|
|
一、谶曰* W$ U( c& d \1 M
3 I$ C7 D0 X1 Y6 A* s1 Z
/ P$ [/ s0 t+ R2 t大东:小白,你有没有听说过骗局大师啊?
$ j- z C1 f1 ]! W7 |" l0 c( }+ a3 W9 K. H
5 g9 x! q" }7 ]- a' B
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
7 l# b# v# D5 u, m( z
s- @+ k: P7 |
. D8 S0 S, A: N# U* q+ O/ J大东:哎,我指的是1993年有名的那个骗局大师啦!) \1 `# }8 c2 f" W: R( m' C
. e6 y2 ~# N" x8 @
. Q/ i4 g4 B5 T- B+ Q' u6 A0 T# W* O
1 ~3 K% p0 G# ~$ j0 j3 W+ l* u
小白:93年的骗局大师?没听说过啊!# g) @* j0 ~" u9 p2 @3 ^
% ~9 h g( s6 z) R/ J, e( j
) U1 x( V9 ]$ k0 W( N }* \
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
# t' L9 u N) P; Z4 G
$ r1 d1 x$ L) L2 P- X) u3 }7 L! ]4 D% V: x: k0 N# m
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
3 u+ p E1 Y$ R1 G' r/ ^
V& r) `" F3 T8 _% |0 P W% a& j! q* a2 X% l. H/ A4 w
二、话说事件
* x W) F( k' E r) k- @# _- b' ^6 g% w6 l* l
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。4 b3 y4 [- l- R8 Q, z
, H& o) T! X" v: S, \+ v5 L
) v6 a( [" y" P7 U/ j
小白:入侵检测系统?东哥,这个系统我有点陌生。. ], f- C2 g# Z
% }/ g) ? n( d' p
. k1 s5 Y) |7 f( H9 g9 L9 B4 J, W大东:哎,你对什么都陌生!" [) }$ v+ L' p: B6 [. _
5 V d0 @- U" W3 ^2 m. _1 V. z& _* q, l8 Y1 b
小白:东哥,你又揭我老底了!
: J6 V' @4 } L( p ! Q) e' d, j, z: n; l
$ g: K/ W# z' r' o) Q1 A# Y* U, h7 E% t
4 ?- @3 `1 h2 x# X& o
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。- [0 l1 `% N3 x( |, L% u
: L ` q% Y0 P; u! J0 I
# \$ [ O( L; z% X
小白:那它与普通的网络安全防御技术有什么区别吗?
7 d" m* F5 W$ m4 K/ p7 A! P
7 A$ l! T- k0 z; J: L
, ?& M+ l: y' U- P大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
8 M9 R, @' i. n% m9 \ r% w* ]4 x
4 n6 L8 {+ J" C+ [0 G小白:入侵检测系统具体有哪些功能呢?9 N0 p2 ?6 V/ q$ M1 B( j
9 m" v" r, S2 F7 e3 q+ ~
) i6 w2 C, p! a6 ?7 K/ s/ s大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
" E3 `+ j1 I" u3 M4 T! S, e k
- g. U4 Z8 d- I+ e' s8 U* |, L! @) @
三、大话始末% o5 ^- I5 h9 q+ ~4 W6 ~
- _( P; B+ ]8 U9 C# R: |& t
: v+ S0 O0 a$ F2 t2 P) X8 a
小白:东哥,我还是不太懂……9 q" G `; a7 l2 R l/ _) _" W6 l' d
* u; P* ]6 M1 l, ~9 [$ t# g
3 J9 s- ]/ @- h6 [& y% {; f
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。. b" S. L5 r, @( U8 s6 @. j" i
3 Z2 T9 [. Q4 M* e2 a0 y m( i
0 u. F' W k' v+ L小白:那入侵检测系统岂不是有许多种?
( s$ }9 K! N: p, g" Y- ]$ K# y* r4 r* H( ~; ?/ Q
8 P2 S; F% ]( s- F. }
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。9 L2 E. X- F/ P% m& L* Q
9 m. \7 o7 B* {! z5 m
$ Q0 x' w6 u4 b9 s& }
- v- g6 Q5 K p
异常检测过程 图 | 百度5 @3 u6 b1 k9 Z: z/ `
0 o% ?7 O9 N' n( o$ u6 c- d: [* x0 ?9 b2 i
, f! e" ^2 W7 w' j小白:那误用检测呢?
" y* o3 V: @$ H( H2 q9 M0 P& d. M0 X- l8 d0 C" ]% H4 }$ i
. d$ E' L4 _) S: x" l0 y8 K
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。/ W% U1 }& `4 N+ T) D0 I# H3 D
+ M) p/ J/ Q! H' q* s. V2 p: {, H
* u! w- t+ o( f. u/ }1 C5 n( p6 w7 {5 L& u, p2 G8 ~6 E" F
误用检测过程 图 | 百度
) K3 o3 D9 ?' C+ v1 ~* A
8 O3 m3 |( R t/ T# h- p5 f7 c$ B9 q8 }. N
小白:那这个入侵检测系统岂不是“百毒不侵”了?1 i, ^5 a9 M2 g
! U0 U- D4 N* U0 T4 P0 a- f& X' b- P8 |) X# Q3 o/ v6 a9 ^
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
" t" I) d5 H% m' V: Z. k
3 _% I6 h2 l S8 j8 ?' T( L3 L2 @1 b; g. ]( |4 ]
四、小白内心说
o8 N! ^6 h; b! A3 Y6 ~/ n
+ _( Z V' T7 T3 j+ Y* U% J4 \, |6 J( E" D
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。" {, `8 V0 Z/ R2 J
$ {/ u4 x' `1 X# ]; S
) r9 n$ v' j+ Q" A$ E, u小白:东哥,那我们到底该如何防范啊?
0 W$ k% i7 S: P) o5 P i: A) X9 D i& x% n
( s8 Q2 t+ t7 M+ F3 P- v; W大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
' L+ B9 B; c; r1 P, e/ g& ?. Q, `9 b# L
6 D4 y# Y, f/ Z0 a3 A u
小白:哪4个原因呢?# U: |& X* v/ r7 Q* k. H* _
/ ], a. \ e: d
: O* I7 ^$ ?2 M: X大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。4 _; P! t; c& {% r2 z+ o% R# n
/ Q& H* |8 j$ H- N1 k% _1 J/ M
! [9 ^! J: r9 o4 J$ d) p. \
小白:东哥,我又长知识啦! 3 @" Y2 g( x: [6 r$ T ^+ {- F; Q
; E% F2 [& v$ q! `/ k( D
& t% ^6 C4 }' x; b大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。5 k* M2 n. Q- `$ u) t
! ^1 c5 M( \0 V) n( A1 C
" A+ I' R) p3 F小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。5 f6 [' \2 @% v6 {2 c5 k+ M
- z$ Q& f! b# b5 O
+ u# Q+ w5 q3 N3 P' F+ a& f$ C
2 A5 C7 s) Y) o
5 A0 V! \: Y7 Y: Y7 p) G0 \9 ~
来源:中国科学院计算技术研究所 Q2 S) K; H( m# d7 p
0 h z9 {2 p$ l
! n/ Z: B# U1 [7 T* a% Y温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
, l D& s( R* q2 g7 P" p. d! m' O0 _/ ]8 {3 s4 R; Y" {
8 X% @0 P0 m4 m, {
- q1 ]% ?/ w" j( t d
1 w! A; O: }0 R q0 Q" m 3 F% \; |! j/ J, T0 @2 U( Z
+ b C, |! F' G来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1# y+ I) p+ U( T' V% D
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
