|
|
一、谶曰
; u8 f y, [& H( k c8 k4 X* x! r4 k- \' d& U' h8 {
8 Y W* ] J2 ]) }: \ m r" X大东:小白,你有没有听说过骗局大师啊?
, k4 P6 @7 l- l* v& u
! ~) O- ^. O5 e" g& P6 g- ]
/ ~; Y: o8 k$ [: i+ r小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?; p I! {0 E4 d/ C& u
# [: P q2 i+ Z( O, s7 y0 b
- e( [, q" W3 P1 s3 D" Q
大东:哎,我指的是1993年有名的那个骗局大师啦!
9 f; H4 O1 ^& Y Y+ P( n
0 B; p; d I3 ]& d9 x( d0 d5 Y& T0 M9 D, @! c
2 M# x$ q1 f$ K% K
- T4 v0 a+ y) g: T
小白:93年的骗局大师?没听说过啊!0 _1 F' K8 _+ [/ b! V6 `8 Q
6 S* C. P3 g, V. A6 ~7 E
f. q4 i7 e* b( F9 K
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
q0 P2 N- e& q- a- j5 V1 ^' Z) M4 Z+ A; v8 P+ r
- X! G5 u d2 D, \! r小白:哇,原来这么有名啊!东哥,快给我讲讲吧!8 {8 V& o* S% w
1 h8 R, t. a z+ T
% N: o# J8 V. w
二、话说事件
* R$ T; o1 l8 ]5 S. L/ X# b5 J1 \& j( H4 k
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
7 L/ l+ V" e3 l" ?" {/ S' T5 j/ n+ n+ @4 t$ U' p/ K
' C( d7 {0 Q$ x7 w, f' m; D
小白:入侵检测系统?东哥,这个系统我有点陌生。2 ~$ j# t, ]& `2 ]6 a* Q7 ]
3 V7 s' }1 r' Q2 J) ]
* p3 o, `2 S5 w3 D ]+ [大东:哎,你对什么都陌生!
/ W3 N. t `4 Y% r" A. S: p$ c! T5 ?( k3 R4 c0 z
( }2 Z4 D1 O+ W" b) c, ~小白:东哥,你又揭我老底了!$ e" X4 }+ m+ O
7 G5 d( |; K: {0 @ t7 n. b9 c
5 v0 X/ R* S- E ^; ?, Q) K
1 `3 ~' v! B9 ], ]. k+ K! n3 l, O6 b7 k/ N6 G! h- e% I; O
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。/ V t& t. b. h9 n7 D$ j
" W0 K( W% G _' P
: h' m* \" D; g
小白:那它与普通的网络安全防御技术有什么区别吗?" [! H& w; ?% o% s, D
# E; O8 {- n* l0 U* `
) ]$ b3 c2 F ?8 x- g9 V
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
) M$ f3 ]( m( \/ v7 \, v6 A
) Y f5 A" i$ M" C& d1 T
# z' M9 L* y: Q; P4 P. T小白:入侵检测系统具体有哪些功能呢?- S/ d9 Q+ `/ m& V; b' i8 h [! s) N6 @
. ^4 A7 [. G) ~" s% E) K; `" |/ Z
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
; ^; y4 g! |7 ^& J
+ p' `/ D+ S- ^0 s4 j
; _# B* ]) W6 ~% c( ^三、大话始末
4 F: C7 ~5 ]" u; j5 l
- D. ^/ ^* J+ U/ P4 Z5 H8 W' V. v6 S+ R' B( P
小白:东哥,我还是不太懂……
' _' l6 I/ q$ ~8 t5 x" k8 B( l: d7 {! K' f
! @, Y' [6 {: z2 I, s+ q" C8 ]大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。; C* J0 z4 O. U# i
3 ~2 X& q( C, ]
P) b P8 k6 B+ r) i小白:那入侵检测系统岂不是有许多种?
% F5 A8 K9 ?& \& H9 z7 @) u! T& E/ G! X; B2 n7 [+ i* L' ?
# r8 e4 c \9 n5 w2 L. `( s大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。, \( d0 G, J6 ]/ ^4 I: V3 s# ~
, g8 y; j: M- {1 _# A4 |$ g
8 f: `- Y% Y$ M. n
! l) Y( }) ~- `
异常检测过程 图 | 百度
' f) I9 L8 ^5 k9 k! ?) A; N - Z1 F" Z% v/ R5 C+ x; {7 }6 m
/ p) j2 a: M7 l3 T6 m8 y
: S" @6 @4 M! L" i9 M7 M2 n
小白:那误用检测呢?6 j z. M" f+ d8 B# J3 Q
/ n; V$ C; n1 a3 I
; I& z1 a+ z4 K0 N( k& \1 M4 G+ f大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
( o ~& _9 N. U/ U6 H. c; ]' |+ i
! f( G) r P5 Y2 w: }% w: q) g1 a+ b5 b# |6 ~5 m7 h
6 D& N! }1 N/ [误用检测过程 图 | 百度 % W7 q' s% O) V% y; Z6 z
D. d o1 c: I5 ^8 z, ^5 P/ p$ i7 P. Y5 I: [& s# l: ?# ?
小白:那这个入侵检测系统岂不是“百毒不侵”了?" G5 Z* X4 F) }" i; Y
7 R. t5 s" u# U9 J: F. Y
7 Z9 P. ?3 d7 q! w0 _/ `大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
0 s5 m* g, z8 e, f! z% l0 v% l9 z1 |1 ^, R j
' E R0 n0 x* [/ R
四、小白内心说4 @( x3 u6 s$ s" v: C1 q
4 r; T) n) z0 I, e* D
0 ~6 r. ]7 z5 a0 [# e
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。& ]- S5 H2 ^+ B
( H/ R" N( N4 Z/ K/ _2 {8 I
9 k4 t, H; N/ [) ?小白:东哥,那我们到底该如何防范啊?
8 {4 G! ?9 l T4 k( o+ ]6 D. L' w+ Z4 W
+ G' B' A9 H, G( y5 I1 }. k4 Q
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
% u9 O; e3 u0 y6 m, F6 A, T
3 y0 s* X( Z2 f# r7 O0 k9 x) i; N7 x4 i7 a
小白:哪4个原因呢?4 r4 E- A: h4 y% u/ W* z" H
/ [# \) f# ~0 D' e$ A b& g% u1 d# D, h4 [& C5 y" ~
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。6 D; `" ~$ A' i0 E# c3 h
" ^; A4 u) @- S; D- Q5 L, t2 K- K! z/ H7 m
小白:东哥,我又长知识啦! : b) t+ } f& D0 ^
3 D; D( J; r G6 o, \2 {* F+ p. A& \" E
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。- ~/ y& X1 ]0 ~
$ o% L8 E L& E$ N+ D7 w$ D
( D2 Q/ O k, r+ }4 M
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
' J( S- c1 T5 m$ o' ]5 S) f3 V8 G0 Z
. B% ]" C' i1 ]: ?3 J& J3 T2 f: O2 l9 A* P' E' I6 ^: T( e4 h
2 j9 u; f" u& V
来源:中国科学院计算技术研究所
3 E8 J/ ?, p( ] s, ?1 V$ q8 z+ L ?9 @" U
" a2 C7 u- D+ }, p! G. ~& b: i
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」: J' G) r Y l- k
! `1 J/ B3 A2 f2 S! d, D# Z. w
, w& B2 L1 B F; K. `+ ?! p( p5 H# Q; @/ K* q
6 w$ A; B* J5 M) M3 g+ b1 Z/ e 0 D: R& }" q: w6 `8 C2 [
" f1 Y# a/ _) u( L$ t' C+ T+ |" W* t
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
4 m1 d! N5 [3 z6 N& k+ W& M5 z免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
