|
|
一、谶曰4 R; K7 Z2 Y* V5 p8 b$ B
T" j3 |/ s+ I) ~
! O4 R6 @2 L- O9 s; }- B* \+ `5 {大东:小白,你有没有听说过骗局大师啊?
^/ [% F6 S1 [' X2 S7 R
9 C3 c% Z! s& r3 X
3 q s" q- {" x4 y* Y小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
* H9 G& T: P+ ~, w4 Y' i0 ]1 j# A# z+ b) X( U
; C8 x. q5 }2 \% z大东:哎,我指的是1993年有名的那个骗局大师啦!
- c A8 q( y$ i' D% Q' p9 L
3 A5 z' K6 s7 U" |; d+ h) I! V2 g* a" h/ O7 R
* G4 r5 t7 d4 S
6 Y3 W7 h" R$ Y& p7 J, e/ }: ^
小白:93年的骗局大师?没听说过啊!- b2 x+ N! `$ Z1 _; k5 @& l
$ G/ m. A0 q- Q4 h: b1 A( G# F
; e0 r+ u, o/ Q I
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
* v, a m) X& p2 K6 y9 u# t% r. s( ]1 f" K" h$ C N
* P9 S3 L: c& _: T! _& w
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!; [5 x0 L2 d6 Z2 I7 f
( m& Q5 w7 D& y: e! m; o, V; E! P0 _: h x: @1 D
二、话说事件
) `9 h( J7 P, g3 ~7 S$ C* I u$ {* b
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
7 s$ Y% h. J$ q1 z( V* m& `, L& w6 ~+ x' N: g( t; A
7 @% W6 C* M$ J( p0 A/ |
小白:入侵检测系统?东哥,这个系统我有点陌生。
/ Q/ h2 T+ V6 q: c2 F
, q1 I# m4 b: [ P+ H3 O# I# ^" q9 P
大东:哎,你对什么都陌生!& ]) j5 J( B! w
/ f W6 a9 G. Q5 g3 n
0 O! c& ~. S# {0 m' w& r小白:东哥,你又揭我老底了!
9 w7 Y8 ^4 t& P% C* E5 L$ n
: S( q6 E/ A- B9 J
1 X* u4 w% ] E2 R- t# @& R/ K( Y2 t
; ]& l9 G( t- H: z: B1 n7 K大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。4 F6 K1 b3 R/ D9 L5 r2 Q+ I
) |, m( X# w/ y( T* l
! y, r6 @* C* ~1 O g) ^小白:那它与普通的网络安全防御技术有什么区别吗? G) V: ^+ L, x
9 k' Q( w( U4 E8 H0 Y* c" U
, |$ M, N0 V1 m1 H" e* q8 z大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
2 S' Z- D: i3 k9 [0 ~ H
8 |4 a% {+ [4 o" k% J! r
" ?6 T8 A9 V8 m i小白:入侵检测系统具体有哪些功能呢?+ g' u: p3 Q* ` m7 I- E$ F
4 w- M1 {+ E0 o3 H: s/ s
7 D) T* R9 Q5 w2 k' v
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
3 p* @: m( J! N# k: M; `
9 u4 J: H$ O( M v% j8 l* g3 Z# S3 B6 V1 w b) D W
三、大话始末
5 [6 z# D& \/ ? K4 ^# B4 W! x, \$ L6 |$ U: V! Y
2 P. Y y! L' ]
小白:东哥,我还是不太懂……1 |8 L% q" }2 G1 {9 }! `: f
) v& ~4 r" a) z2 Y! v7 B2 Z% J: d: S% u, L
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。2 y* q3 B& M& R& ?& `, q# H; f- o
" q5 b9 L6 p+ g- @: @: F2 B2 n+ F$ B+ _! e8 A
小白:那入侵检测系统岂不是有许多种?
% ^7 I; b. d2 f. s0 X
/ ` M+ ^+ \1 G7 c
1 q, e! n; ^, {8 G$ N% [8 U* d" l大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。& S6 E9 \* K3 q8 H
! H) n# X8 g+ T0 Q2 g# T; M
; j" J" y/ L8 ~: S
8 d" M) W- P! U. @% R% H异常检测过程 图 | 百度
0 v7 k' n+ d' o( j$ j" T" t' [ 4 L2 M8 \# Y. n% k$ J; g- W+ ?
) j2 Q7 m2 M r2 A8 z
+ G$ T1 E; F9 q' `" w9 t小白:那误用检测呢?
; { b+ G6 _- S" `$ a2 }( T5 Q; v1 F3 k/ m/ u
, O ^. ^! i5 K; N, x大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
& V" V R5 F, |: M+ A5 g; p( @+ N- a! O+ z) a
/ J' T( x1 w. e/ y8 r* U1 C, u4 {" g3 @. |% f) I$ c' S
误用检测过程 图 | 百度 2 E6 k' c, I$ P2 L( n7 @2 E
7 ?$ K7 j: e& B0 k0 c& k
0 E6 c' M+ C/ R7 f4 a7 \# C
小白:那这个入侵检测系统岂不是“百毒不侵”了?
5 k! `* ]1 e) U) r2 a/ z1 K
: W6 t) [0 A2 p* x$ [! y4 x7 d. \% S) M8 }7 e4 g' k. G ~+ B
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
! Z5 S; Z; h* u3 \. r
6 k$ d" D' F9 C+ K& M
; V z) d3 Y0 q. d! Q4 z" x6 C4 B四、小白内心说
$ z2 H: E7 t0 M! Y. R' n6 @4 {5 Z0 ]7 e7 D5 n1 P! M
! r3 t6 R8 R, v' y5 ~4 h
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
_& c4 X2 M% s2 a! c
0 c, g3 Z; t" O( \
! ^9 @$ M+ A4 d8 A! m' m8 ?% g5 n小白:东哥,那我们到底该如何防范啊? 3 P- w$ u0 M; |% j
7 G3 U% {8 ]# \+ Y3 p3 F
9 \2 ^. \% P, M, ^' ^$ y
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
8 {* U/ I; t* l! U
5 Q8 L+ o$ _. t( f' a' T' K7 B" l) T3 c: M' A
小白:哪4个原因呢?! j; a. [+ b, ~& C+ n6 r2 [1 L
( H; w% w( p) H$ F; t- j) C! g ?9 X+ v f5 q4 h2 H4 x! j1 o
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。. z5 A3 I/ A% ]; z* u
* l; g% Z5 Q) g- P# f9 h
7 P% Y- U+ b' Z" V4 a) f6 a5 r小白:东哥,我又长知识啦! 7 y2 ~# w% D. D2 {
3 P2 z4 x: w5 O0 W/ u% Q# Q
+ m" P7 L: @! A W: V; H8 j3 s大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
/ H% q/ s, Q+ e7 G$ ~& _/ F" L( P& ^$ h
9 ]: Z5 S7 b6 h5 n5 S/ M6 a0 n小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。5 F+ b6 o: F2 i/ m4 i2 Y" I5 P
s2 Y3 C! w/ h. ]. |& ?2 |: R" c$ M+ b; x5 E
9 W. @, Z; E8 ?3 |1 H, K9 S7 ^2 p " O* U9 X" Y7 k# V+ g3 A1 n
来源:中国科学院计算技术研究所( L8 d7 {% q' {2 j$ U
p# K1 n# \ i4 H3 O8 G; y6 Z% u9 h8 `9 a7 n# u
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」5 }5 k6 y# S/ N' N$ g3 S7 l
0 z+ h3 g) w# ~
$ {* {& F( m& X& l
9 P3 k! ?# _0 G8 z. G) B; \) G) a' C' t! F+ z0 T# M! n6 Z* t
, Z3 p( R# ^5 w: g% t+ A* h' w) p+ J1 u: X& c
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1) M h' V* [! D/ b2 d
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )
发表于 2019-10-26 13:58:13
