一、谶曰
0 F; S1 G' c/ X8 z' c; }6 i5 r% R$ j4 f
3 X: `, D2 A* f$ h) t. e( V大东:小白,你有没有听说过骗局大师啊?
& u2 \9 ?, a8 V0 V! v6 ]
' v: `- E; I- R) E; W4 J+ o- k
; ?) X7 ]5 V U. c' A6 B7 E4 O小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
|7 c" Z" g: w$ A6 e7 G$ y
) T7 [3 T# _; f/ k0 M8 G
# O6 G5 |% K3 [' j# }6 C大东:哎,我指的是1993年有名的那个骗局大师啦!
: T0 J' f/ {6 w: p# {
# p1 x+ {+ ?; H) K. m4 ? p' |" V" ~' [4 M5 v
! Q/ j2 t7 ^1 t' B/ M3 B' |0 y# K3 {
! ]2 `0 c" { U% s$ ]. k- ~9 b' }" q
小白:93年的骗局大师?没听说过啊!
( J4 t4 `7 s: M6 x) p9 p& q* r& q* B7 f" x
3 m% n6 j/ ]. t3 Y" B t( L I
大东:那可是被媒体评为10大黑客事件之一的主人公啊!) a1 F- n# ^% z. i: z
) ?( Q9 H! ^5 l3 T: g3 R; S. p6 X" ~6 E0 |
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!$ g! a1 O) X4 C$ o% M6 v2 U
" l% K0 J9 u' l2 `2 ?8 X }! [& D& m* E
二、话说事件$ p8 b3 q1 F) o! T6 g
) g) B! @; _( V6 F) L7 M
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
) W8 H& n3 |$ e/ U: b
4 z9 o) T- l# l# K i6 i
! v) g( R- L$ g' d% l2 o( Q小白:入侵检测系统?东哥,这个系统我有点陌生。, v6 P# Y7 w% l$ r% ?
& @9 u2 D, N. F$ x1 |* ^+ M( I9 i
# S7 f$ S% x4 O1 H. A大东:哎,你对什么都陌生!
7 g, s: d* R, V4 c
- ]2 o% h+ c1 G
1 C) ]( Q0 `; T7 K! x s$ y# Y2 J小白:东哥,你又揭我老底了!
8 c* G0 R% D8 J
! F; h" S- @, |& Q; g
4 ~* f: p& l3 P/ H* s8 U
8 Q- Y* O8 f9 S1 E+ W& L% G1 g' I! l" o# |7 n6 \/ F
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
m: n. n, R C' v7 E$ t% B* ^: z- [9 b5 v. [
! ~4 n- y) z* ? F! O6 R
小白:那它与普通的网络安全防御技术有什么区别吗?8 P7 u- g$ d6 V/ ]6 p
$ C, z6 @! M, ?$ X& h, X+ z3 p, |; f! n' u1 v1 y& s4 }
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
) b6 G# L2 Y3 y \4 y8 V4 N7 j; N5 y
. k3 O* \8 X. h, C# w2 m- `小白:入侵检测系统具体有哪些功能呢?
1 @5 D5 [7 a* e ^0 y7 F
6 \7 d3 R# d0 A5 V
5 S, ?: i/ g8 W' Z$ E$ u大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。* R" c9 ]( \7 a r" H
1 _6 `- r" d& V- p
6 n7 j3 ]3 Q" v8 ^三、大话始末
) q) D& |- ^0 f8 m
+ x0 `( Y0 P0 l$ l) `& m& W3 k
2 X3 x* n" n9 G6 V- e4 z. ^小白:东哥,我还是不太懂……
0 R; E8 ^; U' k( W/ u2 j$ X4 ^! [' i- w7 v: \$ C4 `
/ z( w) e; X3 N6 U9 d* [
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。1 v# M( K, i, h7 N# p1 Y
3 E; H/ o& ^: K& L$ w7 \/ o
( t/ [: F$ `6 F* _% t
小白:那入侵检测系统岂不是有许多种?
7 ~. v/ ~5 F. w% z3 w+ e% Y: i- F) F9 }8 d: P; f
w9 A2 {6 C+ m8 v2 {1 y ]; `" \* ]
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
5 i/ X7 j' k( x
9 p) g$ ?( u7 l# u0 E! D* r! Z3 }7 `. M+ o% r0 |) V
p9 ~, S- f0 m8 R
异常检测过程 图 | 百度7 \; ]! ?! R/ e: C( L
; Y" @: t( U" J: O0 \3 R. i
) {- W, v8 X( [3 v
$ o# }- ?; Q! C9 c1 `" \小白:那误用检测呢?' a( G6 E3 Y5 l; C
7 U4 z/ U" }# O# x5 s
3 S$ A' L% ]0 B' `& k大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。. O( \1 G8 p7 [( N1 m+ O
]! c$ p6 P) s; n* ~3 [, a9 ~
~9 I# s# l0 g& m7 m; T9 U
7 T& ^- Y: ~* |& y
误用检测过程 图 | 百度 0 x; o" [0 n: {
; N" I p4 d) m- B, O7 U
9 N3 ^/ B1 d! ~4 _* A4 W- O0 c" M小白:那这个入侵检测系统岂不是“百毒不侵”了?
) r. [$ m) h0 s+ U$ Y( E
( C! V' K$ A- S+ W( \0 R1 j7 e8 ?+ a4 O& `- I5 Y
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。# q- Y; Y [" i+ J! c0 q
_2 F. t" f: f' q1 o+ h- R
3 v& X7 d# \% R2 _1 f8 W C0 @, ~四、小白内心说
& B5 D8 Y- j. v N2 v/ }: r! u& ]0 w5 E& i* g# i3 e0 w/ [
- Y; R; x |4 t Q. u5 o0 S7 k大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
3 w* }2 g( [8 d0 |$ v& r2 o# z* D, k* J: C. d& z* i/ c8 x
& U6 j- H* J! q$ f# A
小白:东哥,那我们到底该如何防范啊? ! `0 S5 R8 q: Q) O
0 P! H# h/ ~; r5 |0 }/ Y8 {# t8 e% k' C9 s: }* h
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。' U* s9 o9 s! i; m" I/ ^% m; G
4 y' o: `; w. A9 l1 S) C& B
+ ~4 d! l: H, f" k0 K0 m7 U4 r' ^- g$ u* {
小白:哪4个原因呢?
t; T! n- ?! H& D9 d4 @
7 l* h# @& Y% j1 Z1 H' H% e) I v1 j( s1 u, I6 @# H
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。0 z3 i3 ^' G n* w: M f! z6 U
& t" Z# q8 s( ~% K( R
! I& g# C' q4 a& `/ ]9 F1 b3 f
小白:东哥,我又长知识啦! # c& P& r/ b5 Z* r. B3 j7 K- X
: t; ?7 D) Z# ^. z4 U
$ w. Z, f. U& ~4 P- _: Q
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。+ P+ \4 b: I0 k, q+ `, R7 S2 B
) g2 b! s- k p2 l* K( ?
( m5 X! |1 }. k1 {9 x4 \" f6 ]
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
1 _) ?: x' ?0 j a& G9 ]9 }
) y! h+ y7 n7 ^" K1 e, |1 A3 O D4 x1 D
/ l# x3 t# _; o
5 ^! l3 w- |* C `0 q, i
来源:中国科学院计算技术研究所
! _% ^& ?& I! {
: g! R! m- C5 R& t8 M4 R# q7 _& V; A/ s( d- l" W
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
) A) \2 D2 S1 r& b$ k4 g0 {* J+ y' \9 G3 n
* }( C7 a( @! Y% T
7 u; M9 R. T1 A1 U9 K# q8 o
, K/ O6 v( l! {8 A) z J, `; v6 @7 l 8 a. A) M6 e$ ^( l& U. U
8 e- X. M$ O7 l8 C2 G
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1$ f6 W$ G) f! O* L2 c7 q
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
