一、谶曰
0 \& t* N' e5 |9 M# Q; d" v1 }- x/ K e& U
3 }! J1 ^+ k% R6 O% x
大东:小白,你有没有听说过骗局大师啊?- Z( \& `- b. j
9 g8 y# v7 f8 u' A3 j2 \1 y+ h' d8 F% O7 I' C2 `
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
. g; ]& y, m. `* U* _/ N
1 A: n/ n1 R- f. D9 H9 `6 o4 I5 E5 ~
大东:哎,我指的是1993年有名的那个骗局大师啦!" p3 v6 [9 w- V8 i$ d8 A' ^
+ |- e8 u0 l5 b, e
$ F! q: |+ |8 T1 e3 d- \. }) ]6 c. W6 z$ V' y2 E9 ?
! K& Y; {; s/ G4 h8 c7 Q2 ^小白:93年的骗局大师?没听说过啊!3 o; U8 p) Z `9 k5 R! h
1 o& l P: N3 y/ E! W
3 Q9 I& i& K; v1 `3 d2 H; v
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
/ X2 w# F5 w% o( J
# J( S9 n' Q* |! E* B$ j) ^: a
/ u% A+ F" ?7 a+ c( H( p小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
$ X& S. D5 ^9 N6 f) Z8 g3 W+ C6 w0 z( }3 C7 c) |' k0 C
% U* o3 G7 R* Z K+ _# F7 h8 G6 L二、话说事件
& `& D' o& P& Z* Y' r A; x8 P0 z7 F5 }+ @6 j
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
5 f# Z/ S7 L5 b4 j b' G
. w8 m, m6 V5 ?
) F' m2 z- R8 p+ S& l9 J2 E小白:入侵检测系统?东哥,这个系统我有点陌生。
" W) R: d2 U# q2 E$ g g+ x2 P
* M8 f! V, c( z( Q! o9 z. r" x( q0 l
大东:哎,你对什么都陌生!/ z a8 z+ g- I- b8 u3 T; m
1 S3 P! R5 A' Y/ M4 Y& a
3 V2 a" p9 U0 X小白:东哥,你又揭我老底了!- v4 P! o t# x# C
! C8 B1 t8 A! @# \ | b! ^( M8 U
$ Z4 J* l! Y# o0 K* e% J3 g- v( e. l
, f$ i* O1 j, F6 D6 \/ J, a" a( i! I9 h2 R. e
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
/ A, S# e0 K& G k! ^2 }+ o5 l, }7 l k$ H+ j7 p
' G2 {5 V2 o+ P
小白:那它与普通的网络安全防御技术有什么区别吗?
0 ]# R: \/ ~. o! J0 h _# C1 i
; U3 @) q! m, E) Y! Z |, ] a0 O' O1 {
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。9 m" v" l( g* R
( t" I3 ?0 O, e8 [& M
) E) ~9 U+ D# m/ o$ x. D3 t5 Z
小白:入侵检测系统具体有哪些功能呢?
) \$ W, W- u+ z* a! T- q+ Q. [, K
& z4 \6 f% P/ N8 N+ y/ C
" f8 D1 R. Q% p9 v# {大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
9 r/ y* U9 k# |* Q2 E
, Y4 F( t# ]' j+ w0 H1 T: s& L
0 c: Z- m0 f0 P, ~3 |- T; Y# k( _三、大话始末
; Y9 X/ a! H) V6 {+ m
8 Y1 K# L. I5 y( a1 B
' }6 ~ {! R! _2 o1 R1 s$ \小白:东哥,我还是不太懂……' B3 f) w- F# Y
& a8 b( @# K4 d
& v1 V: M. v; y4 ^大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
6 Q/ c! a" ^, T* {3 T( ]* \4 @; ?( v U
3 v' ]% E3 u. O$ f2 @5 h& ~( f, g7 ]6 D
小白:那入侵检测系统岂不是有许多种?1 t) c* c3 v* U# S: h" s5 @ c
! I7 h2 E' @" u) y, Z; f+ x
, U5 U1 _% s! o' b0 g: Y* |9 V2 z大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。" @2 Q% M7 ~) P+ t; t% q# P$ i
6 v1 i' u' E6 q, k/ c5 h& X% K/ l3 a6 I7 i0 B9 G& Q0 Q; J" o
3 B. N3 O0 A% y3 [
异常检测过程 图 | 百度
& T& S6 v+ d5 x8 n% W7 C 4 Z7 B! ]; O# Y5 E
! [6 r- ^+ I7 V: Q
* ~) M: W ^) X: Z- I小白:那误用检测呢?2 [& n G: |4 a, o
% \2 E' B7 P+ y3 d3 l: @' t" D7 ?$ v- u1 k" N
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。3 D5 Q' D$ q. m3 _ x& ?
4 p2 V' X& ^8 D* u6 b/ A- K' H. f2 S2 K6 l# ?
* H* \, ] Y. f2 c0 _9 M7 Z+ ^误用检测过程 图 | 百度
( w' ?7 t5 e" x4 f) [$ a% g5 o7 @
# x+ N; u: E" a6 |小白:那这个入侵检测系统岂不是“百毒不侵”了?
, }0 V* G1 f8 c, I8 ]: f, j+ N) i
0 }/ B% M$ z0 V D7 z# y; u2 Q5 {# {7 g
. g7 t3 [' o, y7 a大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
V4 ^4 H1 G) d4 f* x2 H
. a K" e3 P4 B/ G: `8 C+ V
( R; i. ~ A4 y四、小白内心说 S8 B9 Z1 ?8 @8 r: w) ]
. P* T& e& i8 T
* l8 ]$ X" r8 r( }3 D0 X7 I大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
6 B) Q. ]$ x y! |; f. o$ r/ ^7 T" i v6 n8 N& j2 e/ s
' z; r+ V$ k. E* h( g! P
小白:东哥,那我们到底该如何防范啊?
4 o7 f* B0 f3 T' {! c
3 S/ T% p, d/ A) e' i, O$ @
! Q3 X/ S3 X: m% x8 e大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。. Y. A' L6 k7 Q0 H m( M$ X& t0 B
: g: \ P, B1 |7 z9 l5 w/ |
. Z% P) x2 o2 T9 h% }
小白:哪4个原因呢?- p& R8 L" h/ G& q' i$ ~
1 A2 J2 y4 k! w; C9 i. f
- s! a% S& W' J大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
& O3 B0 e* n6 @% h% f( O8 Z% ^$ c, T( j0 E
; [" q1 F( K1 w/ }" S
小白:东哥,我又长知识啦!
9 R' q2 _7 y( W5 |* z1 [
! [9 `7 j* l# c u& M- P; w4 u z0 Q0 J
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
# {% m5 @! q6 v: |7 ~$ b% x6 w: ? G6 s9 u
, i9 I6 c( A4 |6 z小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
5 }4 D: s: U7 E3 R$ l; T+ X1 C2 F$ |2 ]4 t6 z: `' c! S8 @* w
8 G) T, z: e, C _0 Q
# f/ G/ f, n/ G
1 E5 d3 `( Z# |来源:中国科学院计算技术研究所
7 U4 y0 F1 l) a. I) l' G( L+ k8 w
* T) ?9 I. @6 a0 C7 [' L* y) R6 l2 ~" h- i0 P
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」, ~8 h1 w/ t2 {/ g: P9 [: C6 e
7 ^- S4 z. [9 p0 q
# S! `* L" S W, E/ V; ~2 d4 n# O$ M
* N1 f9 u# {. z2 T5 v; g0 E 4 ?/ _/ N$ p- N4 z G& ~) F
$ A7 \- J7 d+ H) w+ P0 v来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=13 k; m! y. a% J0 o4 e
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
