一、谶曰1 g; F7 B" q3 J' X5 R% `
5 f4 h' M: n5 [) y1 l3 d3 h
6 F: V% g0 V3 b) d6 S5 u大东:小白,你有没有听说过骗局大师啊?( @8 g6 C; R; }: D% P: C
# b2 }- [) ]2 Z) F% o5 V' l+ v2 C) E8 d2 @" }
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
`0 o1 N- x9 _$ w u
4 B# ?1 D( _" h3 W& V" `# s4 u- j' f% K. P0 i' M
大东:哎,我指的是1993年有名的那个骗局大师啦!+ c$ N8 U, s* ~6 X. b2 }4 t! k
+ y+ G+ \: v7 ]" p6 M& {1 l! r+ H6 }
5 L% q8 { s& O( k
& t4 g: \3 g% K: b9 G( w$ F
9 ^7 W% e4 p/ x& e! k, y小白:93年的骗局大师?没听说过啊!! s6 k4 C5 T# u
5 P4 b2 S/ E! f2 U5 h- c; L4 ?$ ~) @; c7 {) L0 v' R
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
9 _: l# |% m! a' q5 n' U& h
. b" r9 A- E) P0 @4 `6 j
; T0 }! `& C" l3 W; ?, X/ E小白:哇,原来这么有名啊!东哥,快给我讲讲吧!, T! @: y7 @# A; S' A
) l6 W7 R( A' d4 f& Q2 `
. ^; u T/ C! j" l) n' _二、话说事件" r7 K6 C% q/ v2 {- S# T
" p0 ^: }- c% T8 N" K
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。6 a/ y+ |/ ?: _ G7 a( z! Y
; b9 E5 u# X; k4 a) ~
! x: ?6 \, J1 h7 z# L小白:入侵检测系统?东哥,这个系统我有点陌生。# V/ T6 l% T- {4 f
3 z) H) Q0 W! b$ S$ G6 g0 h: U# t1 K1 w9 x, I' M5 f
大东:哎,你对什么都陌生!
% p% D Y3 f6 r
1 X( [2 K" o9 ?
- D8 K' `/ p1 S O5 i小白:东哥,你又揭我老底了!
7 _/ @( m$ W" E6 M3 b9 G 1 W! c) E- N: c# P/ X& O
; j+ C9 @, `, l2 u% N
# [, q( U n4 s6 `' e+ a
* f( N3 `. I3 B- v9 U k大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
- V* L E6 P4 ?' n4 V5 e- s/ i+ n! ~
0 G9 g/ i; p' B3 T* x& ^小白:那它与普通的网络安全防御技术有什么区别吗?
0 v4 @0 x. h6 e* g# H$ z8 e2 k/ k- T; x2 R6 J. p! S: p
- a( Q0 P7 r: [$ j( a/ ?" X4 n3 p# ~! `大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。. X: O7 X8 _; S0 Y
4 b5 P$ I+ n1 Z; n2 S& ~ I
" r" k0 u) x% g3 _; \+ t1 ^+ f小白:入侵检测系统具体有哪些功能呢?
& P. i4 z$ N: ^& o( d b5 j8 `+ t+ R u: Q2 R/ A
1 ^" t1 g; y7 \* p- q大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
& j- Q& ?2 @9 u' l2 W5 X ^ Y( P" ?6 g
7 S5 B ?' c: s. ]7 N三、大话始末
- I! j3 T$ R- B$ G1 Z
: k# P8 [% g9 L; r9 h2 w( u9 q
& R# ], J' X7 k" ?小白:东哥,我还是不太懂……1 k0 @) f; X6 z7 ]9 L$ a6 P
, l5 O* M" X& B4 n0 W% H. J2 C. ~% O. d/ [2 v/ F
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。 _# ]8 p, p) x2 w) z
6 e+ t8 ?5 I0 w! C
! |. c2 K* l4 A" o, y& _% B& O
小白:那入侵检测系统岂不是有许多种?
& h& U* y5 W# J. P
/ ]8 r; _1 [& c, h. j# G
4 e# A4 V3 ~# j& j. n0 `. K大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。# ~ e3 M) }: ]
) p8 m4 b3 ]* L; O9 c! D
: m. `6 v% H- r' i5 F/ m2 m k+ w; ]
异常检测过程 图 | 百度
4 x" L- l# }0 X C* J: x4 Y( e
- I* k j' B6 G6 K% M" x/ }, A+ ^: }# [
; u- W2 L2 D8 o
小白:那误用检测呢?
- N! g1 f/ Y) x5 C& M, R6 W, Z% |0 ^% A; A7 e% M
4 Y& u; O) w* z3 a1 O
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
/ j" ^) C, y2 Y; K" Y
5 w7 ]( L# q( W/ i- `9 I
2 @0 T* i3 h" b. E! j* X! ?9 A: o2 `3 T, |! w' E5 X( ]
误用检测过程 图 | 百度
! \/ M3 h3 E; t5 i7 n1 ?! F
! @2 D$ \' ~" o' ^, p! L$ y; \) s1 N0 Z& `( X
小白:那这个入侵检测系统岂不是“百毒不侵”了?% q) C0 X" a7 X; f' h9 m& T3 b; L
; u& S3 N! C# j& e2 A- F, W% A& B
9 Z* {! A$ J) Y8 C大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
2 V! U- |% G8 W& }! G' b
/ K* M( D C5 }# o0 }6 m& ]7 ~1 A! L' Z
四、小白内心说; E/ M7 j- P9 q' w4 ^5 ^) Y- h
, u! Y2 l, H5 g, T* m, \. `+ G% Z
- s$ v0 @2 s6 ~7 w$ Z1 w+ C. S大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
8 i ]+ H4 Z( w( x; Y' ~0 J B6 W
/ K. ^; |$ C: D, @# x5 _. p3 w9 Y- q
小白:东哥,那我们到底该如何防范啊?
u0 Y+ A+ i: S T/ P2 A8 m1 {5 U+ W8 I7 n4 h+ X# Q
! r* p n' R6 N3 m. M9 `( L. P
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。* ~8 p1 x# z8 C, C+ X
; N0 V# b7 x' _3 g9 M8 Z
8 m" I& M6 v& L4 F$ r! |小白:哪4个原因呢?
7 P7 f$ [7 r; O; S+ j' S C3 T7 q) q; e: p$ T
( O' r' u" H+ X! [: o大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。! S5 w8 y2 _- J; M
H& h& e( f* K; v5 H! L
* M2 b/ B& m* j- g% V
小白:东哥,我又长知识啦! # h' N! }1 p. ~" C9 w. h
; ]" a- Y; c# B B4 Q% ]1 t2 U
& l3 w7 H/ i/ H8 Z3 l* i# p
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
6 i+ C" z8 z4 z( D& W [% Q) s8 F# A$ i. N1 k9 ?
$ M; {, ^% D) o: ]7 v
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。5 ?) w, B8 L0 ]6 `* d
- G' ?! k: u# h4 T k& a
8 ~- x u& m( C8 Z! L& R" n* u6 N, B, S; _/ k# s
) A* Y5 T4 }, I i$ H; ^- c& m来源:中国科学院计算技术研究所
: y2 W" \: |! Y# h1 a8 z- k |) p& i' W0 l8 U
9 g) h) B1 u- a0 w) u# ^( w8 n
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」( w/ t! f& r; `; j6 }
( G$ X! O: t3 |& l( }# g% b
5 ^- y( F1 T, X% Z/ ?0 C/ F4 y- Z) p7 }$ j) h9 u; m
2 Y) U- t) @* z5 c4 y' m 6 j. l- U1 }' f) y" G
7 ?8 |% r# a/ E, f. U
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1. s, @0 b$ s3 `; R
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |