什么是ID？

　　ID代表入侵檢測，是一門檢測不恰當的、錯誤的或者反常行為的藝術。入侵檢測系統包括安裝在主機上的用來檢測惡意行為的“基于主機的入侵檢測系統”和用來檢測網絡數據流量的“基于網絡的入侵檢測系統”。

　　有的時候，我們需要區分“濫用”和“入侵檢測”。術語“入侵”被用來描述來自外部的攻擊，而“濫用”別用來描述來自內網的攻擊。然而大部分人沒有注意到這一區別。入侵檢測最常用的手段是統計性的異常檢測和規則匹配檢測。

Dirk Lehmann Siemens CERT

我如何向FAQ提交一個問題？

　　下文是SANS入侵檢測與響應FAQ的作者指南。 這個FAQ的建立者包括：

Fred Kerby - Naval Surface Warfare Center Dahlgren Division
Steven Moore - Mitre
Tim Aldrich - NEXTLINK
Editor: Stephen Northcutt
Copyeditor: Sandy J. Burd - Internet Security Advisor

　　我希望共享大家的觀點，我也希望我們能夠建立一個有用的文檔來幫人們更多的了解入侵檢測。當一個用戶點擊問題列表里的一個條目的時候，就會有一個精確的、表述明確的、及時更新的、白皮書形式的文檔來作為解答。為了達到這個目標，我們鼓勵大家采納問題，并且作出高質量的解答，并保持解答的時刻更新。

　　如果你想參加，你要先選定一個問題，然后，對此作出完善的解答，其中也包括參考、圖表和恰當的例子。一般的，你的解答應該有3到5段的介紹、文章主題和結尾。每封郵件請只寄一個問題！發送的網址是：info@sans.org，郵件請以"intrusion"(入侵)作為主題。SANS會將解答轉發給我。文件格式以ASCII文本格式或者微軟的Word文檔格式為準。如果你想讓別人知道你的工作，請在文件的尾部留下你的名字和組織名稱。

　　注意，如果你選擇了一個以前存在的問題，我將試圖將兩份解答合并，但是如何做有我自己決定。如果你的解答不能保持更新，或者你的解答與FAQ的整體質量不符，我可能會換成別的作者的解答。我會盡量避免這么做，你也可以幫助我隨時更新你的解答。

　　我們會審查你的解答的準確性。如果我們無法對你的材料進行確定，我們會把它交給FAQ的評審部，評審部的成員是由FAQ的發起者和我認為合適的人組成。他們會閱讀解答并作出決定。再一次感謝您的自愿參與。我迫不及待的期望您的解答。

Stephen Northcutt
SANS Institute
Director of Research for Intrusion Detection and Response

關于入侵檢測與響應和安全方面有什么書籍？

Intrusion Detection 《入侵檢測》－ Amoroso, Edward
Intrusion Net Books 《入侵網絡從書》1999
Intrusion Detection: Network Security Beyond the Firewall 《入侵檢測：防火墻以外的網絡安全》- Escamilla, Terry John Wiley & Sons, Inc. 1998
Practical UNIX & Internet Security 《實用Unix與互聯網安全》- Garfinkel, Simson and Spafford, Gene O'Reilly & Associates, Inc., 2nd Edition, 1996
Hacker Proof: The Ultimate Guide to Network Security 《拒絕黑客：網絡安全完全手冊》- Klander, Lars Jamsa Press 1997
Network Intrusion Detection《網絡入侵檢測》 - Northcutt, Stephen New Riders, 1999
Sys Admin-Essential References Series. UNIX Security R&D Books 《系統管理－核心參考系列： Unix安全研發叢書》1997

Conde Vampiro編輯
J.J.F. / Hackers Team

　　譯者注：以上的書都比較老，但是都是經典類的圖書，原理講得不錯。另外，由于翻譯的問題，所列的書目的中文譯本可能名字有所差別，請以英文名稱為準。

我可以用以太網數據包的MAC地址來追查攻擊者么？

　　如果攻擊來自于和你直接相連的系統，中間沒有網關的話，你可以用MAC地址來追查。但是，如果中間有網關，那么網關會將發送者的MAC地址替換為自己的MAC地址。結果就是你只能依據MAC追查到網關。如果網關有日志記錄功能，你可以搜索系統日志來獲得更多信息。

Dirk Lehmann
Siemens CERT

我一直在監視我的網絡活動日志，發現有大量的連接請求，這些請求沒有任何惡意的行為。那么，我是不是應該對此關注？

　　你應該對此有所擔心，你可以這么想：

　　假設有一輛身份不明的汽車在你家的附近穿梭，并且記下了每一個房子的地址。汽車里的人對每一個房子都作了詳細的記錄。你開始注意到同樣的人群，在不同的時間會回來確認你房子周圍的情況。這會不會讓你覺得煩擾？ 我顯然會。

　　對攻擊者的采訪揭示出兩大趨勢：他們愿意用大量的時間和經歷來對目標進行探測，并且能輕易得到很多的信息。防御者也應該了解許多現代網絡復雜的掃描工具，比如NMAP。使用Nmap，攻擊者有可能發現操作系統的類型，預測TCP的序列號，以及運行的服務。這么多的信息被泄露出去，攻擊者就會選擇相應的代碼來對目標進行攻擊。

　　以上所講的，確實是那些人對你的網絡的所作所為。他們試圖發現你的網絡上有哪些主機，哪些是開機的，那些是關機的，那些主機會對特定的連接請求作出回答。而針對你的網絡所作的這些收集信息的行為，其目的就是要用某種方式來竊取信息。

　　個人來講，我不希望被攻擊并竊取信息，你呢？

在入侵檢測中，類似于Tripwire的文件完整性檢測工具起了什么樣的作用？

　　如果不對系統文件做任何修改，很難真正的損害一個系統，因此文件完整性檢測是入侵檢測一個重要能力。文件完整性檢測，會對每一個需要保護的文件進行校驗計算，然后將校驗值保存起來。隨后，你可以再次對文件的校驗值進行計算，并且與原來保存的值進行比較，來確定文件是否有改動。文件完整性校驗是每一個商業性的基于主機的入侵檢測系統所應該具有的一個功能。

　　用的最多的校驗值計算方法是32位的CRC（循環冗余碼校驗）。但是攻擊者確有方法修改文件內容，而不改變文件的CRC校驗值。因此更強的校驗值算法，例如密碼學中的哈希函數，更適合于此用途。典型的有MD5和snefru（一個埃及法老的名字）算法。