|
|
一、谶曰: [% r _1 t7 D `: J* O) s
% p/ a: [" A$ G2 M- t/ Z9 {; U' \
8 {3 e2 o/ K/ Y大东:小白,你有没有听说过骗局大师啊?
. W* H6 @, |! Q9 X( r2 p" T
+ T, P& P+ Q5 \; R2 [
& N) l* Y- t. q, a/ {& j% d小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?, k, ~; |. a& x; l6 g
- c) U/ ~. M+ A; S9 G
, `2 N, l& I3 E( {1 L- S! W
大东:哎,我指的是1993年有名的那个骗局大师啦!
) m( }; O. e- i' @+ D: z 3 n6 ^& d8 b' F( Q" M
) f+ Y# @2 P a) \- i+ ^+ E1 ]5 G' x5 G* n& d
?& u5 Z& q! u3 g" D4 v, X
小白:93年的骗局大师?没听说过啊!
0 J% a; K7 V6 A* S
4 A' ^% o* U0 L" d% l
* `4 q5 i5 U/ e' V e大东:那可是被媒体评为10大黑客事件之一的主人公啊!
8 N# u% _3 h$ n1 [
3 C2 R5 s, _: j/ k1 D1 Y& P& W7 o8 j: {9 a4 @% ^- J
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!2 O7 v0 @$ e" c" N) G4 P
8 v7 O+ e" R3 U8 R; d# I
: Y T! C2 L( }: _二、话说事件
2 S3 o6 o) W: k" x# Z c! ^9 e8 X1 Q8 `) a# Y4 j
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
. m5 x' H* o* q4 Y! g) D( Y+ w- L7 a4 j
; _) s2 f: l4 ]$ [$ {
小白:入侵检测系统?东哥,这个系统我有点陌生。
2 f Z- ]. R7 ]0 _. O
$ k9 R4 J" p; ?% b; w% ^4 n$ T3 ^6 [8 ~$ ^( d; U- ~1 W
大东:哎,你对什么都陌生!. |/ P" p* r1 L5 L8 y' B4 L
& v" y X; z/ \! h! ~. j
5 \% x) Z" d4 G: E- h' Q小白:东哥,你又揭我老底了!! ] K! r# J' |+ ?5 A
; ?4 F2 b( e- \. n
" \( k4 S/ {3 Q" n- ?2 M
* H: u6 T A0 u. B& N3 S
. a) K" n& W, B) U) Z大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
" K: ] H% ~- E5 b' y) P% ^8 p% |' ]+ j3 k' Q% Q3 Z
# P7 ?0 T, z p0 H2 [
小白:那它与普通的网络安全防御技术有什么区别吗?! Z R! G; D$ c6 m9 L
5 V' g6 D' r3 g# X% m& I
9 \9 G3 W( D" F6 Z" Y! P a大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
1 r0 q) H" v1 }4 {# S9 j' [# O- Z# ]8 U" h3 C* T$ E) Q* W2 i5 e
6 M& Z5 h$ o7 O* ^% s4 d x t
小白:入侵检测系统具体有哪些功能呢?
& e" D, R' R( x/ w; w3 Q, b$ Y/ i$ r
( H! V: v/ Z/ f
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
+ N; q. z: b4 D R3 N
4 e& A5 Z b9 H& K
8 F9 y. h% N; R; H& A; E三、大话始末* O* S! |; W. s; j, t6 x, L
3 ]/ K5 z7 U& C7 E! A. t, ^2 Y; k
, ?% n5 p: T( f" Y
小白:东哥,我还是不太懂……5 {$ F6 E- r8 y& x. V/ Y, u
P0 ~! e9 X- E
! [% b; v/ S3 }/ s: r" K大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。* g$ f9 m$ E7 D! f- g: A
) B& e& W0 m9 _& W3 |& u7 R" |# G
4 X2 g$ R5 E( A( @9 }5 J; n$ h
小白:那入侵检测系统岂不是有许多种?* J2 P- D; _5 P6 ]' H& s2 z# i5 T
, f& [5 M) R- ?- ?+ `) ?: I' }0 r8 a% n
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
1 ^3 N3 x e# |9 E3 F) r4 M+ b1 V, G; t4 x4 u3 m: Z
# ^. P' y+ W- f( y9 c% o: P; c
1 e5 ?; u2 K F
异常检测过程 图 | 百度
6 j: y; {/ I L8 ]( h
' Z- j# g6 C0 K, L- g/ V+ `1 S7 A
7 O# ]& w) Y: u# K3 _3 ]5 S. O6 p% I: d) A; K: j3 J
小白:那误用检测呢?
- O7 s. y/ |# \! v8 |+ f3 ]1 C
- h6 i, @& T2 v+ P. N9 {: B( J0 j) [ B! i/ e- R
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
4 M* C! S. R+ Y4 j: m$ X) y. m" u |4 U
6 V# S1 w" G2 v; k* c4 R; M
" L8 j( R) a& |5 D+ z
误用检测过程 图 | 百度
; U, \7 R4 V6 @8 ^) y: L; C/ D
( a( q- M i0 g& X/ P$ U9 B$ r) @1 }; |
小白:那这个入侵检测系统岂不是“百毒不侵”了?
: e8 h+ c0 Q u: t. w O; `, w
% y/ l- {1 Y8 i/ q; _
/ U9 t* J* a* P7 A- u: r$ Q大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。; v% n( m1 h, v- z
$ ?+ e$ B3 P P' v+ z: t/ B
- J7 g6 T( ^3 T7 D0 V- a四、小白内心说 i) C. D$ B) E, V4 f/ j2 q
6 y. L4 C# |/ K& Q- g. Z5 `& |" |$ w- w* P
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。) [! K* Q) l7 w
0 D; |, A) V* E7 M @7 [5 @6 w5 n8 K. G; v ?& d' F
小白:东哥,那我们到底该如何防范啊? ; Z& z8 m$ v* C. }. }
$ R) {8 E. a) `2 G& R, P3 I* c9 y( s( v; F6 V) X3 E
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。, ?9 X, t2 z1 z
0 `' y/ i0 z* r) E- s) I
. {- E8 w1 \6 z! u1 \3 @; x9 d小白:哪4个原因呢?
J/ P% f9 c9 S* }
8 S' y7 ]" [9 u+ A! j- k' a/ |: G6 I' l' h
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
5 Q6 G. F. t& |) A! Z
3 v4 S/ O- J$ \3 w- `- L5 D7 H" C! Y: g/ ^: D
小白:东哥,我又长知识啦!
( ~* w& p' p- f( z( l, ~- G4 k: Z4 z/ M$ I( ?8 [# }" W2 Q7 @8 O
% X8 Y% b2 b( R大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。+ R1 `5 D9 e4 W
7 Q6 g! d& k8 i9 b* ^
6 g4 a7 d6 H4 \" ^. U; m& w小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
1 ~! m1 B! h* Y+ P+ H7 n* G) c" a
( V, o8 i& k1 y, E! H
/ G$ n U2 L% h8 x7 M& m3 U" m' U8 s4 B# Q ?+ x/ D3 c2 b6 p# a# v
- N% Q Z$ v }: E2 B: `$ A+ X来源:中国科学院计算技术研究所1 Y: _, a& @8 S/ r
! s p8 i0 [) U y# ~
( [) ]$ x9 t1 `7 T% M温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」) B4 H9 q, B2 n: j. Q& l
( l1 B9 p" g5 k
" ~* F" G- e, B* o8 H* R7 O
8 n' i4 ]/ |$ U4 \" r/ ]
0 Q- e, k, E; J9 f6 X' ?9 P7 j8 {
" u; Z$ O. |% d2 s' X% E3 }" v
- z( s( a p6 l2 O7 u来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
+ k7 P' P7 G9 b' t5 V- V免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )
发表于 2019-10-26 13:58:13
