CERT计算机应急响应组(CERT - Computer Emergency Response Team )
CERT来自成立于Carnegie Mellon University的第一支计算机安全事件响应队伍的名称。今天许多组织都有自己的CERT(计算机安全事件处理队伍)。同CIRT(计算机事件响应组)相区别,CERT侧重于紧急事件的快速反应,而不是长期监视。
通用入侵检测框架:(CIDF - Common Intrusion Detection Framework )
CIDF是为了在某种程度上对入侵检测进行标准化,开发了一些协议和应用程序接口,使得入侵检测研究项目的软件能够共享信息和资源,同样入侵检测系统组件也可以被其他系统应用。
计算机事件响应组(CIRT - Computer Incident Response Team )
源自CERT, CIRT的不同在于对安全事件的处理方式。CERT的目标是特殊的计算机紧急事件。而CIRT中的事件并不都是紧急事件,还包括其它安全事件。
通用入侵描述语言(CISL - Common Intrusion Specification Language )
CISL是为了在CIDF组件之间进行通信而描述入侵的通用语言。同CIDF的标准化工作一样,CISL也是试图对入侵检测研究的描述语言进行标准化。
通用漏洞披露(CVE - Common Vulnerabilities and Exposures )
关于漏洞一个问题就是当设计漏洞扫描或者采取应对策略时,不同厂商对漏洞的称谓完全不同。此外有的厂商用几种特征去描述一条漏洞,并解释为可以检测更多的攻击。MITRE建设了CVE,对漏洞名称进行了标准化,加入CVE的厂商都使用标准化漏洞描述。
构造数据包(Crafting Packets )
不遵循通常的数据包结构,通过构造自己的数据包,能够进行数据包欺骗,或者使接收者无法处理这样的数据包。 Nemesis就是这样一个工具。
同步失效( Desyncronization )
最初,同步实效是指利用序列号的躲避IDS的方法。一些IDS无法确定期望的序列号,从而对这种数据包无能为力,无法重构数据包。这种技术98年产生,现在已经过时。有的文章用来指代其他IDS躲避方法。
Eleet
黑客们在写漏洞开发程序时,经常会留下标记,最常见的就是“elite” (精华,精锐),通常是elite = eleet,转换为数字就是31337. 31337 经常被用作端口号或者序列号等。现在流行的词是"skillz".
列举(Enumeration )
在经过被动探测和社会工程学的工作之后,攻击者开始列举网络资源。列举就是当攻击者主动探测一个网络来发现有哪些漏洞可以利用。由于这个活动是主动的,并且可以被探测到,但是攻击者的活动仍会尽可能地隐蔽,避免被探测到。
躲避(Evasion)
躲避是实施攻击计划,避开IDS检测的过程。躲避的技巧就是使IDS只看到攻击的一面,而目标却在其它。一种躲避的形式就是为不同的数据包设置不同的TTL值。因此经过IDS的信息看上去并没有什么问题,然而,这些并不影响攻击到达目标。一旦到达目标,就只有有用的攻击了。这里大大简化了实际躲避的复杂性。Ptacek and Nesham的文章《嵌入、逃避和拒绝服务:如何躲避网络入侵检测》(Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection)讲述了实施躲避的基本原理和方法。