骗局大师丨专栏

凯天集团ovlrnf

一、谶曰

 
  E* d2 a/ q1 l: A+ ~大东：小白，你有没有听说过骗局大师啊？


1 F/ \- j7 N( Y. d& K0 b6 a小白：骗局大师？emmmmmm……是《惊天魔盗团》里面的那种大师吗？

4 Z. K+ l4 @6 r  k, [8 n
, {5 W  _: W* O5 b! O大东：哎，我指的是1993年有名的那个骗局大师啦！
9 h' H5 Q1 c  _ 
0 X3 z, S& K$ Q: x4 Q6 u; Y  x$ s) L# i

7 W! k5 P$ `) ~) u

7 M3 y+ L* ]# n' P/ K/ y小白：93年的骗局大师？没听说过啊！
4 T- P' f  `- H8 i
) P' U; h) F3 `- {
大东：那可是被媒体评为10大黑客事件之一的主人公啊！


小白：哇，原来这么有名啊！东哥，快给我讲讲吧!

1 W$ F6 F- W) y- I0 a7 M5 p( p
9 i, \5 y4 B/ j* l' s' Z二、话说事件
- O/ v0 w5 ?9 |: K$ Q) N0 j
4 T3 r2 ]) o6 m大东：在1993年，有一个自称为骗局大师（MOD）的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。

' ?! ~- ^2 P% v! I7 Z! f
3 K0 w5 n4 s" M; D, D, B小白：入侵检测系统？东哥，这个系统我有点陌生。
8 Z& P: _% L2 P; I
/ C" H5 X0 G9 Q: k, y0 N
0 J! ~. x! i7 I3 j大东：哎，你对什么都陌生！

/ X& C5 R, f4 p/ B) q' q) W
, n( [' I  E4 \8 q小白：东哥，你又揭我老底了！
 
' t0 W# D. M' `; N+ c* ]

; N% j9 E  _4 L$ G; N: ]
7 r# o1 O, p5 j. @* R+ E3 l
大东：入侵检测系统（intrusion Detection System ,IDS）是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
0 h7 f7 i5 j3 r
7 V' b' k  L1 d& K' Q* u- X( n
小白：那它与普通的网络安全防御技术有什么区别吗？


0 o' e3 M. a: {" w4 U0 P大东：它可是一位“主动出击”的选手！IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。
- q( X/ W/ ^8 h, w

小白：入侵检测系统具体有哪些功能呢？

+ v5 R; ^; {8 G7 {; x8 o
$ {% J) b% ]0 U  w2 |+ X" L大东：具体说来，入侵检测系统主要有以下功能：（1）监测并分析用户和系统的活动；（2）核查系统配置和漏洞；（3）评估系统关键资源和数据文件的完整性；（4）识别已知的攻击行为；（5）统计分析异常行为；（6）操作系统日志管理，并识别违反安全策略的用户活动。


三、大话始末


7 {( |( h# Z; I- W: t' ]$ \& g小白：东哥，我还是不太懂……
" }* z0 n. `/ y0 I3 ~; G

! V: B1 {; ^3 @3 a8 ]8 [6 E5 ^大东：做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者，也针对内部的入侵行为。

5 |, A/ I7 V* ^% L+ ~. ~1 ?
小白：那入侵检测系统岂不是有许多种？


& \* [2 a9 c1 q2 O0 B大东： 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想：任何人的正常行为都是有一定的规律的，并且可以通过分析这些行为的日志信息总结出这些规律，而入侵和滥用行为规则通常和正常的行为存在严重的差异，通过检查这些差异就可以判断是否为入侵。


' Z5 {7 |2 N; \  H: r

4 U& D8 V* h( J0 W3 Z# C2 l

异常检测过程 图 | 百度
/ I& R  h3 m) u+ F9 F& O8 O: O

小白：那误用检测呢？
* Q0 ^4 z0 p# @2 T* @7 L+ k& r  |* v

4 s  l5 i8 H! g5 u大东：又称为基于特征的检测，基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击，进而发现同类型的攻击，其实现过程是：系统先收集非正常操作的行为特征，创建入侵行为特征库，当新的请求发生时，系统将对其进行特征匹配，从而完成分类。
3 ^( k9 m6 B8 |, U8 {/ j

& F  [# e8 \: S: X$ y

误用检测过程 图 | 百度 

2 T: I/ h2 y. B/ J
小白：那这个入侵检测系统岂不是“百毒不侵”了？

; |4 D6 K7 w2 ~  f" e  Z0 J
大东：不是这样的。例如，我们刚才提到的误用检测，它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时，系统会发生误报；或者没有特征能与某种新的攻击行为匹配时，系统会发生漏报。

# g" Q8 _3 F# o. G" D
# u2 r( }1 p4 `  v6 B4 I; ~四、小白内心说
9 t1 u1 {# J/ P; X

大东：正像其他系统一样，每一种IDS产品都或多或少地存在着一些漏洞，一旦这些漏洞被攻击者发现并成功利用，轻者可以让IDS系统停止工作，严重者甚至可以取得对系统的控制权。


小白：东哥，那我们到底该如何防范啊？ 
  |/ g6 G7 l1 Y

大东：一般地，在建设了IDS之后，当有非法入侵时，系统会提示“有人扫描主机”，此时的非法入侵者正处于收集信息阶段，若网络管理员采用了相应措施，会将此入侵扼杀在萌芽中。但如果置若罔闻，待入侵者收集了足够信息之后，会发起全面攻击。这样看来，在安全防范还算健全的情况下，企业被攻击有4个原因。
$ r/ ~$ I* ~( b1 a% b8 |
+ E; X9 l% C4 d# Z5 t6 `% f, \
小白：哪4个原因呢？
; [- D2 `" R5 O+ A2 d# s9 W

, V" W! ~7 q3 A1 O  T& p2 ]大东：（1）网络管理员能力有限，没有更多的能力关注安全问题，加之网络管理员本身对安全技术掌握不足，对像IDS给出的报警信息缺乏深入的研究；（2）对IDS缺乏最基本的管理；（3）IDS漏报和误报，查不出哪里存在非法入侵；（4）对IDS期望值过高。


小白：东哥，我又长知识啦！ 

* r' f$ n6 o; S
8 O0 F5 i6 m# l大东：IDS具备的安全应急机制：（1）网络安全必须具有相对完善的预警、检测和必要的防御措施；（2）入侵检测系统的行为关联检测机制以及自定义检测功能；（3）入侵检测系统和防火墙形成动态防御。

# o+ B- l2 e0 [6 H
小白：通过入侵检测，不仅能够知道攻击事件的发生、攻击的方式和手法，还可以指挥其他安全产品形成动态的防御系统，这就对网络的安全性建立了一个有效屏障。

4 c* X3 R$ O7 @6 h$ o

! K) U$ h6 _* n* o. ^7 E 
. V/ Z; u( z5 i- j, M+ Q* I5 T来源：中国科学院计算技术研究所

# f2 _" j+ ?0 S( c1 N0 l+ x; o+ ]+ x
温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

/ I1 [) W6 i6 [8 D. f
: T0 }2 _4 B  [5 h

+ U/ T  P( |0 ^& u; d* l
来源：http://mp.weixin.qq.com/s?src=11&timestamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
5 C! F- e$ i8 b+ s# [% o免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！