入侵检测术语全接触

　　随着IDS（入侵检测系统）的超速发展，与之相关的术语同样急剧演变。本文向大家介绍一些IDS技术术语，其中一些是非常基本并相对通用的，而另一些则有些生僻。由于IDS的飞速发展以及一些IDS产商的市场影响力，不同的产商可能会用同一个术语表示不同的意义，从而导致某些术语的确切意义出现了混乱。对此，本文会试图将所有的术语都囊括进来。

　　Alerts（警报）

　　当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示。如果是远程控制台，那么alert将通过IDS系统内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员。

　　Anomaly（异常）

　　当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警。一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警，例如有人做了以前他没有做过的事情的时候，例如，一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能，但一个启发式的IDS应该在其推理判断方面具有更多的智能。

　　Appliance（IDS硬件）

　　除了那些要安装到现有系统上去的IDS软件外，在市场的货架上还可以买到一些现成的IDS硬件，只需将它们接入网络中就可以应用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。

　　ArachNIDS

　　ArachNIDS是由Max Visi开发的一个攻击特征数据库，它是动态更新的，适用于多种基于网络的入侵检测系统，它的URL地址是http://www.whitehats.com/ids/

　　ARIS：Attack Registry & Intelligence Service（攻击事件注册及智能服务）

　　ARIS是SecurityFocus公司提供的一个附加服务，它允许用户以网络匿名方式连接到Internet上向SecurityFocus报送网络安全事件，随后SecurityFocus会将这些数据与许多其它参与者的数据结合起来，最终形成详细的网络安全统计分析及趋势预测，发布在网络上。它的URL地址是http://aris.securityfocus.com/