解读IDS入侵检测系统术语

　　CERT计算机应急响应组(CERT - Computer Emergency Response Team )

　　CERT来自成立于Carnegie Mellon University的第一支计算机安全事件响应队伍的名称。今天许多组织都有自己的CERT(计算机安全事件处理队伍)。同CIRT(计算机事件响应组)相区别，CERT侧重于紧急事件的快速反应，而不是长期监视。

　　通用入侵检测框架：(CIDF - Common Intrusion Detection Framework )

　　CIDF是为了在某种程度上对入侵检测进行标准化，开发了一些协议和应用程序接口，使得入侵检测研究项目的软件能够共享信息和资源，同样入侵检测系统组件也可以被其他系统应用。

　　计算机事件响应组(CIRT - Computer Incident Response Team )

　　源自CERT, CIRT的不同在于对安全事件的处理方式。CERT的目标是特殊的计算机紧急事件。而CIRT中的事件并不都是紧急事件，还包括其它安全事件。

　　通用入侵描述语言(CISL - Common Intrusion Specification Language )

　　CISL是为了在CIDF组件之间进行通信而描述入侵的通用语言。同CIDF的标准化工作一样，CISL也是试图对入侵检测研究的描述语言进行标准化。

　　通用漏洞披露(CVE - Common Vulnerabilities and Exposures )

　　关于漏洞一个问题就是当设计漏洞扫描或者采取应对策略时，不同厂商对漏洞的称谓完全不同。此外有的厂商用几种特征去描述一条漏洞，并解释为可以检测更多的攻击。MITRE建设了CVE，对漏洞名称进行了标准化，加入CVE的厂商都使用标准化漏洞描述。

　　构造数据包(Crafting Packets )

　　不遵循通常的数据包结构，通过构造自己的数据包，能够进行数据包欺骗,或者使接收者无法处理这样的数据包。 Nemesis就是这样一个工具。

　　同步失效( Desyncronization )

　　最初，同步实效是指利用序列号的躲避IDS的方法。一些IDS无法确定期望的序列号，从而对这种数据包无能为力，无法重构数据包。这种技术98年产生，现在已经过时。有的文章用来指代其他IDS躲避方法。

　　Eleet

　　黑客们在写漏洞开发程序时，经常会留下标记，最常见的就是“elite” (精华，精锐)，通常是elite = eleet，转换为数字就是31337. 31337 经常被用作端口号或者序列号等。现在流行的词是"skillz".

　　列举(Enumeration )

　　在经过被动探测和社会工程学的工作之后，攻击者开始列举网络资源。列举就是当攻击者主动探测一个网络来发现有哪些漏洞可以利用。由于这个活动是主动的，并且可以被探测到，但是攻击者的活动仍会尽可能地隐蔽，避免被探测到。

　　躲避(Evasion)

　　躲避是实施攻击计划，避开IDS检测的过程。躲避的技巧就是使IDS只看到攻击的一面，而目标却在其它。一种躲避的形式就是为不同的数据包设置不同的TTL值。因此经过IDS的信息看上去并没有什么问题，然而，这些并不影响攻击到达目标。一旦到达目标，就只有有用的攻击了。这里大大简化了实际躲避的复杂性。Ptacek and Nesham的文章《嵌入、逃避和拒绝服务：如何躲避网络入侵检测》(Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection)讲述了实施躲避的基本原理和方法。