一、谶曰
7 f* ?, a& G$ x) @6 h, W6 q! C
' D/ V S. f( @+ P8 V) O3 | & y4 p0 j2 U! u5 W
大东:小白,你有没有听说过骗局大师啊?( b# k, c% M& j! ~) e1 O N
+ |% F, M m. c- Z Z- |/ @
6 f" E" m* p& G: e4 r: c1 R小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
, i. d4 o1 v' U* {' o# b' P. N' |( x7 J3 c7 ?: `2 G; Y. n6 Y9 X# }7 k
3 Q1 I/ I) k: q7 n7 e" S
大东:哎,我指的是1993年有名的那个骗局大师啦!. d3 O4 H' q2 [$ I; K$ ~) U
5 L5 q1 R3 R- a5 O- e U
- W' q7 s$ h8 W5 V
) l6 x2 a+ G0 p4 a( O% I- U
8 \4 g" E, _$ Q: }: Z9 a
小白:93年的骗局大师?没听说过啊!
. c" P J0 t$ J* V0 \4 n& v4 _% E0 f! t' b8 J( B4 ~, [
4 w4 ~9 W5 R5 N: u8 c6 J+ ^
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
) f# b ^1 x6 v; {/ v5 S, I0 N
) d+ ^0 ?8 r) }) T m- @' d: {
, K+ u! H, e6 k T小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
: b. s5 a+ Z& V, G1 g/ m
2 b8 y+ y+ T1 H( f2 n
- j% {2 v+ r1 O) S# w( ~二、话说事件
" ?4 y4 Z# A& g+ Y) ^
; t U: [0 `1 h" Y+ G4 [! s% b6 [大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
: X: |) {" q8 R' w, E# Z" s- c
% _; z! S3 R$ a( N1 W J8 ~: ?7 d B% R* N8 E& B" X
小白:入侵检测系统?东哥,这个系统我有点陌生。
: ^" \/ r- ]! |9 D( q) Z5 M
2 g6 o- D+ J* ~7 {& G) a; F- H/ Z& }2 h1 u5 B+ U
大东:哎,你对什么都陌生!
' S# e6 w& G9 d2 z4 u0 N
G8 r# z/ U) P& L/ n6 ?) x" K, Y4 t" J3 Q4 q6 l
小白:东哥,你又揭我老底了!
+ W# {2 w- M# v: @! @% e4 d& N& Q 1 D2 V0 q5 J, i- L) ^+ |6 b- s
4 C o: D8 Y& h$ T* I
+ A# l5 ]% P3 e. ?3 G4 I* W" h, X: W: k4 b1 V
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。" a9 _+ g7 B; A& a, q, s' }
& R* b3 C! }/ a
* f4 h/ F% R: k小白:那它与普通的网络安全防御技术有什么区别吗?
# h% U8 y+ z9 t& |. j! k$ R+ m, L; o4 s( o. Z
. }7 o3 k. h( X. w9 {) y大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。& I# O. E. Y2 L
' g [' v7 A2 U( `, ^& z' Z( F1 j3 o/ u( z. ?5 J
小白:入侵检测系统具体有哪些功能呢?
# W" D$ W; S: N& I% ?. b1 D
) c( A( X. _. T! k% b' n) g
; J- t3 n. s( e8 e大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
! J( Q" Y6 V' e c5 N% `$ w4 h+ n j: D9 E8 i/ ^! f
1 O2 L" l' r+ V7 o/ z4 G: D
三、大话始末9 Z! r, b$ O+ d7 d- H5 R0 Z- `
1 ?: }# w) s0 J: n8 b
$ {: U/ e, ?; _0 O' R小白:东哥,我还是不太懂……' w; L: h) D) I: K {; ^
7 p3 C- j; F3 @) K' K* ?# ~" r- `
, d/ W( l# A+ z( W
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
( }4 M* q g$ i# M7 b+ }
7 V. |, F8 I% X% ~8 h% m
R& R2 ^- h( D小白:那入侵检测系统岂不是有许多种?7 x0 M' h5 @, V5 v- z
9 o5 u3 C* L' [: F6 \+ q1 v* ~+ o& R: n3 Y. ?$ m6 u: k
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
; _; z: A2 t4 c; v9 L6 _
$ o& `- B% I7 P, I# {& c3 @3 b1 o3 n! ?0 y p- x& j
- Z* A7 w. V! k. g, O
异常检测过程 图 | 百度) k& n. X4 l1 Y, P
0 b7 ~- M# i# i5 ]
* w& F- m6 {# S0 m" t' y9 F& x+ L. D2 M) i* m# s8 k: M* j
小白:那误用检测呢?& R2 r) _8 x+ c T6 K, w: g
# X/ l1 r0 u) b% ]4 q5 M3 L7 g% o+ t4 O; C
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。% _- M, _1 Y* ^4 C! |8 s# F3 {) d
" C3 {/ L* _3 i4 V7 z% S' a0 R
& y; c9 b9 T* d/ j* `
( R, ?+ d, A9 C3 Z3 s- I误用检测过程 图 | 百度
. E: Z w, A5 s2 e3 f' |: {7 u4 X( i- l( V: `' G* v
8 q x. H( B/ e, N小白:那这个入侵检测系统岂不是“百毒不侵”了?
$ T0 s2 X9 l' _9 u/ g6 ]& b
2 f8 I* |/ i8 J3 d. ~2 ~ O, y: A0 ~, J
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
8 c( I. ^% V& t; E! s6 A; h+ } \
* y2 y: C: Q, x$ s" A& ]& u" W. m5 g; M3 P i8 H z8 e% Z' `
四、小白内心说& y" u6 o$ m* z6 x e4 b
' T s) B. }' q
. b/ e: W C4 R; L
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。9 q. B# ~( ~7 E
7 o% K3 i; [7 H% H) \; ?& }# r2 ]; C2 ^% ?! ^& H5 |! J. Q0 _" _
小白:东哥,那我们到底该如何防范啊?
. C8 q4 q) K6 H7 w" `+ g$ e4 ^4 ~" ^1 p+ I2 ]& H x3 C) ~4 D
# t/ p! Q q& ?& X! Y' g
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。# a* u( M. E: M2 Q
4 ^8 n N+ L. f
L3 {2 A! B& j4 I
小白:哪4个原因呢?
% g) A' _& R" I9 d- g/ [7 O+ a* v4 M
0 y/ {& L5 Q8 F! T
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。$ v3 z& l f2 R8 B& n
4 I( Y- r/ Z/ I
) R. Z& L6 d" Y! A小白:东哥,我又长知识啦! / i. ?/ t: D! c; w
/ Q2 u2 y: X# H% c4 Z5 _9 q5 I" Q7 j6 [& |5 ^/ C; l
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。; h5 \+ x! o1 e
* L2 O1 ~8 J5 Q
& u) G. P3 {# q' _* r& `5 e) J5 I
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
7 e+ }6 Y2 W0 s W5 _
# F+ d0 C8 o: Z& W' r) h" t' a+ |. O, F
" x2 m' h; x5 U( C+ ?& K, f
8 g- k( H2 s; @ X- K来源:中国科学院计算技术研究所1 O5 }7 E5 Y: m( m5 u5 k
* ]. H0 Z3 Q/ G3 K4 s; m) ]% ]3 Y- c8 E2 H N/ @" i
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」0 d( c! L4 u {: s! P, x b
1 }3 K0 I3 N2 h0 r. w) h. ~7 y1 d
^2 s' m6 F. d. i$ c2 Z
8 X$ Q8 x! \) [4 l6 a7 V% `" S4 N8 a2 Q
+ g0 P3 x/ ~" b/ d/ b/ Y) [; D6 c! C0 D- `, o2 y: j
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1 h* y; M- E; U$ U& |
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
