漏洞利用(Exploits )

　　对于每一个漏洞，都有利用此漏洞进行攻击的机制。为了攻击系统，攻击者编写出漏洞利用代码或教本。

　　漏洞利用：零日攻击(Zero Day Exploit)

　　零时间漏洞利用指的是还没有被公布或者传播的漏洞利用。一旦安全界发现一个漏洞，厂商会发布补丁，IDS系统会加入相应的攻击特征检测。对攻击者而言，零时间漏洞利用的价值最大。

　　漏报(False Negatives )

　　漏报：攻击事件没有被IDS检测到或者逃过分析员的眼睛。

　　误报(False Positives )

　　误报：IDS对正常事件识别为攻击并进行报警。

　　防火墙(Firewalls )

　　防火墙作为网络安全的第一道闸门，它与IDS功能不同，但其日志可以为IDS提供有用的信息。防火墙依据对IP地址或者端口的规则拒绝非法连接。

　　FIRST - Forum of Incident Response and Security Teams

　　FIRST是一个由国际上政府或者民间组织建立的联盟，以进行安全信息交换和协调安全事件响应。FIRST年会总是受到很大关注。

　　URL: http://www.first.org

　　分片(Fragmentation )

　　如果数据包过大，将会被分片传输。分片依据是网络最大传输单元(MTU)。例如灵牌环网是4464，而以太网是1500。当一个数据包从令牌环网向以太网传输，它将被按照以太网的MTU进行分片。在有限的网络条件下，分片传输是很正常的。但是黑客们利用分片来逃避IDS检测，有几种臭名昭著的DOS攻击也是利用了分片技术。

　　黑客规范：(Hacker Ethics )

　　尽管每个人的认识不同，对大多数成熟的黑客而言，黑客规范是神圣的，应该受到尊敬并得到遵守。例如无条件信息共享，不得偷窃、修改和泄漏被攻击系统的数据信息等。

　　黑客规范1：黑帽(Hacker Ethics: Black Hat )

　　藐视法律，做事不考虑任何约束的反面黑客。一旦发现漏洞他们往往会私下传播利用，而不是向社会公布。

　　黑客规范2：白帽(Hacker Ethics: White Hat )

　　正面黑客：一旦发现漏洞，他们首先通知厂商，在发布修补补丁之前，他们不会公布漏洞。关于白帽对黑客规范的观点和一些免费的IDS工具，见Jude Thaddeus的文章Confessions of a white hat hacker.

　　黑客规范3：灰帽(Hacker Ethics: Grey Hat )

　　灰帽黑客介于前两者之间，一旦发现漏洞，他们会向黑客群体发布，同时通知厂商，然后观察事态发展。他们遵循了黑客守则的两点道德规范。许多人认为厂商应该最先得到通知，很多厂商利用这些信息。Rain Forest Puppy 发布了一个策略既能保证厂商利益，又不影响安全研究。

　　URL：http://www.wiretrip.net/rfp/policy.html

　　启发(Heuristics )

　　“启发“中包含了应用于IDS中的人工智能的思想。启发式IDS已经提出近十年，然而至今仍进展不大，而黑客却可以“训练”IDS使其忽视恶意攻击。一些IDS使用异常模型来探测入侵攻击，然而IDS需要大量时间来“学习”以识别正常事件。厂商在市场上把这称为启发式IDS，但至少这种IDS并没有应用人工智能对输入数据进行分析。

　　Honeynet 工程(Honeynet Project )

　　根据Honeynet 工程的定义：Honeynet是一个学习工具，是一个被设计含有缺陷的网络系统。一旦系统安全受到威胁，相关信息就会被捕捉，并被小组人员分析和学习。因此Honeynet是一个非常有用的，透视攻击全过程的资源。Honeynet小组由30个安全专家组成，每人都设置了一系列的“蜜罐”来引诱攻击者，通过观察研究策略、工具和黑客行为。

　　蜜罐(Honeypot )

　　蜜罐是模拟存在漏洞的系统，为攻击者提供攻击目标。蜜罐在网络中没有任何用途，因此任何连接都是可能的攻击。蜜罐的另一个目的就是诱惑攻击者在其上浪费时间，延缓对真正目标的攻击。尽管蜜罐的最初设计目标是为起诉攻击者提供证据收集，但是关于应用蜜罐做陷阱的讨论很多。如果蜜罐在网络内部，攻击者至少要攻陷一个网络设备。有的国家法律规定，蜜罐收集的证据不能最为起诉证据。