一、谶曰/ ?: _9 P! G: r/ e% m
1 m! y6 E+ `/ j3 N0 L* E 8 f+ [$ p( h1 h* e b; U1 U Y
大东:小白,你有没有听说过骗局大师啊?! O9 h( b- x6 M$ z
9 X# k d+ [! z$ ^3 F! d0 ^
! v7 Z) Z3 M1 Y: y2 Z$ }4 W4 S7 Z小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
' m& Z! g: z( } M& H1 ?
+ k8 d0 O2 ]1 p4 ]1 \4 p( V! z3 V6 I! ~
大东:哎,我指的是1993年有名的那个骗局大师啦!" C- `% I; l$ A2 v% l
% b3 {0 d# h' |5 ]1 m0 B4 _ x( K9 V
9 {8 Z$ I, y- s* L# `) b8 q8 c/ \0 r% J3 O% T! l
! W0 z1 ~9 j' l" u8 Q/ m* X
小白:93年的骗局大师?没听说过啊!, c! s: _! C# I, w& m: K/ S6 A
3 Y8 m5 ?' _6 q" ^& n
( v/ ~2 c/ l! S: x6 q* ]. ?2 J大东:那可是被媒体评为10大黑客事件之一的主人公啊!2 I% D; d; y* l3 o$ ^- a) g; C. L7 p
" \' {, j. N; l4 M; k. C2 k1 b! [5 E- |2 y, g/ U
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
$ D1 C& u+ F! A$ A/ {. M& H5 T' S2 n9 N8 D- `6 v
& U+ u0 l* }0 i- G
二、话说事件
# \0 A9 Y6 \; k/ s% v5 t7 N4 Q2 b7 O/ d( F5 a3 P
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
4 f. s. i4 R5 e, r* e) C$ Y* a; i# p2 `7 n& P6 O& E3 `
& N/ T6 `6 [0 V0 G小白:入侵检测系统?东哥,这个系统我有点陌生。
5 v; l, e$ ^/ z
1 r! {1 ^* Q1 j# U3 }5 v% I: v4 X0 R4 O
大东:哎,你对什么都陌生!, Q0 C8 L: h, X3 K4 T: }: n* K( }
' }, a0 m6 ^5 M& j8 X/ E- Y+ O
8 N! ~5 |4 J0 _1 U8 e3 v6 f小白:东哥,你又揭我老底了!2 A' \, R5 k4 t- }) Y: G
3 w9 e8 R7 k) P! t. o3 E8 B+ ~' P5 q6 T9 |0 k& v( c
$ a4 @& }; u7 b
( m& j& o( A2 Q$ w) f* \
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
, S( K( _2 g4 W& F( z$ e9 e
( \; C4 B, W- @; d! l# l* K& M) C" ^) W+ j( b' V: J4 \2 e% M0 ~
小白:那它与普通的网络安全防御技术有什么区别吗?/ j0 r. ]$ Y5 w7 ?7 k/ p8 Y# U
/ R N' J |9 J1 m4 i; S- E+ j1 a8 s0 P: h6 b( ~) L
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。; c+ Z' b# E3 ]; x& `
/ |& x: \3 i- }' p9 D7 X
/ Q) ]. @- D5 I# L/ m, a小白:入侵检测系统具体有哪些功能呢?
( d/ a$ L7 `7 ?" D' k% Z/ \# W5 W1 A G+ q
* q0 i, i0 ], @* X大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
& b/ X/ M2 u+ b( E- d2 z/ {
3 W- Z: |7 f( M4 X c' K7 n7 E
三、大话始末$ K1 I# o6 C6 u' e
7 K1 [$ P |. {; \) n- v
/ A3 O4 v9 b/ v7 }
小白:东哥,我还是不太懂……
8 F J& M b% l. [4 H& e6 V( c+ S% d* B6 m. m& k3 u
# a# t6 A% m% z* y
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。3 |) e+ `9 ]* e) a( m9 L# ^% M( D
8 [% {0 c3 M5 C" J! Z
7 I% w8 u* l. F, ]4 j小白:那入侵检测系统岂不是有许多种?
4 _5 Q! m* F8 p- i* o& P9 P e% w+ U
7 N; @; ]. X) q! j4 @大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。 o; S. b9 w5 b9 c! ~" C% p
: S8 b" I _. P) J r4 u& \0 \. t( h. E2 d( A
5 O# Q9 `) R' i
异常检测过程 图 | 百度# G$ q6 J' K5 x
o+ f$ A' ~3 B, g/ O
; M9 k: j2 L9 B4 e( U/ A; C% F* d; p1 @) |
小白:那误用检测呢?
8 {4 @9 ]* \/ O2 u9 C
7 C( J* C( ]6 Z; a- e
/ Y% \, N8 _2 e H. Q: P, v9 {8 m大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
- t4 r. m6 U# o% b" k5 x3 ~ V# E$ c' Y! T m
$ l' H R, n" Y: w1 P' @. G* M4 V0 E
误用检测过程 图 | 百度 , y6 j2 i# j' r
; y( l, l$ O" J: z3 @" f1 V; b0 H$ ~
小白:那这个入侵检测系统岂不是“百毒不侵”了?
8 B3 e9 j3 S4 l/ i. s/ r1 q9 s6 j5 p% }& ]
1 T( Q4 o( c) W' g& N大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
$ p# [, U6 X, @/ S) C: v. H1 Q1 t( ^% d7 J1 k; {" X
/ R. c8 f# s" W! O* W r
四、小白内心说5 u% L- _: T6 h6 C+ K9 Y
- I9 V! ]6 g1 G5 j+ d9 D2 v
4 \( r% _! Z- c: a% V大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
6 [, W, N2 H# d# ?0 ?# t3 ]1 ~ l
7 |* u8 D) P1 U0 s& i小白:东哥,那我们到底该如何防范啊?
L( k. r7 p, @9 @5 ?% R; t. t4 }! j7 J* m* k
$ l7 O4 I6 Y$ q
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。' Z& ]+ E0 Z% j( b# a
" G# k2 E. z7 [4 a+ a3 c
. f3 G7 D1 P! I# l2 G% k, X `
小白:哪4个原因呢?
7 C! f% N* e& o# f- P1 i
7 j* ]& i8 \- z
5 ^0 o8 ~9 i7 E" [& ^ z1 e大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。" \, M" t/ P5 k8 A
. p" \" q; _6 H* n0 |* B! i
8 v: G9 t' n( |小白:东哥,我又长知识啦!
* n. M9 B( R) e+ ~8 E/ m/ \8 Q
; G! b% H5 ]+ U L. P _
8 E& `. V2 v) ]# \3 C大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。7 a7 t' Y7 h5 o& y: t" V
- w/ s% L* U+ @$ D7 Z+ J# H
* {1 x3 E4 y# A
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
( t. b1 P$ S: `9 `: y6 s$ b% \' z3 y
+ q9 h7 o$ d; Q1 ]+ Y8 B. z; L* }1 y
# j( r& n. O2 h
- C0 T' b6 g+ @ @- Z2 Y2 h来源:中国科学院计算技术研究所$ ~( d" D# N6 U* p. G# b4 {2 V/ X( u
R _! c& s! R! E. x. ]2 |
/ P0 a) r M& o- K5 c. j% M Z" Y1 z' M温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」3 T1 v0 s) f- D: W
- f+ w5 h& k' u- ^/ \
: a) o+ \0 ~" X; j( U2 O Y
( ?, |7 }6 A+ z& \9 ~9 {" a
4 f. w, E1 H3 e& s, k + Q9 Y E a' d0 P0 u5 A1 w, m- O
1 P s R; x+ b* ?
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=11 K( Q" [' P& v$ I- }5 ^! ]/ n* H
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
