骗局大师丨专栏

凯天集团ovlrnf

一、谶曰
+ y4 x5 V9 e  |! A0 m
 
大东：小白，你有没有听说过骗局大师啊？

# O" E2 b$ G3 M# T
小白：骗局大师？emmmmmm……是《惊天魔盗团》里面的那种大师吗？
5 n7 h  k, n/ X
& Q) p( S( p6 W$ W2 J2 T
大东：哎，我指的是1993年有名的那个骗局大师啦！
 
) B, s! N7 c  {7 _3 e' G0 O! }

# B5 @2 ^3 B! L

小白：93年的骗局大师？没听说过啊！
, }/ }/ v# N4 N: p! x

2 Y) N. b; [& ]9 j0 E大东：那可是被媒体评为10大黑客事件之一的主人公啊！
1 q7 I; N' |+ f, l4 v% ~1 \. i
. j; c  R; V! E
# h' ~0 f, `; _小白：哇，原来这么有名啊！东哥，快给我讲讲吧!
% m1 v( T7 o' k& W0 H! t

二、话说事件
+ k, f# t7 k; j
4 Y& p( o. h- j. j0 s4 I大东：在1993年，有一个自称为骗局大师（MOD）的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。


小白：入侵检测系统？东哥，这个系统我有点陌生。

8 p3 `- L* C. l$ Y1 f! X8 `
/ R% ]9 ^% B8 p6 _9 B大东：哎，你对什么都陌生！
, m0 w) |9 {& k. m
' H' D% z' ?6 e9 D5 ]6 M
7 E$ c( O9 P* b: R% F; p! V$ ~8 B小白：东哥，你又揭我老底了！
 
' m' h( G. g) j9 U5 T! J! F

5 Z* d1 k8 Z' a8 h
( e1 k/ N3 B( K+ i5 B4 ^
. T' Q  C' q/ }* `2 L大东：入侵检测系统（intrusion Detection System ,IDS）是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
3 c/ X; z: B5 S) K; ], n( o$ `* ~
2 ?- e. W9 N1 X, T6 ]
( P7 k2 L8 W3 \, H# G( A4 Y6 z小白：那它与普通的网络安全防御技术有什么区别吗？

: A& [) a+ H* K5 \6 A# o& P) S
大东：它可是一位“主动出击”的选手！IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。
7 l1 s+ A  b4 r3 m0 B$ t3 K* ?

( K/ D( @, h& I6 L' c4 C( L小白：入侵检测系统具体有哪些功能呢？
! c4 c6 s- B& n9 j
8 n9 w2 _7 a9 N- o7 T
8 i. |; m& [* F3 \( @+ W1 R1 n大东：具体说来，入侵检测系统主要有以下功能：（1）监测并分析用户和系统的活动；（2）核查系统配置和漏洞；（3）评估系统关键资源和数据文件的完整性；（4）识别已知的攻击行为；（5）统计分析异常行为；（6）操作系统日志管理，并识别违反安全策略的用户活动。


三、大话始末
: C- r2 k; k+ M/ z  B

小白：东哥，我还是不太懂……
( x% A: _. X. X  t& h

大东：做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者，也针对内部的入侵行为。
; d! z) r. ?! ]8 h- U' I" }/ ^+ N1 C" ]

小白：那入侵检测系统岂不是有许多种？
, F, C, U0 C3 N; Q
# t' o! S7 j$ p. e5 v. {
" I  ~  ~1 V" c; ?6 }) R5 n大东： 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想：任何人的正常行为都是有一定的规律的，并且可以通过分析这些行为的日志信息总结出这些规律，而入侵和滥用行为规则通常和正常的行为存在严重的差异，通过检查这些差异就可以判断是否为入侵。
6 T9 s+ u. g% y! M/ N

) r' p; }3 @9 y. V/ t6 r; W

异常检测过程 图 | 百度
1 n. x+ K5 m2 h/ ^

, E) E7 {9 Y% E0 g/ _

小白：那误用检测呢？
, |$ C' z3 y- G- c9 N4 W8 I

/ C" j& E: ]# O; R3 h- Q- E/ d* {大东：又称为基于特征的检测，基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击，进而发现同类型的攻击，其实现过程是：系统先收集非正常操作的行为特征，创建入侵行为特征库，当新的请求发生时，系统将对其进行特征匹配，从而完成分类。
" p6 L3 ~* M* ^) M( C# `, C
, d3 Q" z1 T: k8 w

' r/ W; k$ n$ G# S

误用检测过程 图 | 百度 

: n5 |. U6 ?) p5 B% K2 f: j

" _4 B; }$ t9 H) w小白：那这个入侵检测系统岂不是“百毒不侵”了？
* F- ^: }! p( V; b) ]  n3 V, ^- F
% D" R$ h* W% H: H" i
大东：不是这样的。例如，我们刚才提到的误用检测，它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时，系统会发生误报；或者没有特征能与某种新的攻击行为匹配时，系统会发生漏报。


) K( E& l) O0 C+ ?6 ?四、小白内心说


大东：正像其他系统一样，每一种IDS产品都或多或少地存在着一些漏洞，一旦这些漏洞被攻击者发现并成功利用，轻者可以让IDS系统停止工作，严重者甚至可以取得对系统的控制权。


小白：东哥，那我们到底该如何防范啊？ 
1 [/ O1 o. Y" l: [# h7 v' B( {
2 O- N: N+ p. a% ~8 W
大东：一般地，在建设了IDS之后，当有非法入侵时，系统会提示“有人扫描主机”，此时的非法入侵者正处于收集信息阶段，若网络管理员采用了相应措施，会将此入侵扼杀在萌芽中。但如果置若罔闻，待入侵者收集了足够信息之后，会发起全面攻击。这样看来，在安全防范还算健全的情况下，企业被攻击有4个原因。
) n4 _8 ^, q. {: I
+ G2 o+ t2 y# m" M6 j
小白：哪4个原因呢？
2 o# M$ N- e6 d& G$ _* \

+ y9 w9 F/ y! t6 J  s大东：（1）网络管理员能力有限，没有更多的能力关注安全问题，加之网络管理员本身对安全技术掌握不足，对像IDS给出的报警信息缺乏深入的研究；（2）对IDS缺乏最基本的管理；（3）IDS漏报和误报，查不出哪里存在非法入侵；（4）对IDS期望值过高。

" i) ?5 I" ?2 s4 v
小白：东哥，我又长知识啦！ 


9 n" E$ n: s. x3 [7 J, S大东：IDS具备的安全应急机制：（1）网络安全必须具有相对完善的预警、检测和必要的防御措施；（2）入侵检测系统的行为关联检测机制以及自定义检测功能；（3）入侵检测系统和防火墙形成动态防御。
5 {& O$ N% r! g
6 z  D& N- G8 }* e( S
小白：通过入侵检测，不仅能够知道攻击事件的发生、攻击的方式和手法，还可以指挥其他安全产品形成动态的防御系统，这就对网络的安全性建立了一个有效屏障。

6 W. h; T! U- i9 ^# y* S 
来源：中国科学院计算技术研究所


& w+ D8 F$ I  M5 D% l温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
/ U5 F; W+ b! F% b  x+ m9 {

# n; g" ~" ^# S7 _4 U8 E

, F, m1 |4 k. l7 m% D. L

来源：http://mp.weixin.qq.com/s?src=11&timestamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
( l+ Z) v  S& O免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！