一、谶曰
. Y0 A. E1 i' J3 ]+ p+ d
9 A' `: ]* T. l; ]/ D9 e
; v* E$ \9 k, e+ P大东:小白,你有没有听说过骗局大师啊?
1 T5 a# C) ]% Z- x9 y. }
$ r2 q: G, G; q5 p8 A: n: u8 s! d$ }+ a; m3 F6 Q
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?1 ?1 |' b/ x4 g; |6 O
2 E, h& M( e" M5 v8 Q- [- ?
$ I s/ z0 r1 S, G
大东:哎,我指的是1993年有名的那个骗局大师啦!
# K' E$ W7 j: y B- F3 [1 f! Q 9 T1 K, }% `7 d* {
# R9 C1 G6 n1 u/ B% `! u& J' V$ i9 J, z" h! H+ E( d
9 B2 a, H, U% }$ B小白:93年的骗局大师?没听说过啊!0 J3 _: H: }$ r; S9 m* W' \
1 K8 m, u, I7 J2 S- B6 d3 Y9 g, k, v, E' i3 W
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
7 a+ Q1 B' u% u: P: G0 x
4 G- M8 s& E; i+ n6 O& N- V" I$ |$ ~+ ]8 l/ S- c5 \/ k/ j" o
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
, h5 B6 r+ M& Z1 w' K4 N2 y1 f0 C9 \1 D5 E. F) q
" ^* J1 f6 \; u e二、话说事件
0 ]3 S; Q. o8 W6 C; j$ O" \. w7 P4 q! |/ V* n( p0 A
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
Q4 K* ~1 I9 ~4 ]) j! w# @( z9 E* z+ `" S& W2 w& E7 r
- l' R% o1 `, @小白:入侵检测系统?东哥,这个系统我有点陌生。
! f7 z* m. v; ?: O4 q4 h* d$ V6 X6 b6 H& A4 v) G+ F
* Y9 y. k4 a& Y j: e
大东:哎,你对什么都陌生!: v( e9 }. h9 `- E8 t0 m- h
- g8 A) M6 g7 F- j, \& C/ n6 S* h! k8 @" l* s
小白:东哥,你又揭我老底了!
4 k$ X$ V% u) K! m) E
4 }& \2 A* F B0 B
6 p3 V, \' _+ D% [8 {! ~: Y6 Z6 s( {! U2 `9 l6 u
3 T, C; m7 c3 e# t1 `+ t9 o大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
F+ r0 `) u: a. _5 H) G, U3 o# f1 n+ k5 g1 y
8 F [( ~; D; y! u; {7 [# I小白:那它与普通的网络安全防御技术有什么区别吗?
0 P8 y# y- U& D
- r6 ? K: G, N9 D m0 ^% C" e T; Y' o" Y) C
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。3 a# C5 k0 Z8 F. c3 Y5 Q
9 U* ~# o( f0 W5 c Z
# t; x* Y: C7 J" P) ?. x I) ~
小白:入侵检测系统具体有哪些功能呢?/ ]9 }+ J5 J9 Y# A
1 x+ N; O% g2 ?2 [
/ c1 e! Y# n w3 ~2 b* h! M大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。6 C9 O: M: Z7 C/ N3 a# g/ q9 o; r( o
$ @5 i: ]1 X) h/ e4 b. U, B
) R! t0 g) j1 \0 Q0 m1 O7 s1 `: W三、大话始末
% w6 q c# D0 F( z9 s4 l& b \6 P5 g( k1 O' l" ]
d8 ], Q# \: `5 Y! r
小白:东哥,我还是不太懂……
3 h* x+ _$ J. s* n3 H( ^0 J6 z5 N1 B4 j6 H
. \7 ?: K! x/ E8 S% u8 V
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。* f7 _* N- J" P% R, k2 j
3 e9 M; W. ~4 b% R
7 ^* ]5 H- K: r; }2 D" M小白:那入侵检测系统岂不是有许多种?" w4 ?- Y- S x1 ?
. n8 }0 G; e3 d$ G. f* ^$ H/ E. c l+ ]3 v @
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
1 u( B) u; e" i. g# I( {
% S' |3 \: Z' I( w
; |; h. e$ y0 X t7 C% ?, c; p6 J
) R5 I7 d ?/ q; f异常检测过程 图 | 百度7 _+ F# Y' o1 ^! N
( A' o: i4 w6 p3 Z) q: w
j% u! a8 j9 S9 J
* S3 z! ]5 o6 {% w+ E1 B小白:那误用检测呢?
0 J8 g3 x# G( \3 a9 q! f: N" P4 l% `- ?# d/ f9 g8 s
( h- `$ Q' n. F& D5 [5 v. L
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
- C7 p+ u# l3 `+ U- m' ^! M# {, j
3 f5 W& x! P# W& \1 g; Z
. N# D3 I _4 B: {% `7 O
7 T w/ ^" Q$ P) m g误用检测过程 图 | 百度
; Z9 r& B w* i; a+ L5 R6 b5 |' c. j3 @) @7 [+ j, N2 C
( E8 k& C1 @1 g- _( k
小白:那这个入侵检测系统岂不是“百毒不侵”了?
8 @- M, U/ m+ T: x6 ~
$ X8 F" O; z; W9 W6 i0 J
/ ~3 G# r" N' }% V+ N& e: I3 ?1 d大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
4 x8 ~3 q) t ^# _& g) E4 y q( C2 a7 t5 G. G9 ~) w: F- A
& ] B3 V& H7 s' m* k3 o! N4 P
四、小白内心说/ n- M( e+ A6 z6 ?+ Y! A
7 {( h+ j) Q' j' ~5 q+ n) r" D( m' o9 E9 Q1 u
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。& U# [5 A. y, n. E9 E1 D
1 ^9 h" z. r: p! { \% K) e1 U3 z
6 E4 X5 ?. s9 r0 K
小白:东哥,那我们到底该如何防范啊? 5 h' z3 o9 {6 |4 \( a
5 y5 _" R) I" A" J7 p: J
& w7 C9 I8 d/ y大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
& j$ G+ ]/ q, w; L
3 |& n( f) k, [5 r1 u8 Y, }5 k3 v# W7 N+ X& L' d9 n
小白:哪4个原因呢?1 F& G, T9 U2 H: }0 t
6 e4 ~% D- H" P
/ Q1 _+ M8 F+ c$ {6 R5 t
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
4 o0 Z6 n) j, D( I" t* l, T/ n; A- g% r% {! o1 a2 U" o
7 i9 Y' G, T4 m* B$ ]
小白:东哥,我又长知识啦! + M" [" r0 W6 Z4 c
8 G- {- v5 F+ N& j; p4 H6 C$ P( m
- k& |6 ^; X- p. g( _; f大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。8 b& E0 ^9 j1 O# r1 m
" ~% u- X" c/ t( ?0 s9 o$ u3 R$ c l
3 x, }' e6 X5 I0 q5 S0 O9 M$ S小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
: N: M# @% `4 y0 ~5 p( o+ e$ J( a
7 z# I, M, Q# l3 [+ M
& L- |* j9 Q8 N6 x" m/ H1 ^
1 \, ?& D# l) }; S/ h
( D, ?$ ~- O0 d! z: P来源:中国科学院计算技术研究所
& ^4 L! l. z! ~6 T5 X
, W! @2 F8 q! [" [4 J3 I- j3 f" ^) c! t; {3 M
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」! X6 i! v6 D( Y/ t. ?& K T0 m) E
3 X* `, x+ v0 v4 X( R
f0 g1 J( m: U: C/ Y- A8 k# f. v5 j0 ~! q; Y1 a
- y \8 s* p* p+ u
+ E2 F1 [7 X9 [/ g6 K* T! \# r" V( M! e" ~9 H5 ]$ g) X
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
1 K* Z0 x* _1 z/ K% V免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
