術語和定義

GB/T 29246一2017 界定的以及下列術語和定義適用于本文件。

3.1 攻擊 attack

企圖破壞、泄露、篡改、損傷、竊取、未授權訪問或未授權使用資產的行為。

[GB/T 29246一2017，定義2.3]

3.2 攻擊特征 attack signature

執行某種攻擊的計算機活動系列或其變體， 通常通過檢查網絡流量或主機日志加以確定， IDPS也依其來發現已經發生的攻擊。

注：這也可稱為一個攻擊模式。

3.3 證明 attestation

公鑰加密而產生的變量， 可使IDPS軟件程序和設備鑒別其遠程方的身份。

注：見3.23遠程證明。

3.4 網橋 bridge

將位于OSI 2層的局域網連接到采用相同協議的另一局域網的網絡設備。

3.5 密碼散列值 cryptographic hash value

分配給一個文件并在后期用來測試這個文件的數學值，以驗證包含在文件中的數據沒有被惡意更改。

3.6 拒絕服務攻擊 denial-of-serviceattack：DoS

未授權訪問系統資源或者延遲系統操作和功能。

3.7 分布式拒絕服務攻擊 distributed denial-of-service attack； DDoS

通過洪水攻擊帶寬或目標系統的資源，破壞多個系統的方式來未授權訪問系統資源或者延遲系統操作和功能，導致授權用戶失去可用性。

3.8 非軍事區 demilitarized zone：DMZ

位于邊界路由器和外部防火墻之間的邏輯或者物理網絡空間。

3.9 (脆弱性)利用 (vulnerability) exploit

已明確定義的利用脆弱性破壞信息系統安全的一種方式。

3.10 防火墻 firewall

設置在網絡環境之間的一類屏障。

注：它可以是一臺專用設備，也可以是若干部件和技術的組合，網絡環境間所有通信都要流經防火墻，只允許按照本地安全策略定義的、已授權的通信通過。

3.11 誤報 false positive

沒有攻擊時IDPS有報警的情況。

3.12漏報 false negative

攻擊發生時IDPS沒有報警的情況。

3.13 蜜罐 honeypot

用來欺騙、擾亂和引開攻擊者的誘餌系統，促使攻擊者把時間花在某些信息上，這些信息看起來有價值，實際上是虛假的，對合法用戶沒有任何價值。

3.14 主機 host

基于TCP/IP協議網絡(如Internet) ， 可設定地址的系統或計算機。

3.15 入侵者 intruder

針對目標主機、站點、網絡或組織，正在或已經進行入侵或攻擊的個體。

3.16 入侵 intrusion

對某一網絡或聯網系統的未授權訪問，即對某一信息系統的有意或無意的未授權訪問，包括針對信息系統的惡意活動或者信息系統內資源的未授權使用。

3.17 入侵檢測 intrusion detection

檢測入侵的正式過程。該過程一般特征為采集如下知識：反常的使用模式、被利用的脆弱性及其類型、利用的方式，以及何時發生和如何發生。

3.18 入侵檢測系統 intrusion detection system：IDS

在信息系統和網絡中，一種用于辨識某些已經嘗試、正在發生或已經發生的入侵行為，并可對其做出響應的技術系統。

3.19 入侵防御系統 intrusion prevention system； IPS

特別設計用來提供主動響應能力的入侵檢測系統的變體。

3.20 入侵檢測和防御系統 intrusion detection and prevention system； IDPS

為了防范惡意活動而監視系統的入侵檢測系統IDS和入侵防御系統IPS的軟件應用或設備， IDS僅能對發現的這些活動予以報警， 而IPS則有能力阻止某些檢測到的入侵。

注：如果需要防范攻擊， IPS將主動部署在網絡中， 如果部署在被動模式下， 它將不能提供上述功能， 其有效功能僅能像常規IDS那樣提供報警。

3.21 滲透 penetration

繞過系統安全機制、未經授權的行為。

3.22 在線升級 provisioning

為信息技術(IT)設備安裝正確軟件、執行安全策略及加載配置數據的過程。

3.23 遠程證明 remote attestation

使用數字證書來確保IDPS的身份及其軟件和硬件配置， 并安全地將信息傳輸到可信操作中心的過程。

3.24 響應 response

事件響應或入侵響應 incident response or intrusion response

當攻擊或入侵發生時，為了保護和恢復信息系統正常運行的條件以及存儲在其中的信息而采取的行動。

3.25 路由器 router

通過基于路由協議機制和算法選擇路徑或路由，建立和控制不同網絡之間數據流的網絡設備。

注1：其自身可基于不同的網絡協議。

注2：路由信息存儲在路由表內。

3.26 服務器 server

為其他計算機提供服務的計算機系統或程序。

3.27 服務級別協議 service level agreement； SLA

規定技術支持或業務性能目標的合同，包括服務提供方提供給其客戶的性能以及對失敗結果的測量。

3.28 傳感器 sensor

從被觀察的信息系統或網絡中， 通過感知、監測等收集事態數據的一種IDPS部件或代理。

注：也稱為監視器。

3.29 子網 subnet

在某一網絡中，共享某一公共地址成分的部分。

3.30 交換機 switch

在聯網的設備之間， 一種借助內部交換機制來提供連通性的設備。其交換技術通常在OSI參考模型的2層或3層實現。

注：交換機不同于其他局域網互聯設備(例如，集線器)，原因是交換機中使用的技術是以點對點為基礎建立連接。確保了網絡通信量只對有地址的網絡設備可見，并使幾個連接能夠并存。

3.31 測試接入點 test access points； TAP

典型的被動設備，不會在網絡信息包中加裝任何負載；當它們使數據收集接口在網絡中不可見時，也能提高安全級別，在這里交換機仍然可保持端口的2層信息。

注：TAP也給出了多端口的功能， 這樣在不喪失IDPS能力的情況下， 可以調試網絡問題。

3.32 特洛伊木馬 Trojan horse

一種偽裝成良性應用軟件的惡意程序。

3.33 病毒 virus

一種帶有不良意圖的惡意軟件，可直接或間接地對用戶和(或)用戶系統造成潛在傷害。

3.34 虛擬專用網 virtual private network； VPN

利用物理網絡的系統資源而構建的限制性使用的邏輯計算機網絡，例如，使用加密技術和/或虛擬網絡的隧道鏈接來跨越真實網絡。

[GB/T 25068.3一2010，定義3.23]

3.35 脆弱性 vulnerability

可能被一個或多個威脅利用的資產或控制的弱點。

[GB/T29246一2017，定義2.89]