|
|
一、谶曰5 a8 R; U5 E5 K- l: J4 T# \ E
% V, P1 K* l+ F& x: N8 D e 6 w8 K+ l# b0 c- C. {4 v5 f/ e
大东:小白,你有没有听说过骗局大师啊?! a; x6 ]. J# R. J; N, I# n
. W8 j" y* \7 B5 j* B: B+ V0 w% |! m' G7 w6 a. n/ j* B9 G
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
& [2 r: y6 H) C" K8 ^" ?& O( j' e9 ~- ?2 }3 }& G+ |) i
% X% T# s% i- n. R- U! c大东:哎,我指的是1993年有名的那个骗局大师啦!
, T! R2 q1 r6 k. b! k" n. c # M5 B5 H* C# s8 [! U6 [2 Y
, G3 {9 ^% q% r6 m
% v" M* G. _* ?, S+ t+ z
' U1 J( u$ ^" s& @" I" L n2 g小白:93年的骗局大师?没听说过啊!9 ^( q5 q. G2 {2 U8 g# ^! n
* @& n3 Y) D( S9 Q1 a9 V
% D0 I) a G/ J% i' \4 p; b大东:那可是被媒体评为10大黑客事件之一的主人公啊!
$ B* F7 u1 s9 y: y
' U5 v/ F/ b( z2 E) O% j' F7 o
+ O5 C3 o2 t; }- |6 o+ n8 i/ C1 w- a小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
' A' h+ c: Y2 D1 W9 L3 Z7 J
; Y1 M3 a4 G9 k; P1 {! ?! h! p2 \3 m6 j
二、话说事件1 Q, V8 s, I0 J' E/ i; n
" O0 W+ A& p- h4 p大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。( r: a7 D5 U; F; O+ i4 O3 M1 U
' O* P! V& g, H" D8 w+ z
5 S: N- \ ?; m$ p5 S小白:入侵检测系统?东哥,这个系统我有点陌生。
9 H$ o8 B; x2 [* l A
$ H/ I9 p4 J% r/ _# u) o! ~5 n4 O! ?! @* V+ J
大东:哎,你对什么都陌生!
$ ~ \3 q: N7 h h& S8 ]* l) b' `1 j
( g( v, Z$ p" m* I
1 ^4 s _+ D U3 _# n0 p9 _+ b小白:东哥,你又揭我老底了!
: Y0 M& N7 q3 B2 O0 N! } * U: D( y: V* s4 J) B' G3 a ?
0 U, M) C3 @/ H$ n0 N9 ^) P! d6 X; y- G F* l! X0 w8 P
5 g4 ^+ c$ a6 J; Q3 S8 |5 o, i9 {6 M大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
6 l/ ~. W4 u7 W( ]& O" j
. f" }4 r9 H0 R$ L# P( i! Z4 |! f! t- |
小白:那它与普通的网络安全防御技术有什么区别吗?
5 c2 o8 F3 r! ?* }* q; P+ L( D. z0 P4 Z3 l
6 K0 g4 a! W" ]* C' O大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。+ x8 F) C+ {8 M/ L
: g# N6 I& N6 n" R3 G1 s% H
; Q, M( k+ a9 C( W7 E0 a
小白:入侵检测系统具体有哪些功能呢?* s& b/ j* |0 T# N
1 R8 S- J; T; }
4 m! G# j) v) r1 z
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。3 y4 L' }! ^' K+ M
/ Z1 y$ b: k* C' j: I
; o: `. p) h3 K! T; B' V8 ]9 d& \三、大话始末5 i! B$ _8 i* |. P/ W' s
) a. O& E' k7 m. V
# U$ I @' b c6 ~5 o
小白:东哥,我还是不太懂……
4 |5 H. t: B' X, B* f2 ]+ P7 q: ^
% ^; u8 {1 J: A( P% M, E$ C: F大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。# c& C* x) r7 u
8 n1 ^+ N4 }. Z: M" ~6 A
5 i/ _5 T7 @# m小白:那入侵检测系统岂不是有许多种?
4 l0 p8 h$ Z' j, n( ]7 r4 _% m% ~3 C# p- ?% t2 u5 c
/ c& R# h% L* g# K) ~大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。- B( S0 l* w j) W
6 I' _9 T& u# s; C9 X' @+ w
, [$ y8 m5 k% Y2 J. d+ J$ n& M/ M' v1 J/ Q* y
异常检测过程 图 | 百度
3 H8 _% [% i! u; `& W5 s 8 j, I- H; O8 N/ S
" |; ^/ I4 t f' [+ l4 B% v
6 w/ Z: g! n- U I9 I1 D% R小白:那误用检测呢?
) s/ F# d; C n' m& m7 W
9 o- x; y0 [- \7 m1 b- H( Q
' |7 M @8 u9 B/ ]" [) f+ n大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
- X& d3 i1 c9 A8 b
0 K# o0 Z" T& |) {) I8 z( [# o7 w7 u! I5 P K o% d7 x" k
) Q0 C# j6 i9 T3 @& y& P5 g误用检测过程 图 | 百度 1 G. v# C4 E0 k) z
_2 y# I9 N) x( K) j G4 ~
9 Q% T- Z2 y* L3 e3 e
小白:那这个入侵检测系统岂不是“百毒不侵”了?& M) X9 `1 N& m+ S
7 f1 C' Y* ?) L8 r: O
$ I5 w7 P% K4 k, g F. a
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。- q# [' Z* L- s- Q7 i
' C' g+ x" m9 c% d9 X' L* d
( U1 W! _) ] T5 H四、小白内心说# e6 W9 C) J3 N4 `) S) V
# n! S$ O7 Q4 Y% z
$ G# _+ N2 U, q) }" C
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。5 w3 Y- [! ?6 Q+ e* X' ^, |
$ T: E/ u3 C1 F' C1 S9 x% ^7 }! a9 m, Y- E
小白:东哥,那我们到底该如何防范啊?
; i. w: P: e8 H3 G9 l9 X5 N. U8 o9 H3 \: I J3 _: c o
T$ X. y. y: _1 K! {
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。. z- U# z. i$ T) G" g( x7 J8 g
2 ^% m8 a; F3 g$ {
: q( F$ U+ ]2 }& f2 p Y小白:哪4个原因呢?
7 I" Q- M& Z5 a/ h0 h
/ T$ G/ j8 F' \' {7 z% v8 g* G2 X |. Q ?. q
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。, P6 m% [$ l5 U- L; |8 ^' g
9 S) U7 s7 c0 E$ b! p7 `$ N: f9 ?7 F5 H
小白:东哥,我又长知识啦! ' g) i8 M/ X( U/ B/ `- b
% O! k* @; f# z e6 @% e& k
$ ~/ d; h, l4 E. Q* G% H- V大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。 a0 F) q' {) Z% c, I* V; n8 u
* W. @2 j7 _: M" A/ z8 z3 u2 Q# i
9 A, s- t9 g: j" z" a* B小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
. s8 K: Z( N0 I6 i/ R$ Q7 ]6 i
0 d4 }8 N+ o7 i, ~8 F2 m
! [ P+ V3 `5 b7 j
* r3 A* I9 v' z0 L. l9 x: D+ H3 P来源:中国科学院计算技术研究所
; M, B, @7 R2 M" P
/ D+ O; ?* U e/ {# E3 q" F
3 J" w& R/ X+ P2 d' L4 o温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」# T c4 w/ r7 t, Q, F( c
# r8 n Q; ^+ [+ g0 ~$ A) ^2 X2 W6 |3 Y
4 {% Y" z# H/ t% C/ r: l( Y; \: Z0 O
 7 x& i+ J7 x8 M+ A. I5 z3 j/ b& j
( E# j' u. [" \* {+ ~6 Y
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1* j' k2 e# [; S
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
