一、谶曰
W( m! f! F9 C6 n R; ?: h6 }$ X, i/ S+ t6 r
4 ~. f' k/ W' R0 \# D! e$ L
大东:小白,你有没有听说过骗局大师啊?
# T# c2 ?; E9 L `( r8 _, q" |9 h2 Q" l9 {- F/ {6 z8 X( o0 o
. h, _ i0 V, k) A# b# h; r小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?; S+ T! X( ?2 C; m. i
" \6 g3 f- }7 ]& _8 m2 Z' n; B
( G$ i: s4 u* H3 F5 Z" y
大东:哎,我指的是1993年有名的那个骗局大师啦!
W7 R6 e' k+ L! e9 S: I; R
! {% V- w/ Y0 ~
3 @ R4 `) R7 [' k' a- U
; K/ Z: H, |7 e/ l1 y- Y1 T
' M6 V7 N7 l, ?- Q: V; ]
小白:93年的骗局大师?没听说过啊!
2 U* k5 n: m3 Q8 p# o& E3 F# Y0 a% q/ i [3 d3 A' }
2 ]4 g0 a1 {& L. ?- A% }, ~大东:那可是被媒体评为10大黑客事件之一的主人公啊!
" _) `8 x4 _$ k) B0 f
: Y$ I0 z4 J# H* G! T1 z, g3 m$ W, ^* j5 D4 m; f( f
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
2 x& {8 E5 m5 ^: P- k; z$ F4 D& h h# S8 h$ }9 x5 C2 p# ]
4 U) X; y' G: [/ n& _2 k
二、话说事件5 R8 r/ q. \* y
$ x7 ^6 L# v* K0 {大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。. h$ R2 l+ I, f$ R
$ e# `: q5 v8 O7 h1 S# B& F6 `/ |( o) u
小白:入侵检测系统?东哥,这个系统我有点陌生。
4 w6 N% K. |7 [" N* D% \ V0 h5 f, V! q$ g4 E
" f9 Y- N, R& p( E3 J2 F大东:哎,你对什么都陌生!
- d9 A4 s9 g. ^
& N. q$ [% ~5 R* \. n5 {; M! E2 M, {& r8 f q6 ^" x1 |% m4 H
小白:东哥,你又揭我老底了!+ x( ~2 {; O( M
6 D" o# p+ G& b% Y9 @& G, K$ p& D8 E2 j# o4 G0 I* I
5 k6 G1 z, ]+ L4 Z" r( b
4 t; r# V1 R. l4 l7 X, q9 y大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
' l7 }7 ? l4 b7 m
) |3 B% h0 u% t/ q8 n' H9 y! a. D
; H% z! _ s1 R$ R5 B) x& Z- b小白:那它与普通的网络安全防御技术有什么区别吗?/ d! W: I4 `& R q9 _" K- y
, U) h9 @4 f7 K! W
9 w& r. {- |- M' \" v8 {大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。6 G- }" H6 W7 }5 m4 w
) O% o: W6 |( ?& t( x6 m4 X7 z/ q
) v0 A5 D1 M, Y/ X* r小白:入侵检测系统具体有哪些功能呢?- f& p7 G. @/ y. X7 a( Y9 f" _
O7 C1 L5 F, A: g1 m# ~. d6 C+ L
. q3 V! w. p% G0 s5 j# k L
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
! ~/ o) [4 A9 |4 S+ M
" l( Y# u6 P$ l7 l0 e* _6 F( q; P# M D+ O
三、大话始末# |$ m# [3 t) V: O4 T" A( m
7 h! @ T- q* r( l. h% [$ F4 Y4 h
小白:东哥,我还是不太懂……
' [+ A R# E; I8 J7 y1 P! y) Z, p
# \. V- x; @" \大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。9 | a6 W$ s* _8 [. y5 Z
" ]# n& n% L/ y' E7 O
@, C; j+ m2 n: K! Y
小白:那入侵检测系统岂不是有许多种?# h$ _9 a( |3 t3 d! q; M
1 X0 a/ ~! v' Q0 r/ y
. D- ~/ K& ?; A4 ]3 g& K1 f大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。0 P" @1 M9 n/ k& h5 L
* @$ ?6 B- g" P/ d* u" I/ i
; i" M8 L) G, N9 M& W( |6 T
3 g8 S- E5 T0 s. }% }3 G1 f异常检测过程 图 | 百度
4 G. i$ O. K/ ?
+ S( ^9 h& x6 v1 I
6 x* o; I9 \5 C5 s3 v: Y5 X9 G4 p5 Y# B: h) n& `' h h8 P$ M! r
小白:那误用检测呢?
3 s2 T6 Y/ D% o2 ?/ i! E6 y3 l
/ e0 B1 ]/ p3 B( W2 p0 ~5 L8 S; W( \# l' t" z" B
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。8 n# N3 R+ }% `* P5 D5 x
, S& K; x' \5 s: _
0 S0 X, T. T- A2 a! W
/ R; n$ d* U: y5 Z
误用检测过程 图 | 百度
+ D1 e: r0 d: M l0 @
) U, z% {/ v9 M+ _0 c' R0 i
4 A4 f0 S A& f6 t Z. j8 u; N小白:那这个入侵检测系统岂不是“百毒不侵”了?
( _2 `0 m6 y" F* \. f7 @! X+ t0 Q% u0 |- o; I
( E# M; {9 V! r: @0 z- ^6 z大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
' Z; l% v) `' @3 {: w- ~$ ~8 A {2 L( T
* H% I# O+ k: A/ J5 S
四、小白内心说2 k4 e- ^4 _2 Q* k9 N1 E
( s3 R3 N \. m$ B9 x. E1 n& Q4 k
5 J" C" K4 f8 b6 |" {* K8 z大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。+ T) \' l7 w( f8 o; v9 l
, e- G! T- t7 k5 E1 r) \* T% |' [; g8 h; l2 [3 q a7 U0 r8 |- x
小白:东哥,那我们到底该如何防范啊?
% @- m/ `+ }1 S% z* {' ?: N5 y: ~. |
. J+ h x: q1 v. y) i4 z8 D
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。; m2 A3 S% h; A7 H) W. B8 k2 ^$ x
, e' J, r2 U; h
" s1 h4 F+ ?3 F3 {0 Z y
小白:哪4个原因呢?
' [. B! `* W+ ~ Y
6 P% B3 l$ c4 s7 a- ]6 b* [$ o/ @6 M p9 U
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。5 {: M% j7 S/ ^8 c8 m
0 p" k: J2 S. l2 ]: G
8 L7 D! H0 F- o- j小白:东哥,我又长知识啦! $ y8 M4 Z6 v& ]0 h+ _) E
# N4 j5 G0 `5 S+ S7 h0 p
) S9 [) O1 z* G9 U大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。8 d) k1 m; N8 R9 v
/ {# E7 J8 B2 s- x: A9 [7 t
6 g" W5 H9 o8 J% c小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。, W( [* v& E( d, N2 R
9 W; o6 j% W. e8 d. a! F1 m1 E/ `4 b' g) }6 {0 e6 d/ I. ~& x
+ ?+ U: q2 F3 c5 Q% [5 ~# M
5 ^: A7 o1 c z# U0 y2 e, A1 g来源:中国科学院计算技术研究所5 b7 Q% [% S5 G% W
6 e/ o( s* q; T4 w1 P! H4 D& k, n9 Z- E* ?
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
& L3 e8 ?0 d/ {) n* ?, j5 j
+ ?, q4 a+ w: H
- \9 l" E5 O7 I1 z4 a9 F" J! Z8 |
2 x( G" T% T# N4 k+ l1 J
 , J0 E( U1 p9 I* A% A' K7 v( ^8 D
& b$ _% r4 d& i来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1; x2 S( _* F9 E* G( R
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
