|
|
一、谶曰; S& t# n$ B' h/ q% |3 i% S) ]: T* s
0 Q& C) k" R: |$ R4 V
" \* b t) L4 `( f* k: u1 }大东:小白,你有没有听说过骗局大师啊?
% @$ D0 j E; F. F( M( I+ g
0 K& x! y) i5 k6 Q, J# X: Z% B/ Y1 L7 m0 x( D( P% M) S, Z
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
E- m1 y% \' [) `. Y* X' A" d4 t# A' `0 k5 ?7 n
( f0 l* V+ T3 i* F3 X$ H大东:哎,我指的是1993年有名的那个骗局大师啦!
- g& u" d9 I6 D! D8 j! _
/ ?- i' I; p6 g! U4 A3 Z) t4 s
7 j) P7 K! A9 I z9 d8 y1 v* q% B* V+ \' K q" S
8 H2 q" s% n! i4 `! \
小白:93年的骗局大师?没听说过啊!2 F: c$ W7 b9 _# _4 @: T1 j$ S
8 G) `+ ~; S- P5 m! }1 L
; T+ M/ P' E0 Q) C/ X
大东:那可是被媒体评为10大黑客事件之一的主人公啊!7 v/ o- W, ^4 ?2 B6 |' P
! C7 O3 A) Z- N1 X! t0 @; z6 S9 Q# b1 {2 V
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!+ t- e$ P5 S% s# d3 X/ s( O7 M
; t, F+ ~8 b0 H- s6 e
8 t5 B7 F9 k' O* j. S
二、话说事件
1 k% |- X0 F+ `3 ^( m/ D7 \, I; @3 w
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。/ F0 s% ^1 I( k) W [
9 p2 p' Z1 ~9 j5 d+ ?" c4 t+ Q( ~6 `6 b o
小白:入侵检测系统?东哥,这个系统我有点陌生。
# V6 M9 L" u" v* Z
7 d; T+ w# [- X9 C+ q6 u( @/ _: l& ?
9 ]' l* Q) e$ d, X! W大东:哎,你对什么都陌生!
% Z: {- q. w9 X0 n
% I, s& x( x2 E
0 j& K" @& m5 w( r$ [9 b* r小白:东哥,你又揭我老底了!- m% M/ T6 U* h2 [% I0 z
4 }5 K7 M% L: I# l; p
7 q! n9 v' b% ?, A) k8 E
0 _: |; e+ U) b( g6 n7 v5 u: ?. q$ Z% R! H. M% {9 g2 `
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
. W; E0 |; Y0 R8 x5 _$ ?0 I& H. E1 c
6 h% h# y% Q. M0 D8 b+ J# ~- G% H0 {4 p1 U A% Q! {
小白:那它与普通的网络安全防御技术有什么区别吗?9 @( o+ t4 o! ~7 x3 P' k" t$ e
; @2 ~5 P$ A9 l2 f- G" q8 ?& V+ f& b3 b+ @
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
) f3 q( c- w: W5 v; R# e8 ?; ^# y/ |
4 c+ p' d v9 e2 d4 p: h+ i小白:入侵检测系统具体有哪些功能呢?7 c7 b, n4 I x# e i
: p7 Z- ]6 r* d6 ~0 V0 x2 t: P. {' r- W: Y$ P5 R
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。/ S; K( ~- f4 W2 v: Z' G% k3 Z
7 u9 v& m$ b3 m
6 Y. u. p! `, N% G三、大话始末2 E- j6 ?1 N4 @
! y' I, N1 y7 d6 R9 s/ ?
' t7 M3 T/ H' M7 U4 }
小白:东哥,我还是不太懂……- R. @: j3 v n+ y
" N1 E4 ~; x; m2 f7 R5 K
+ D9 g x" C8 G+ S( ]% {大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。7 s# Q( E1 n1 F) v/ l
4 b/ P8 y; W3 B, U
* Q0 p! M- c) y
小白:那入侵检测系统岂不是有许多种?0 w3 m3 U1 Q. [% k
$ ]+ S" n- p1 Y( O5 j
5 {# [2 m# b! _8 o大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
5 M: F/ K- Q% u8 X1 P3 ]+ Z" [ }1 f3 o2 v
6 o+ F. G9 ^/ S! v: U' A, G
; I0 P1 r( P/ M9 ~* a6 \; d
异常检测过程 图 | 百度0 Q9 `1 i( l* a1 |
; _0 e3 i) F: x* P. [
5 [1 N, r1 N5 F/ m, n- _' H+ ]: ^0 ~
小白:那误用检测呢?1 U5 M7 w c4 w! K& p' z5 R
) q4 x- j6 p8 @ f4 Z0 F' B" E" _" I: P
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
8 d, X/ Y) u/ W( t* n3 w, G, B# Y$ p/ |* A: g4 j* @
* J f+ l$ C* ~( r4 _3 S
1 v. y( A" t. Z* u$ k) I( ^% r
误用检测过程 图 | 百度
+ x9 a4 V' H- a; j9 e6 P D) a2 ]; ?! ~
" Z7 S, Q. s6 Y3 a, E' f
小白:那这个入侵检测系统岂不是“百毒不侵”了?0 [9 l! \+ \) @0 N# V
& ^0 \% B) S) u8 w
7 Y2 S9 k5 a; F0 u, s) d大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。& ?( @) h/ L0 r' ~
, r* `- H9 N/ m6 I/ \8 o
1 ~' C+ b2 Y/ `" x' D四、小白内心说# O) ?: b7 f9 z6 |1 B% u
, m/ z* `: q/ V& l7 E6 Q, T8 u- c4 @. b! E# U5 |
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。, R% M% |$ y" U0 a* K; Q2 T
7 S0 Y0 s4 N3 W( {) V. c
0 ?$ k' r$ m+ Y; [小白:东哥,那我们到底该如何防范啊?
. {- @4 h8 F3 d/ v- I( [" t6 @' A+ ^1 u/ }. ]7 U4 A3 I
' G' U: l# n9 ]2 g9 Q& Y- u& c
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。7 f% b" v4 R* S8 {& w/ y, o
0 }* v1 D% J* Q0 V; s
8 I. m/ a* e' q/ I' d* v, m0 ~小白:哪4个原因呢?7 H' O4 h6 i# u/ F4 z# J
+ }$ e& s% Z6 j! i
) g- f3 w' V2 d7 }7 H. W8 e
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
* D! u6 k. }0 B# C$ w7 R6 A4 j3 \) ]2 H* k; t Z a l) S) \2 N, S
8 P6 i6 m+ `% Y6 {. {
小白:东哥,我又长知识啦! . p" i) N( c% h5 h# w8 g+ ^* Q0 m+ U
# [, H& C( F8 h }' B7 c6 W( `5 T
. j* a9 Y* l! x5 y大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。6 j: j5 v, w/ k9 k2 D+ w
0 |- W1 F3 i/ a
. \9 o7 l. A+ a小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。* o6 ^) B5 m( j/ i& w; a
w2 t" ?, u6 i7 _
/ S+ I5 d% @" k; P8 X
/ \8 v) B* C; z; J- h , k/ E% q% p, P+ ~, p |
来源:中国科学院计算技术研究所( i& f9 i. F+ H+ ~' k* K% C
) \7 p: S& ~! o. T$ w: W
& r) M$ Y8 J9 @- N
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
0 V" ~; {' K7 I& b, z8 N( ?/ R/ Z/ Q3 U
. K- o7 N! {0 g0 ?( e& P5 G
1 O5 N$ ^ E9 K6 k& _& G) B$ d% ?7 h1 r) h+ a, v
6 m9 M: r9 Q/ Q$ g. g7 Y
; X, g6 i* x( S: y2 O N9 G' w+ t2 C+ {
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1 k' |7 Z7 [1 H
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
