京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 9154|回复: 0

骗局大师丨专栏

[复制链接]

9

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-10-26 13:58:13 | 显示全部楼层 |阅读模式 来自 中国
一、谶曰  A2 I. m8 N* F) t2 R' I+ p0 G
: ~4 P+ q) w# @
 " }' @( g3 r/ A
大东:小白,你有没有听说过骗局大师啊?! X- F# Q+ Y# L
! I8 k( S. O/ S- r: ?

9 V* l. y( E8 C3 t小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?* E+ C" ^0 W7 N

' |$ O$ f- q! _" w' o# H9 D; g+ T0 \! T4 k
大东:哎,我指的是1993年有名的那个骗局大师啦!
$ ^3 A  X7 q% b0 f$ r 
2 W3 k  p, D' Q+ t5 N4 G

% N9 ]; s- x7 q1 B& ], E* _% p

1 l! a8 d* j: H5 G4 _

/ Y* ]6 {) `$ c; O/ S小白:93年的骗局大师?没听说过啊!9 L6 L- W8 g, Z4 `, x3 N4 h( x
/ ]7 F" Q( d7 Q( M  W
" ~. a; O# d7 Y- A( A
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
: g; S$ S3 V3 j! u3 c% u
+ \) w; e) Y# B- R
& ^+ Q- f2 f: |  s" P1 V小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
4 Z2 i/ L% L) K1 w$ u
3 v9 O, x. I; |8 N# q8 W; g2 V' m0 r  b6 T) m5 \  R+ ~
二、话说事件
! n# L: [! \! K; s9 Q
/ r3 b# C/ m9 _, H; A8 W* `: Q2 o大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
7 C( B. ?1 v( r( c$ a' A# u  p( C" ], @8 j$ q

( p3 v( c, K$ c  P6 A9 [4 y( e. t小白:入侵检测系统?东哥,这个系统我有点陌生。5 D/ q, k+ c2 j# F: K4 G
$ `2 N# N" C- @" P
" x* p( Z" Q4 j) @4 O' L) m# S: J
大东:哎,你对什么都陌生!
0 M/ J2 h' N- V0 l1 m9 o* y0 h. A* k$ }( |; w6 ^

  `' N3 x5 D9 g4 }9 E7 i6 |小白:东哥,你又揭我老底了!
# c" q6 h/ a/ b" B2 @ 
, A1 l5 d, U% J% K' ?

. F* q* l9 t0 X
, k) t" \' t- W1 R2 G0 `1 ?! |; ^
, r5 Q$ p2 k, f$ q$ S大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
4 |5 I$ n. x( b. Z5 v& W. _6 C- C) C, v0 `& m

" l! B; r9 ]' K小白:那它与普通的网络安全防御技术有什么区别吗?
( J8 ?9 C$ O+ b3 e" ]! x$ U
$ L, H. j1 Q( r0 ~' ]
( r' m$ y: D9 _4 i; G2 |大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
/ F+ H/ O6 W7 N, x2 p6 t
. w2 I; L# f$ L4 N; Q4 x$ u. \  f
$ C, p/ _$ _* d: [小白:入侵检测系统具体有哪些功能呢?
5 b$ b  ^  ^8 N9 u* v% p9 E- k$ K& R: ~& i* g4 z% E
, C+ Z' v4 f" p: ?* y$ Y' ?
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。% b* K. h7 o' ~( F# L! }; S4 z
$ d' q0 }, t, k" }" a
: v9 M/ r; i$ l! h. `$ k
三、大话始末4 ?7 {! Z( E& O& ]
" ~8 c1 @- b. ?7 M2 q

" U5 @' p! x- a" ~' t: ~小白:东哥,我还是不太懂……- j8 w- \5 i# _
0 C1 K3 f- c( k0 C8 r% b; h
3 U, f- b5 m0 e/ D9 y
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
% d* N- M: a' j4 V8 c0 W  X
8 M' d$ Q3 @( e% g0 J; S/ c+ k( p1 U, b1 o
小白:那入侵检测系统岂不是有许多种?
3 V6 [( D9 O0 f" {# A/ O
$ G$ g6 \3 d9 O# T7 Z0 Z/ [, g4 p
# W' @! H8 U5 @+ n大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
" W; @& i2 c8 U8 f
; Q; y" {' W1 Z2 M( Z
  w+ u1 z0 H5 Y" h+ g
/ t0 J9 `( u" w( D" x& R% W7 }& m
异常检测过程 图 | 百度& |& I4 D; o* D, z/ P
) {- M& N! |% M% X9 D
/ j1 y) I# ^. l& O, E
4 D! l4 g1 U9 U# I- y' b2 P$ |
小白:那误用检测呢?& ^) O) p* d+ }# k0 Z

; ]" k- W. P  ]8 l$ }
& a6 G! w/ z) h1 k+ K大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。, n0 B% w( O9 U: G

: Q7 ]/ R. `0 A  N+ J* ]/ c/ t6 y1 ?0 w8 F- [+ \/ a/ d
6 J  H. n( K/ N3 e$ P, l" f# q
误用检测过程 图 | 百度 

: ]$ t0 I4 Z$ V& E. m6 m0 f2 d8 R& V* O% U+ E% T

& ~7 W, E# d$ ]+ {( B5 }" U小白:那这个入侵检测系统岂不是“百毒不侵”了?* E5 c+ M) O! q: s$ {
9 a0 e$ n& A4 V6 i4 s2 p7 I" v# F0 C
/ N8 b1 U, ~3 C
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
% g5 a' M$ z" L. H4 B
* `( q3 b. t' f2 P1 A
% E/ ]( ]& K; L! H: H四、小白内心说
) g% g/ ?1 y0 Q: o1 E9 a  U+ u' b7 s* s- w# e. ]
/ j! K* c2 l/ Q+ u: {1 C" ?' o, `
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。4 i/ M8 N3 I# U4 r
5 D7 P0 F# m1 Q: }1 u( {" m; d

- e% h, S1 u- ^! y小白:东哥,那我们到底该如何防范啊? 
6 p  [( F5 s" {2 r/ g( k2 A! S3 }& K3 N: Y! p; M% `* c

& ^2 c* P+ Y) j) r- I/ z大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。2 |& l9 [3 ^6 L% q8 E, O
* Z- L/ l! T2 {! {# u
) O) J- A, s+ \2 J4 T( g, |" A" V  ~
小白:哪4个原因呢?
1 ]6 b6 H) h9 R9 `3 G  I5 y5 B$ F1 [- v) y; k# j* }, x( X  E2 g
3 G0 d5 \+ ]7 P5 [, L" h/ j
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
( A; @* V# g8 p0 W7 `
: p/ J( S: G9 f/ V; M+ S* ?6 T' e' l; x1 [$ f4 w/ m2 k
小白:东哥,我又长知识啦! 4 |2 f  I7 N4 ]% C! F, N

. O' i/ C7 l1 o2 t2 ^; U! o' Q- i# m6 T) H$ `3 L) Y, B
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
& O2 j* i: q) N: F6 H/ S" H  P3 i

. G. p- n  X6 {, [7 h小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。% d& J1 H2 ^, D. C4 y0 i9 ?# d
, `  T) \' f0 M/ D' L1 T0 Y
1 V4 C/ o0 ]  [  m5 B5 G7 ]. l
- b3 w/ f& d: M9 M! G* ]1 l! x
 
# G6 Y' J5 B% {+ v( {5 q! w( i来源:中国科学院计算技术研究所& z- \8 N# p& o
- K9 z4 x( A& {* }7 a9 g$ q

3 m1 S: r% y6 j4 Z* `" j! `+ ?温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
" ^& R/ c. Q. E/ `+ h8 U- a3 d! k0 T. e  z, X$ O1 F" N
' C1 X/ \6 ~) q( h1 l1 W1 [8 e
6 q  a4 b$ c6 q, a4 P$ W1 r" l
$ p/ i0 f  A1 {1 F

' ^4 k, O: a& q: d5 V7 p  q% O
# S* @$ I" B- t, M" ~5 F. n来源:http://mp.weixin.qq.com/s?src=11&timestamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
! L' Z! ^# [  g0 z5 m! `8 q8 H免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-15 17:42 , Processed in 0.071000 second(s), 28 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表