|
|
一、谶曰* |. K4 v1 Z5 G1 `8 M$ |3 B/ u0 K& ~
2 k+ O- a8 u5 B% j6 L7 N8 O- b
6 z& W0 p; j1 y$ Z7 }* G
大东:小白,你有没有听说过骗局大师啊?* L& F' S) R3 v) P# i! T1 i) x
7 J' R4 j2 S5 e Z5 Y: i
" |' V( g4 p. h5 K( _% e; y
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?6 r0 ?1 \ N* R
' j5 @% @. H1 V) \! O: X" q
5 g7 S% k( C3 ^# Z! @大东:哎,我指的是1993年有名的那个骗局大师啦!4 q- _- o: ~8 y% t
5 I$ O6 w7 b8 m. F0 p# N
! T6 J- t8 z. @( Q; S3 p ]
$ Q' r( Z. k: J: B- v
; ?9 _- o) u" t9 T
小白:93年的骗局大师?没听说过啊!
+ K' W6 t5 o. `$ W& d1 l- l& S7 q
- a r2 b% N) t0 D. A& y
大东:那可是被媒体评为10大黑客事件之一的主人公啊!* T; \# w- X8 c
/ n# `% g/ P( G
8 s5 [. ~+ L( j! g小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
+ x& h6 ?; ^% J4 B. G
6 Y! t( x4 T+ g( q- Z& ?" O
! U" l; O6 q4 q二、话说事件
$ C/ i. C/ x; j- G$ w' T9 H/ v/ C; c% Q! r3 ~
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。' S6 `0 K' A/ y0 m0 |, }8 g
4 c/ R: r0 B" h6 |6 L" ~/ E7 l( N- K+ _9 U
小白:入侵检测系统?东哥,这个系统我有点陌生。
% n$ U$ }8 |& E6 {5 S0 s' l
4 q0 r% {. Y3 o* H0 E0 d+ _
% I3 x! _% s: T3 V+ Z大东:哎,你对什么都陌生!: E# ~* M& h( J4 t i! F. j( B' g
& P" L3 M% |' W$ G* r& @) x; }7 n( K& c0 T$ Q) y0 \& N+ N
小白:东哥,你又揭我老底了!) i x& h" R. {
$ ~5 a' j. e# u. p3 }+ k" t
; J0 B8 n+ b6 }- G& R: P% T
# g9 Z; ^1 k: Q, ^7 c
4 ~3 H. Q0 I+ R N; P: _* B大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
3 {& L1 E# Y/ @2 e5 u6 N% Q& F( K0 [& j8 T1 M
* A4 _8 p' z$ r( N3 L& ?! t0 X9 w
小白:那它与普通的网络安全防御技术有什么区别吗?& I; M8 Q! B \4 S$ ~
* q0 y3 U" W1 l7 W! ]% L; _8 m$ `
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。: c6 `/ f8 ^+ |7 e6 i
- R' h O- ?+ k; b
1 `9 [" Q" f3 |2 e7 P; E# s' l小白:入侵检测系统具体有哪些功能呢?( q; S& ^ `3 \- J# d& {0 k' A
: O; x% u5 g) s: F5 Z( p
9 \& d% M$ _4 R/ M b4 ?- g) ~
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
7 @# i' k/ c; `" o4 D1 k6 `4 h3 x& q# F: k
% J2 ]! C) L0 s# N# R8 T& E三、大话始末
2 J- [; F6 h$ X/ I! ^- [- ?7 I: z% W
) [* [2 o# c; Q7 Z% Z2 c
, a6 x2 E" d5 \/ y: U! U1 b小白:东哥,我还是不太懂……1 ~% E4 x9 M- }0 _: w
9 }+ u' ?* ?4 v( }7 \7 A: T |
5 |+ U: d2 g: D6 I$ k0 T) y大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。/ D% e) T' {5 s" J
9 j& [5 K& D) p. ~4 k% `$ r
; f" ?+ F( [! w小白:那入侵检测系统岂不是有许多种?; w$ i$ M4 E" \7 L
! E9 P# i' ?( l* ~& M5 Z6 `: H) O0 a, s. u
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。7 m/ O% z6 A& W! I( I% ]
0 r+ p1 v9 f, p4 [) c9 a7 ?$ [# l
: Q' `# o. O+ ]: @! [- |; Q
/ A- g4 Y0 O2 G: w5 F8 N1 V异常检测过程 图 | 百度
4 Z6 v3 Q2 y' G% l" Q , s8 v5 I$ f1 K! K: P/ S
5 E! t5 K" b5 d! ~9 B9 R$ O! `4 W# |" R5 f% u% c
小白:那误用检测呢?
7 T) @+ x% r" v& g- T) s9 N
" M5 |( _5 s4 o
7 {9 `# T4 T# A. |大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
+ w& B; Z4 Z" T
5 k$ \# n0 l+ u& \) g
6 A+ J, C! E" Y2 a$ E" x' \- k2 u
误用检测过程 图 | 百度 " x( [5 @. Q/ N8 `+ I
3 `8 Y0 e# l! R3 r7 o+ j! e; `) g* L$ Y, {6 z3 f% w2 |; t
小白:那这个入侵检测系统岂不是“百毒不侵”了?* [" U1 B( Z4 G* I* ^
" ~" h% Q* e# W) A
. f& F' E% B, ~" i* s大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
! O" f& d, A0 v4 C6 q8 g7 d
: E) @4 @4 A3 t5 [
, o# H1 I$ q% a7 X7 K四、小白内心说
) y" R) [4 I) p' m/ v# Y2 m7 J% X2 R, Z, L; j
5 B+ G% k/ }* O/ @! `/ u* f大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
" J0 K9 p/ o6 C# p2 c+ h7 ^1 y' \8 v( p; j& D8 {, c: x
- E# n' ~4 R- H. p% h+ M- `
小白:东哥,那我们到底该如何防范啊? . @- N/ C: X9 F
$ v$ [* j$ k4 P9 ^7 z/ p, s
, [# w1 {6 n3 i9 \. B% l
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
: K5 u U4 X4 r8 P7 e3 q6 Z3 T+ t6 ^( ], i
, o, J# z3 O. \. @9 g3 Q! N7 p$ X小白:哪4个原因呢?
- O8 x3 E; A7 Y; S6 s+ R# ?/ w+ L; \2 {6 U, b' ]
) s& B0 B0 n% q3 ~: F; o2 K* b大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。' Z* C( q+ i2 D7 W) f& c' Z9 t
' u% d0 W% K. z6 q) ]% K4 Y- D4 m n; e
小白:东哥,我又长知识啦!
A$ v. G1 m" L* I B
1 q2 }- C( d( ^& Z2 B; G% r# r+ [4 Y7 ^
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
, p& t& j" @- I" W- D6 @; {. j8 Y5 T* `' n+ [- P
) ^" s" Q; q& y7 \/ |# ^) H+ Y0 U n( p
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
6 i: |0 O' K, R4 r
3 k: E1 ?/ r7 ~4 j6 l0 v9 Q' ]8 E8 O0 w& R2 G7 W/ @
2 j' |. K" n: c, G$ y! _' b
: ]% A5 v5 c, D# V+ [! a0 v* J来源:中国科学院计算技术研究所3 T4 p# T% q( l/ Q& i G
- G' O" F2 [' t! `* b
% u; e; M$ e1 N! F
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」; n! T; P6 _( S5 Y. } s4 ^
u* g, ~% y$ l5 x7 l
4 `. i; r% N/ Z/ ^& K2 _* k
6 m8 n' G+ q; H( @8 J5 H" |2 H
) _ j* Y8 M$ B& e V8 ^ $ I' X% Q2 F5 I9 @
2 X/ ?. o9 a7 c7 K
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
8 ?. V) Y, C: Y5 T" O$ X免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
