|
|
一、谶曰
! \: W+ G/ p- b- M! t+ p9 `
0 e& i6 j6 J) i4 ? , [+ E7 Y. `! y. C' x7 R ~- i+ }
大东:小白,你有没有听说过骗局大师啊?( Z t b) |/ E( |: q+ `- }
9 ~ ~5 s6 k& q
/ F: p- `7 }) D0 E3 @7 z小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
E+ M: X" _2 Z$ J$ M! @6 _( b/ g# ?* |
, i4 ^4 ]% J2 o7 X" m大东:哎,我指的是1993年有名的那个骗局大师啦!
. I2 o( b/ b) q5 e, h
8 C' I- S: D- J+ o5 d! O" W2 M7 E" [
1 v! p6 ~+ B: }' D
8 J3 C8 a* j6 ^5 p0 ^
; D5 N6 v; T% Y* B, `/ Y( \+ A1 w小白:93年的骗局大师?没听说过啊!
# ^- b! y0 G) {4 Y* M4 O) Y6 t' r \" W- S; Y& Y5 `( Z& L9 z* h
/ P2 H4 x! u# T) }4 k9 `
大东:那可是被媒体评为10大黑客事件之一的主人公啊! K$ z( V/ p: Q. L/ }
k1 y2 C( S7 _* V1 R& ?; [0 x8 S% H
+ ]2 X1 E, W6 O* p2 {1 e
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!2 U# W; g4 L: K
0 a1 l* p( |* z5 q( J+ R1 g9 i
1 o1 I9 C- a% J- |* N2 m; [3 f二、话说事件2 |0 `" w7 f/ e) J
( q. h- N2 @# h D* `, }- {
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
E% ]; B4 ^$ Q' R2 n
; O; W0 k* [0 o4 V* A4 C2 M2 M+ m* [! @8 i! H5 {% x, @
小白:入侵检测系统?东哥,这个系统我有点陌生。5 H; p' y6 n3 k5 H% } K
) g q4 }% [6 l; h5 _- {: \+ I8 }" f' j
大东:哎,你对什么都陌生!
. N% b* P0 Q2 e% r' Q5 n
8 R* w& z4 s& i7 X# F# |. ~# o( F7 V! W Z
小白:东哥,你又揭我老底了!
; X8 j) ]( K9 V* k1 l1 f6 z$ h
7 i1 h; |- |1 x4 e# B- @2 x) M5 K# k$ d* }8 {! V" y- x
5 P4 n+ c* r& x$ q. A0 I8 n+ _& q% ?/ e3 t* d
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
0 d0 X/ w* P6 ^; e0 s# ]3 n4 s" }
' I6 c) s" ^% ]3 e o2 e' m
( R2 y% j6 l9 [) B( S$ c4 z6 ~小白:那它与普通的网络安全防御技术有什么区别吗?- s, N. w, h) b! Z
1 n" Q9 f8 A G4 c; r9 |
* @5 I. z& b: f2 Y1 ?8 o9 D6 R5 }大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
4 A. T1 N# v9 C, |. R2 T
" q3 L$ j' I4 e( j5 b
6 I& x" c- A8 u7 s小白:入侵检测系统具体有哪些功能呢?' z0 s8 Y5 @, |. E
9 M g2 v6 e6 y
3 ]3 L8 t8 Z& m- y+ M( V: u, y大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。! |# u5 W Z9 U. r
! G% {3 V) ~ g- Y
, ]/ O' K: w" u- e: `三、大话始末$ m3 O- m! G/ _5 q
4 n- U# }( }) N
4 K" ~0 F, ^' h* {# V小白:东哥,我还是不太懂……
7 N6 k1 y0 q. |( A' z! c5 [2 O5 i6 P- D/ |
; c7 s1 d6 d$ g3 L; X$ e大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
0 b. a( m8 e# x8 l& K
0 l. B! B6 ^& h5 K& N/ z3 K
9 ]8 ^1 B! f; Z' P* N" ?小白:那入侵检测系统岂不是有许多种?; S- g2 e6 r1 Z# A
9 n# m3 U" @% k& U9 z2 w
8 i* `; H% G2 }$ G! j大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
* h3 b2 B$ j0 t, w! h, o( A ?1 m4 s5 R) ^ o
* k8 H# v% B' A' B/ n( f$ p
8 f! n: D T3 \! \- B4 L异常检测过程 图 | 百度$ {" P5 t8 N* x) g4 I8 |
2 {, G. M1 L3 k% p) |" Z3 h7 Y3 U3 j) |% R# o
8 [- R3 d0 o+ Q0 j2 V
小白:那误用检测呢?
1 }& V5 n% t7 z( x9 m3 F
; n) x7 A8 L |* q8 u9 ?
" |, V Q, B4 v9 O) A& n大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。5 P K: Q' B' N
6 b( P& j4 U( m( E
8 J# w# w+ n3 c7 i; m) i
) [$ W; `9 E- d( Z误用检测过程 图 | 百度 : g' t8 o' x( _+ Q* W2 A
% {2 i; O5 V; t2 n) N% ^$ u! ?: W/ B+ B
小白:那这个入侵检测系统岂不是“百毒不侵”了?7 v v# \# N ]! I
7 x% g, P0 n- U1 J- h% ~
, R2 ^, V9 ^+ o5 [
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。 w$ j) p' n* X7 {. W7 B% s& q0 F% g7 W
$ z6 Y( m4 K' E) Y9 F
$ Z9 b# p% `. [/ [2 F四、小白内心说2 l* L9 v# c* k5 L% ~2 D
0 i5 T* b+ x1 K+ W5 I4 G3 w0 l& ^) {0 ?2 _0 A& e3 R
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
- @( O9 F. ], V9 C" S$ O7 S0 B! X7 }+ Z: I: v! Z2 O3 x
x, l# _* V- t( N2 U5 Q
小白:东哥,那我们到底该如何防范啊?
) ^( h7 }; D( w9 i
q6 d) R. K' T/ B& Q/ `6 k3 G' N$ M7 l* A( N6 g& {' d9 n
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。* h$ \. h4 ? W; _& x
1 F) [- C% C) q2 V9 [
4 t6 i E; ~8 R+ o3 m小白:哪4个原因呢?
; G" j( H2 v8 Z& m' q) J1 ^1 [
$ y$ Z6 Q" ^" O: N2 J( M- r2 f2 f7 _# J0 l4 I
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
. M: L, A8 n$ u( t5 `& O4 @7 w+ K4 o: `- s4 B! _9 w
3 ~- a2 o. e& d
小白:东哥,我又长知识啦! 9 V: _6 M& |7 i) |# V% P
8 p. W/ |# f5 r% t) g
9 q2 G% v/ P* n. |' J大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
& y0 Y0 X5 }; p! E. b4 s0 u# i4 q5 w1 T7 s; f( W
4 i0 x& n6 ]; {1 l3 t$ D
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
4 n, H1 i0 R3 N9 _6 D' G& m2 K1 H+ G# y0 E) w
0 c: e1 `9 m! Y, K: Y0 ~3 A& O
/ ]6 d4 g9 \) T
3 x$ ~& w/ I# M3 v3 [( M" C2 J
来源:中国科学院计算技术研究所
5 d( V. J' E( |/ i% }& A1 U: d, T% D9 m" E& Z& B0 ?0 C( B" e
, `3 Y c$ S4 c, l& c0 R4 G温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」8 b9 k# h+ W3 N0 n- n* r* ~
. V# k% b- Q R1 @5 N8 U3 Y/ p
9 T4 I% V. h7 K4 K0 r1 g% p6 P* y' O9 g6 T( S
0 {7 b5 f& t$ F! s# L. d / a' O5 }+ a- p
' o I }: f. `0 x0 [" w) l来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1; Z {9 W j& e6 @ S* u- ~% e
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
