|
|
一、谶曰
& q( r, P! s$ d0 t, a2 l1 S% O6 w9 S! Z0 o9 m% v* S' \" P
9 E/ h( h/ k, E- e
大东:小白,你有没有听说过骗局大师啊?
' h, n, z1 ]9 G$ {( k
" v# I0 S& s& _. f; j# G
; [( w+ G) B$ [3 l& v4 h" ]小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
) `) m( c7 y- N0 m7 L: [' F. F# Q: t/ O0 l) _
% n7 C! e1 I7 }/ p大东:哎,我指的是1993年有名的那个骗局大师啦!4 f- ^2 D+ q+ ^% b9 @
! h+ E7 ?$ P- D9 G/ i$ D! v0 f
7 j* l) q+ Q+ h3 Y; Z5 {$ W3 q% w) q" q
4 D+ [- w) ^; @( i) d. X; o小白:93年的骗局大师?没听说过啊!8 a2 P+ A' x* o/ K5 [8 A
/ S) ?/ ^5 c( `: j
: _) C9 B1 ^* i, h/ C# E/ S大东:那可是被媒体评为10大黑客事件之一的主人公啊!) {3 Z& Z" [) | g
& } b3 t" f( h8 h# R6 Z
+ f6 Q+ J# t, d& r$ I小白:哇,原来这么有名啊!东哥,快给我讲讲吧!, J4 C" Y+ ^$ k5 A1 e
1 K p7 w2 x, {' Y1 A' G, [6 Z
" F) `, L0 V6 R; n0 n0 c% ~. y4 y二、话说事件
d$ k! ^: l- Z2 l1 R! o' `9 O4 I! d# k1 P
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。7 C8 M# B* O2 ^" g9 H
" h" g6 S) Y3 G G6 I2 p9 h
) d- | N! S, D% F小白:入侵检测系统?东哥,这个系统我有点陌生。
6 i0 ?" |5 J9 I1 H2 [
# m8 W) k: B5 ~1 q: B9 a: `- J6 i y( B; r/ a2 {
大东:哎,你对什么都陌生!
4 b- T' U; z* E' P1 l4 z/ S( L, P
o& Q, b/ _0 [5 m# j小白:东哥,你又揭我老底了!. E! ]1 g5 m. k' c* T4 R. [
8 ] `( f& x8 o
+ N8 V6 T8 Q- S: s* r* L% c3 E) ?2 y* L) u( S
4 v8 B, E2 Y' i- Y( I4 {
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。4 W, d: O- ~, L
& w& z! n# T8 k4 F/ e
$ V8 [( u. F. b) F小白:那它与普通的网络安全防御技术有什么区别吗?
" C; _7 _; A! c0 w [. Q
: R7 b; M; x4 ~0 K% s, h; s, r1 I+ @$ k5 g6 u9 X
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
# k+ S6 g: _; N5 P o1 U* b/ \: o4 G Y5 B0 N
$ U9 e, q, Z% J
小白:入侵检测系统具体有哪些功能呢?
; K1 D4 e# O, m/ } v! F( p) i) m
, E( t8 J5 U- F `2 I
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。" M* K, U) @' U! ]
8 ?" n* {9 y2 o" N1 O
9 f" g/ G$ v3 S三、大话始末5 ^7 `; g0 I7 i6 U( G. k
7 J$ J4 H* |0 ~+ A( J7 G; f* z; V
9 C! N3 K& f, E5 D$ U; n, F; d" Y
小白:东哥,我还是不太懂……$ D& y. Y0 s- h4 J* C
) [2 N3 ?$ Y2 l& L$ F5 A
h3 \ X0 T1 v4 B9 u7 u大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
& k% l+ g0 I/ i4 J+ ]5 |) `3 j! m; b3 P
) U1 w! \% w2 K
小白:那入侵检测系统岂不是有许多种?
3 b- W8 E6 [ M9 F+ G( p {9 |. z( Y2 w
' Q# Q( \2 v. y& y
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。" c4 i" r4 p- Q/ K, g
3 f$ l( n1 O/ @
2 \8 ?: k7 k! c
. S4 K) `9 b# P! P- M( q8 ~, ~
异常检测过程 图 | 百度! f8 x5 [* U0 w3 a. ]/ W: t, d% Y! ]
X& f$ `1 Q4 y& T L# W9 Y9 Y
: i7 B1 c0 x3 n6 J2 T/ ^+ i& T& M
1 Y- K( ~# x1 H2 t8 F: k! _, X7 i
小白:那误用检测呢?
+ M- }/ t- o+ G1 |& _" U" s& ?! o$ G, y! w1 F5 N. m X" g
; W2 C1 o6 t( M @
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
5 B T0 N# a5 w& i! \! H8 q: O3 l3 b
8 s0 I. E1 q; K7 c# _; q
/ A5 j5 |$ V! ^5 L
误用检测过程 图 | 百度
Z9 A( F0 ?9 C3 N& \ f
s/ Z7 g3 ^2 n4 N: d9 _
' e+ n! L& j2 o& q2 X小白:那这个入侵检测系统岂不是“百毒不侵”了?
# A6 W: U) u! h% K
k# |& s- k5 V" S) T5 i
9 B5 ]: t# u3 u) ^; R大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
# e1 ?# D- Q% y. u% O
* s0 Y9 K G: ]8 v. D0 L
/ z8 v& E; M, K) J* B四、小白内心说
6 \' n( \) ~3 ~0 J+ c# C& W' y* ^$ n" o4 l$ K) c
9 Z" U3 W: S9 e H9 h0 K大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。/ X- C) h' V! c8 A+ Y( |
7 S1 k% _/ ]' {: b6 g' P# k% g6 H
9 v. A1 F# k3 x$ t# X小白:东哥,那我们到底该如何防范啊?
" z8 T2 q: K9 A8 S1 F1 b+ ]- y- ^% L2 v' U: c- ?# w
# E: ~( w8 c* a$ M( G
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。9 s' P, V. H; o5 @' E5 M
8 k) N( j/ N1 m1 l. n) L
, ?7 N l" h- c) V* i, n0 b5 Z0 L小白:哪4个原因呢?
* @6 |. f% |' L' ]8 p
5 k# o. g1 G8 B
& _- U6 ?8 A) e) x" ^0 O4 F5 H大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
6 J% V9 k. d2 |" ^& x5 V0 \: c0 d4 a2 `8 a1 J g t
. D) I6 l6 p u9 t7 A: R* Z+ }2 m小白:东哥,我又长知识啦!
p7 _/ F/ \+ i' z# V* q1 n( `8 l1 ^. P
: N7 `3 M4 X5 z; _* v0 ?; V
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
' e; o- Q* L- O; c. l3 K1 r1 o& [4 `! F4 p1 y
z* j; c# e1 ~, i3 {) L4 E6 a' f小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
5 O" P9 p5 Y0 ?3 E/ {) s: |
- V! d9 [ a# y; O: X( l6 @( j1 T
3 j7 w. Q( u( k. w7 z0 \" _0 F
; U8 H4 z {2 b3 T9 C* s. k) _
来源:中国科学院计算技术研究所
" S9 ]' y; U& h) N3 {
1 w5 |0 n, b" ?8 N; k7 n
$ B6 d4 J( r- P温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
: n5 f! t# V3 F
% R) k1 L2 w# P1 H1 [
4 c6 G/ W( a: b% x
9 |7 }& L2 E- j. t2 W/ c- N8 j( c6 [8 X: \$ T6 Q
, h, l1 h' Z+ I# d/ Z% o3 k
* r' f. s2 E$ l# z8 ~# v来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
1 }6 |1 \5 c8 q$ X$ a1 m( b8 A免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
