一、谶曰
& I) @/ X( J( I4 j
" ~7 H6 @& U# x9 }6 R
2 z* J( D( z4 G* Z5 j大东:小白,你有没有听说过骗局大师啊?
9 Q1 j3 H6 _0 ]4 N0 v$ E+ |% @ @" T L9 Z: Z( u4 I6 K
9 W% q' m7 h+ s; k: |小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗? F' X! K% i; O7 k
5 u0 y3 T* |1 `- A# N9 ]: z) b$ r" |8 r, Q+ G7 {( b/ W
大东:哎,我指的是1993年有名的那个骗局大师啦!
- X! I7 J) L* w7 o# L ! U n# Q7 z9 T' `! p5 K4 \, B
6 A, N2 c4 b$ s3 q
; @: b$ X+ A3 A# j' ]: B+ j5 w
1 E+ v7 r( u' Y( ~8 w$ p/ @小白:93年的骗局大师?没听说过啊!3 E1 n: V/ R0 v2 t) H% b* ?
- `* a# [6 P" q1 g8 Y% ]! a1 A7 d0 Y- N
大东:那可是被媒体评为10大黑客事件之一的主人公啊!6 V$ w3 K3 x5 s0 T
( |0 T G0 z; F# C5 z4 N* H1 n
@& V# o+ L8 K小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
% f# ^& j4 r) r, s
$ f9 P) I) b6 }5 R* ~' t' L8 n3 ]5 O, I. m, M$ I, U
二、话说事件
! H F/ L- t: h9 C
/ t$ f* r3 h/ ]5 d3 U大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。# Z- ]& h9 A% C0 a- n3 u/ A
$ z5 H$ T! j l# g
0 v. x6 y- e7 b3 y+ g
小白:入侵检测系统?东哥,这个系统我有点陌生。
( z8 V' ]. }9 R$ C1 f& W/ \+ _9 A2 H! N( m2 y g6 D: o$ ?
9 T# u. c- [# }9 p8 ]/ i+ i
大东:哎,你对什么都陌生!
9 x1 l R0 Q6 |! o( t( m
7 n9 _ R: p7 `, _1 _: g' l5 r6 p) a5 f" c. ]
小白:东哥,你又揭我老底了!
3 {$ a* o$ y0 T5 U # F; a. v8 m0 Y, K$ i" b1 X2 T
3 e/ m3 z) }7 V' `6 B
5 ~& ~+ G- L7 a9 u) @. D
8 `7 X1 Q/ P$ k, @大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
0 }9 p: ]& i$ L1 W" u
$ n. j* Y+ _: k' Q# Q) d
- s" ?% G" P- [5 J) u! ~8 x) x小白:那它与普通的网络安全防御技术有什么区别吗?' S4 a( f+ h$ p" U4 _
' k; x6 ?- t1 z5 g' M J
, |# v$ {/ t% r4 r, ]) f/ j
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
, C4 |& v- l3 s
0 ^8 j# l+ m9 c2 [1 f5 g2 J8 E$ w. f! x
小白:入侵检测系统具体有哪些功能呢?
4 P% p ]6 y1 _' J& D+ J" n/ q9 X9 G, _2 T7 P: Y
$ o( y0 s; ^9 R* P( P3 o# U大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。- s1 m( e) v4 ]+ R& }8 E
* |1 n1 s N6 S3 Q# k/ w+ Q; [" F
# g# P5 I1 Y" [ x. b三、大话始末 Y5 W# O) o6 z$ I0 O
; w+ p3 m% ]* [0 V$ M2 F X4 [
4 K1 I: ?% ~( E$ ]2 y0 P# |0 E小白:东哥,我还是不太懂……
9 Y O# d" V, ]1 S' k" F d# I1 { ~# Q# B, @' N' k
- F+ Z1 ^, d. V大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。; w% A* a' f1 V; ]$ V
3 U1 o' ]$ v3 U1 i5 e
" ^- O+ p6 X2 M
小白:那入侵检测系统岂不是有许多种?
- J) n# l* m- E3 K5 E4 m# J5 j" c4 w9 D# O. g, N( F5 h
5 c8 i+ c% u+ ~! e1 }- B5 y7 `大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。, E E5 C$ z) _$ e& R- B
% t+ _* l V( {4 J7 T2 n8 j
5 h" {; p: ?# W% B! y4 v
( h" a( `" W( `- i+ b
异常检测过程 图 | 百度
8 F- V. r! t, |) H K% { ; G* _- O$ A; b! F! @4 E. J
! ?3 k9 {4 V3 [4 r7 @
+ \( \1 v$ x5 S7 D小白:那误用检测呢? E2 ?" F/ m- m2 M7 E0 H$ e
+ P7 x7 Q$ G5 m. p* ]) Z( B( D8 p2 ]0 w4 _' N/ a. H
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。- R1 i0 O! k& m1 m
( e/ I/ O4 _( B& C8 j2 z
, T; q# p U f
. W: \' ] a- M# k+ {误用检测过程 图 | 百度 ; P8 W% b% ?$ J4 n; y
# }$ C& G" s& q1 p7 m! |
( a* h+ B$ \6 X/ {小白:那这个入侵检测系统岂不是“百毒不侵”了?
; W9 M' w3 G# @1 w& l0 ~
, J' b, G( l ?4 t4 x5 W/ n, T1 V# G
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。! p2 X" Q2 B5 V7 k
7 j0 |9 K, b: }- l, q+ L) O! W2 W, a
, T% r1 i Z) U( d+ l! n# }# ~四、小白内心说
1 ?9 z/ q0 l3 M# l9 E' m& L. l9 _& |0 p
: f( T5 ~0 f% c3 m" V7 H" c大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。/ D2 r' E6 [" j/ T* Q
2 M3 A4 D& Q; k/ v8 J% }- S2 M7 y3 ?) K
小白:东哥,那我们到底该如何防范啊? 4 }7 n+ E0 S& Q* _
8 w3 _6 M% p0 u2 T8 v) H, D3 e0 ~2 R) l. G K2 p. [; ]( G
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
( n5 n8 ]5 Y3 o3 {, m. x y' J6 f w& C6 ?. F, ?* q
# E+ A& C9 n8 N; x5 H$ N6 v& A
小白:哪4个原因呢?
& B8 T W- G5 d: V
! q; F- K% N: h" H7 w% f9 ?' r5 L/ x
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
1 B7 G) Q7 g' D* i C! R) R
7 p2 w) d8 q0 `; E& [( ~7 s }
4 I6 }( r8 [; ~; o2 l! h# {& \小白:东哥,我又长知识啦! : n% R8 ~) ?, S+ ]- P# j; c
; q* B% S" G. S
4 D) P& [3 @5 g" j6 K大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。4 M& E# K5 A& ]0 c6 i
" D: Y4 ]4 M5 ?3 B( V
2 T8 e% s) c* i3 I5 ~小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
8 q" _/ R F( p% U6 U
3 I7 x2 E4 `/ F
. p& e5 Q' L3 o& M" m8 |4 ^6 R$ H* Y$ z+ v! h! E
# z$ P* s7 {4 C! J& S6 o来源:中国科学院计算技术研究所
' n, a4 Q( |1 C2 o+ [) i& O. J& k
K2 o$ i4 z3 n
3 f! [4 k6 e0 g& ?6 V' k- O, `温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」7 a! |8 {% {; z4 d j7 z
: I/ I6 w- S/ ?& S( X! s" N" l
) ]' Z9 i) @8 G. `$ {
- S$ p" x% i2 p; I
- g4 f" Q- W2 K n " ?. B+ i8 X8 z& p; e6 V
3 t" v/ K9 f; O% G; V4 T
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
# L- E1 P4 ?- o+ p3 `6 m免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
