯誤、輸入驗證錯誤、策略錯誤、使用錯誤等等。CGI漏洞大多分為一下幾種類型：暴露不該暴露的信息、執行不該執行的命令、溢出。

SSL漏洞：

SSL是Secure Socket Layer的縮寫。是網上傳輸信用卡和帳戶密碼等信息時廣泛採用的行業加密標准。SSL常見的安全漏洞有三種：1、攻擊證書，由於IIS伺服器提供「客戶端證書映射」功能，用於將客戶端提交證書中的名字映射到NT系統的用戶帳號，再這種情況下我們能夠獲得該主機的系統管理員許可權！如果黑客不能利用非法的證書突破伺服器，還可嘗試暴力攻擊。2、竊取證書，黑客還可能竊取有效的證書及相關的思友密匙。3、安全盲點。沒有網路檢測系統再加上沒有安全漏洞審查，使得最重要的伺服器反而成為受到最少防護的伺服器。

IPC$漏洞：

IPC$是共享「命名管道」的資源，它對於程序間的通訊十分重要。再遠程管理計算機和查看計算機的共享資源時使用。利用IPC我們可以與目標主機建立一個空的連接，而利用這個空連接，我們還可以得到目標主機上的用戶列表。但是，一些別有用心的人會利用IPC$，查找我們的用戶列表，並使用一些字典工具，對我們的主機進行入侵攻擊。

IIS漏洞：

IIS是Internet Information Service的縮寫。是微軟公司的Web伺服器。IIS支持多種需要伺服器端處理的文件類型，當一個WEB用戶從客戶端請求此類文件時，相應的DLL文件將自動對其進行處理。然而再ISM.DLL這個負責處理HTR文件的文件中被發現存在嚴重的安全漏洞。該漏洞包含了一個再ISM.DLL重未經驗證的緩沖，他可能對WEB伺服器的安全運作造成兩方面的威脅。首先，是來自服務拒絕攻擊的威脅，另一個威脅通過使用一個精心構建過的文件請求將可以利用標准緩存溢出手段導致2進制代碼再伺服器端運行，再這種情況下，什麼都可能發生！

NTLM驗證：

NTLM(NT LAN Mangager)是微軟公司開發的一種身份驗證機制，從NT4開始就以之使用，主要用於本地的帳號管理。

IPC管道：

為了更好的控制和處理不同進程之間的通信和數據交換，系統會通過一個特殊的連接管道來調度整個進程。

3389漏洞：

由於微軟的原因，使得安裝了微軟服務終端和全拼的Win2K伺服器存在著遠程登陸並能獲得超級用戶全縣的嚴重漏洞。

139漏洞：

通過139埠入侵是網路攻擊中常見的一種攻擊手段，一般情況下139埠開啟是由於NetBIOS網路協議的使用。NetBIOS就是網路基本輸入輸出系統，系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應的IP地址，從而實現信息通訊。再區域網內部使用NetBIOS協議可以非常方便的實現消息通信，但是如果再Internet上，NetBIOS就相當於一個後門程序，很多攻擊這都是通過NetBIOS漏洞發起攻擊的！

shell：

shell是系統與用戶的交換方式界面。簡單來說，就是系統與用戶「溝通」的環境。我們平時常用的DOS，就是一個shell。（Windows2000是cmd.exe）

root：

Unix裡面最高許可權的用戶～即超級管理員

admin：

Windows NT裡面最高許可權的用戶～

rootshell：

通過溢出程序，再主機溢出一個具有root許可權的shell。（順便說一句，國內一知名黑客也叫這個名字）

IDS：

入侵檢測系統，用於在黑客發起進攻或是發起進攻之前檢測到攻擊，並加以攔截。IDS是不同於防火牆的，防火牆只能屏蔽入侵，而IDS卻可以在入侵發生以前，通過一些信息來檢測到即將發生的攻擊或是入侵以作出反應。

UDP：

一種傳輸層協議，在網路上不可靠的傳輸數據包，被DNS用於查詢和應答，許多流音頻和視頻應用也使用它。

API：

一套定義的一致性方法，軟體開發人員能用他來編寫與其他程序捷克歐的程序。API用於擴展程序的功能和使用預編寫的組創建新的程序。

FTP：

文件傳輸協議。一類應用以及該應用使用的協議的名字，用於將文件從一台計算機移動到另一台。

HTTP：

超文本傳輸協議。用於在萬維網上傳輸數據，包括超文本標識語言文檔、圖像、可執行內容等等。TCP承載HTTP，一般伺服器監聽埠80。

HTTPS：

安全超文本傳輸協議。通過在安全套接字層（SSL）協議上運行超文本傳輸協議來將安全添加到萬維網中。HTTPS能用於將WEB伺服器認證到客戶，將客戶認證到WEB伺服器和加密在兩個系統之間傳輸的所有數據，HTTPS伺服器一般監聽TCP埠443。

IRC：

Internet中繼交談，一系列程序和一種協議，用於實現在Internet上的交談會話。IRC特別受計算機地下組織的歡迎，北移些攻擊者用來討論他們的工具、技術和戰利品。

MAC Address：

網路介面的數據鏈路層（第二層）地址。對於乙太網卡，MAC地址維48bit長。

LAN：

區域網！一種網路，連接近距離的計算機，一般位於單個房間、建築物或小的地理區域里。LAN上的所有系統位於一個網路跳之間。

ping：

一類基於Internet控制消息協議的數據包，用於判斷網路上的某台計算機是否可以到達。

Proxy：

代理。一類程序或系統，接收來自客戶機算計的流量，並代表客戶與伺服器交互。代理能用於過濾應用級別的制定類型的流量或緩存信息以提高性能。許多防火牆依賴代理進行過濾。

telnet：

用於系統的遠程命令行訪問的程序和協議。telnet在TCP上傳輸，伺服器一般在TCP埠23監聽。

TCP：

傳輸控制協議。一種傳輸層協議，被許多要求數據的可靠傳輸的應用所使用。HTTP、SMTP、FTP和telnet都使用TCP進行傳輸。

TCP/IP:

整個網際協議族的集合名，包括TCP、UDP、IP和ICMP。
木馬
全稱為特洛伊木馬(Trojan Horse)，是根據希臘神話傳說中一次戰爭而得名。麥尼勞斯派兵討伐特洛伊國王，
他們假裝打敗，然後留下一個大木馬，而木馬里卻藏著最強悍的勇士！最後等晚上時間一到，木馬里的勇士就沖出來把敵人打敗了。
這就是後來的」木馬計」，而黑客中的木馬有點後門的意思，就是把預謀的功能隱藏在公開的功能里，掩飾真正的企圖。

肉雞
已經被攻擊了，對其具有控制權的主機。

跳板
一個具有輔助作用的機器，利用這個主機作為一個間接工具，來入侵其他主機，一般和肉雞連用。

Shell
Shell就是系統於用戶的交換式界面。簡單來說，就是系統與用戶的一個溝通環境，我們平時用到的DOS就是一個Shell(Win2K或cmd.exe)。

Root
Unix里最高許可權的用戶，也就是超級管理員

❽ 網路入侵檢測的一些定義

入侵檢測系統的概念入侵行為主要是指對系統資源的非授權使用,可以造成系統數據...對於基於標識的檢測技術來說,首先要定義違背安全策略的事件的特徵,如網路數據...

❾ 什麼是入侵檢測

所謂入侵檢測其實就是指試圖監視和盡可能阻止有害信息的入侵，或者其他能夠對用戶的系統和網路資源產生危害的行為．入侵檢測分為三種：1.基於網路的入侵檢測系統2.基於主機的入侵檢測系統3.基於漏洞的入侵檢測系統．

入侵檢測是能夠檢測到網路上不正常、不合法活動的網路技術。入侵檢測系統運行在一台主機上，監視該主機上的惡意活動被稱為基於主機的入侵檢測系統。入侵檢測系統運行在網路數據流上被稱為基於網路的入侵檢測系統。有時，"濫用"和"入侵"兩個詞是有區別的。"入侵"通常是指來自外網的攻擊；而"濫用"通常用來描述來自內網的攻擊。然而，大多數人並不劃分得這么詳細。

最常用的兩種入侵檢測方法是統計異常發現和模式匹配。

入侵檢測技術綜述
http://e.sina.com.cn/l/2001-12-26/20156.html

❿ 什麼是入侵檢測系統

入侵監測系統處於防火牆之後對網路活動進行實時檢測。許多情況下，由於可以記錄和禁止網路活動，所以入侵監測系統是防火牆的延續。它們可以和你的防火牆和路由器配合工作。
入侵監測系統IDS與系統掃描器system scanner不同。系統掃描器是根據攻擊特徵資料庫來掃描系統漏洞的，它更關注配置上的漏洞而不是當前進出你的主機的流量。在遭受攻擊的主機上，即使正在運行著掃描程序，也無法識別這種攻擊 IDS掃描當前網路的活動，監視和記錄網路的流量，根據定義好的規則來過濾從主機網卡到網線上的流量，提供實時報警。網路掃描器檢測主機上先前設置的漏洞，而IDS監視和記錄網路流量。如果在同一台主機上運行IDS和掃描器的話，配置合理的IDS會發出許多報警。

IDS 入侵檢測系統 理論·概念

入侵檢測技術IDS是一種主動保護自己免受攻擊的一種網路安全技術。作為防火牆的合理補充，入侵檢測技術能夠幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息。入侵檢測被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測。它可以防止或減輕上述的網路威脅。

■ IDS 二十年風雨歷程
■ 入侵檢測系統（IDS）簡介
■ 什麼是入侵檢測
■ IDS:安全新亮點
■ IDS的標准化
■ IDS的分類
■ IDS的體系結構
■ IDS的數據收集機制
■ IDS的規則建立
■ 我們需要什麼樣的入侵檢測系統
■ IDS:網路安全的第三種力量
■ 入侵檢測術語全接觸
■ 入侵檢測應該與操作系統綁定
■ 入侵檢測系統面臨的三大挑戰
■ 入侵檢測系統(IDS)的弱點和局限(1)
■ 入侵檢測系統(IDS)的弱點和局限(2)
■ 入侵檢測系統(IDS)的弱點和局限(3)
■ 入侵檢測系統(IDS)的弱點和局限(4)

IDS系統

入侵檢測（Intrusion Detection），顧名思義，是對入侵行為的檢測。它通過收集和分析計算機網路或計算機系統中若干關鍵點的信息，檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟體與硬體的組合便是IDS。

■ IDS系統(1)
■ IDS系統(2)
■ IDS系統(3)
■ IDS系統(4)
■ IDS系統(5)
■ IDS系統(6)

IDS 應用·實踐

在網路安全發展的今天,IDS即入侵檢測系統在網路環境中的使用越來越普遍，當hacker在攻擊一個裝有IDS的網路伺服器時，首先考慮到的是如何對付IDS，攻擊主要採用,一我們如何攻擊IDS,二,是我們如何繞過IDS的監視。下面將詳細介紹當前的主要IDS分析、應用、實踐。

■ 如何構建一個IDS?
■ IDS逃避技術和對策
■ 解析IDS的誤報、誤警與安全管理
■ IDS入侵特徵庫創建實例解析(1)
■ IDS入侵特徵庫創建實例解析(2)
■ 一個網路入侵檢測系統的實現
■ IDS欺騙之Fragroute(1)
■ IDS欺騙之Fragroute(2)
■ 強大的輕量級網路入侵檢測系統SNORT
■ Snort: 為你的企業規劃入侵檢測系統
■ 入侵檢測實戰之全面問答
■ 四問IDS應用
■ 安全戰爭:入侵檢測能否追平比分?
■ 基於網路和主機的入侵檢測比較
■ 入侵檢測系統：理論和實踐
■ 入侵檢測方法和缺陷
■ 怎麼實施和做好入侵檢測
■ Win2K入侵檢測實例分析
■ Win2000 Server入侵監測
■ 攻擊入侵檢測NIDS分析
■ ISS RealSecure：異常干凈的入侵檢測(1)
■ ISS RealSecure：異常干凈的入侵檢測(2)
■ ISS RealSecure：異常干凈的入侵檢測(3)

LIDS linux下的入侵監測系統

LIDS全稱Linux 入侵檢測系統，作者是Xie Huagang和Phil。LIDS 是增強 Linux 核心的安全的的補丁程序. 它主要應用了一種安全參考模型和強制訪問控制模型。使用了 LIDS 後, 系統能夠保護重要的系統文件,重要的系統進程, 並能阻止對系統配製信息的改變和對裸設備的讀寫操作。

■ linux下的入侵監測系統LIDS
■ LIDS譯本
■ linux下的入侵監測系統LIDS原理（1）
■ linux下的入侵監測系統LIDS原理（2）
■ linux下的入侵監測系統LIDS原理（3）
■ linux下的入侵監測系統LIDS原理（4）
■ 用LIDS增強系統安全
■ LIDS攻略
■ LIDS功能及其安裝和配置
■ LINUX下的IDS測試
■ Linux系統中的入侵檢測

IDS 產品方案和技術發展

事實上，信息安全產品的概念、效用、技術、未來發展等一直處於爭議之中，許多人懷疑僅憑幾項技術能否阻止各類攻擊。在入侵檢測（IDS）領域尤其如此，漏報和誤報問題長期困擾著技術專家和最終用戶。雖然問題種種，步履蹣跚，但IDS產業在眾多技術專家、廠商、用戶以及媒體的共同努力下仍堅定地前進著、發展著，未來充滿了希望之光。

■ 入侵檢測產品比較
■ 選購IDS的11點原則
■ 入侵檢測技術綜述
■ IDS產品選購參考
■ IDS重在應用
■ 免費與付費IDS孰優孰劣？
■ Cisco VMS:增強入侵檢測部署控制
■ IDS帶來的安全革命:安全管理可視化
■ 企業需要什麼樣的IDS？——測試IDS的幾個關鍵指標
■ 抗千兆攻擊要靠新一代IDS
■ 協議分析技術：IDS的希望
■ IDS技術發展方向
■ IDS爭議下發展
■ 新思維：基於免疫學的IDS