一、谶曰
/ t! S+ M) M* D6 F( A
) p& b" q% o* m& H; b# D2 s' p/ W" I$ [ 7 e0 r& D! O9 a+ w
大东:小白,你有没有听说过骗局大师啊?& N3 O* B4 G: F
% Q. u# k6 a8 Z: O6 Z
7 W3 g w( ?0 [; A; f
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
( Q* k. E5 L1 S9 `7 |# E7 {1 x. t; `. J. a- b- A
! a# z% q8 k% d3 \& x- G2 G) F
大东:哎,我指的是1993年有名的那个骗局大师啦!
5 o0 S$ G& K. |
4 G' W8 D9 F/ D, F9 Y% z9 g
6 s& _0 q9 w' |& I z
3 k/ S8 B9 S: W: x- u* P$ w' z$ X1 g , c/ f/ l0 P9 E* [: C
小白:93年的骗局大师?没听说过啊!
. ?0 O3 [3 k' B' b6 Y/ |- }% w5 E/ \
# G# y' o$ a. w4 }5 D( j) Y( s
大东:那可是被媒体评为10大黑客事件之一的主人公啊!, |# Q; S% o0 h$ Q
$ ^& s! E( \9 x
8 g1 g- I. ^) K* R! b" ]小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
) S, S( B& H" p+ V% N. C" t( T, _# l5 f7 I: Q$ B% r% L! `; M
0 M8 b2 V2 q$ | f1 t
二、话说事件6 e9 ?. i9 g* b- g; H' @/ B
3 o7 E+ S6 P; ]. p6 Q5 S9 f! j; q( w
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。; _$ j/ I' v* P- ~
9 M9 Z5 j9 d8 w+ W$ N' _6 U5 k" B' ]0 e8 l8 Z
小白:入侵检测系统?东哥,这个系统我有点陌生。0 x* D0 }: ]0 s$ | L! K/ Z0 Q7 o
5 b! e$ t- l1 K& G9 P* `
7 d! a8 B6 u) _8 Z) J/ r
大东:哎,你对什么都陌生!9 V1 H+ j, ^8 Q2 J5 V
6 m+ G; r1 h5 i/ t+ i
) h/ n6 B- k8 R, H2 g3 K小白:东哥,你又揭我老底了!
; d, p6 q) V! A+ R' C1 p
# L4 `! {6 K9 l* y8 T9 K# J& X# D# {9 R! Q- a! F
B8 y! X0 }7 X+ j5 r: q% Q6 R4 H& {" P
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
8 X0 g$ s7 h S
! r3 l* i" Z. |7 U% Y$ w& a& S6 H2 g% @
小白:那它与普通的网络安全防御技术有什么区别吗?
- {0 E: B8 H/ _% {- y0 U% c3 R3 u* l$ h
! H6 P2 v4 A- s% V) s4 j l r
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。8 x. W2 J# r6 d2 P/ m4 G' K
" O# f# n1 T' l0 z7 x
. ]- I, D7 c4 s# p
小白:入侵检测系统具体有哪些功能呢?
5 d n, e0 }* O9 r% i0 q: B) y2 O4 Y- ~( h+ I6 I2 B% [! l
4 {. S' @0 ~* W1 @7 ~* d8 _
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。4 k2 C+ v2 Z1 b T6 e) t0 p
' Y2 e$ H# Y& N7 X
C I: {9 a2 w+ T B- }! h% J三、大话始末
6 m& h% Q6 ?6 Z; g1 e9 l7 }8 V. ~
% L+ e5 l6 X8 @; @ g! q5 \小白:东哥,我还是不太懂……+ @3 M$ A0 G. Q, s# p, r2 E
' m& ^6 r' l' V& s" [! V( v( q0 M, S& L+ B$ d2 a
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
* x) n8 a$ r, ~, e; B& M# q3 e8 K/ a$ E* a! Y$ F6 X" c
# a- u G, ^' T9 e小白:那入侵检测系统岂不是有许多种?1 k( b' Z$ i q3 F- u( N% M
$ W% [- @+ S( W0 `- ^5 @. M D# ~% j K+ |
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
2 o9 N1 t; X G6 [. V# h/ R( K) }# i" E, K2 w. @: Q; U* k$ {- d
5 r% b$ ^: e- i+ F# s: c" }5 f: `* \$ X9 f) _
异常检测过程 图 | 百度3 C2 ]6 x7 }/ w: l- y
& }. I: {* d% k% Q9 @$ A4 v7 ]' V' n
6 X p8 m/ O! @1 O* b. @0 l
小白:那误用检测呢?
; r9 c; d) D! T* P" I. F* I/ l, L; ~$ _/ o6 F, H+ W: _
, h# q& h& _6 O& ?/ ?: w
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。8 F6 X, |7 K- v& Z8 F$ w
) `% j* t$ A. |4 @+ x! g, e# I
; j( U! N& A9 v! u1 ?# H( L
% r7 \9 b) l' s O5 F* f, |
误用检测过程 图 | 百度
& k5 m. x/ w( J" }/ n" Z" z* i3 V6 M* I* |1 E2 P. E( k0 p! C! B
3 i+ J' R i% L" d/ n# s, M) K8 O
小白:那这个入侵检测系统岂不是“百毒不侵”了?) `' a; V: I2 m1 |: L
3 R% }- \6 R2 n9 E5 y
. n; b1 \' m0 y% w p
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
% [6 w0 L) b: Z& S- @' M* n* c# _+ D! }4 w$ P4 D
0 B% U7 p7 F V0 j! U
四、小白内心说
\, n [/ [% d: h# `) P3 d/ j$ B2 O/ |) ~5 d# ^/ j5 M
: }+ o& M4 }; y% |
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。2 A5 ?( K: ?3 n$ F, e! m
% V/ h# M6 Q: r8 t( L& O5 H
1 ~5 n3 I3 L3 i; ~, f- f小白:东哥,那我们到底该如何防范啊? - a+ p: D# s" G6 ]3 c, s( m) H' F$ J
' _! L3 r; M' n0 n% w6 l
3 l* c5 V& O3 Z" G4 M5 v
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
6 ^) f' b6 m! x8 s% K h% i& G. y# p7 o
( A I4 b3 i! @* Z( P) F
小白:哪4个原因呢?* f$ T$ V8 ~9 ~, x- Y; [8 _8 e
/ I) m. F& X5 M$ o6 H5 J
* \* Z8 ?8 v3 u- r4 ~8 E& J, a Q: j1 a
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。7 F. z- R0 f/ `5 ?4 X
) v& `; F) L' h5 w" r- [/ R
8 A; Q8 T/ S2 w2 L小白:东哥,我又长知识啦!
( J$ g0 W. }# H) Z* q# t9 }
% F% H. j+ Z7 i. f: u7 W p. \8 r: M6 h
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。5 z8 s* f8 C- i2 Y n9 y% \
4 h @. N k+ Y2 y3 E6 K) Y" }9 P
8 u- N, D- ^; G/ W
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
( J7 ~8 c8 u' y2 D! }. U. P( x. O1 g8 I3 o
f8 o; \4 q$ |1 K8 _ H4 e6 @
* [$ Q* y, N7 ]% V
$ p* M; t7 a# h9 \. x来源:中国科学院计算技术研究所7 \2 e0 @6 w8 g: @7 w5 W, E
) ^$ \: d, J. ?& S
9 g1 ~ g7 m$ U" W9 E, K
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
1 W9 s5 s' J/ N/ F/ L- _8 }! N( f/ m5 V& P1 E. J; J
( W: A) |! T/ H
2 k# p' o& b! i+ s9 x2 T
! U" c2 U* q6 F4 x5 |
7 y N. S* X, S( p5 f2 @& }
$ b) J/ i. e7 z7 f8 R0 V; r- n来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
6 S6 D! [, i& i9 x- q/ z; y免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |