|
|
一、谶曰 m5 N9 H& ]4 a4 y& ~ l# F
/ C( E* M$ D0 g' V) f a+ w
" N* S2 X& g, Z) u大东:小白,你有没有听说过骗局大师啊?- s5 f- t/ U$ z7 x
* X! o" _9 `6 j0 u1 [
1 P9 n4 S* n. n
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?, R: ]/ X7 Q% }* |5 x9 E) ^8 J
- i z% v" B: f& O [
+ V. X+ U3 d& S. j P
大东:哎,我指的是1993年有名的那个骗局大师啦!
& h9 `( a! p$ \) a0 q" K
+ d$ [& I" O3 b# r; a" _; R$ y! }
' X8 d* Q* y8 a0 N+ t0 v$ m+ a7 _: f. W2 t) S
# I9 q9 b' m w( F; M, e1 ?% o8 [
小白:93年的骗局大师?没听说过啊!
1 g8 Z& p& G8 U; h
5 M8 r' x% E6 R h* b* l/ q) ^* K0 |1 Q0 N$ L5 G1 |+ @, p
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
* \+ W7 t5 g- |! e/ K
* l j' M! X8 y/ J) @2 `: p* l$ h
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
9 s1 _, i( C' j3 t" l; M( _
5 q5 s0 ]6 C5 P6 h5 U7 T. h3 l8 }! L* z
二、话说事件
: B. Z6 C9 S8 T- t, x1 Z6 Y3 [+ U/ _$ y H. m6 N
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。% A2 c! l0 T9 K/ `+ J# _- s
) V6 K! R4 S, c$ z' O$ G2 a
* t$ e, ?; h' y# g; G1 T小白:入侵检测系统?东哥,这个系统我有点陌生。
1 d' R4 s# K5 x: H& e, R6 E2 s5 U
; S ^. c# K0 F5 c1 h2 z
大东:哎,你对什么都陌生!* H; B+ V6 v- I+ s
* q# K% b5 l0 Q: ]1 n
: s. t1 A6 I/ x5 w9 @
小白:东哥,你又揭我老底了!4 Z* W: g" D3 d0 W" _& \- C
, m% z- `; A* S
: P- y& `! Z. Y) g. _
( T t1 c. S/ O( U1 M: d( T+ Z( p: n# n" A$ k
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。0 G: @7 J$ M& `/ T- i! A3 [
* q" X' J6 n% x) W. Y1 n6 y; k7 A# c
! S5 e1 h. z* @, Y( b/ q* q% @小白:那它与普通的网络安全防御技术有什么区别吗?' H6 Y- s& [. a+ R
/ N; q" m) \2 g; A! w, K
0 I) ~/ E6 B9 k! }4 h- s7 ~大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
! T. i" j. t% z; t3 }: V6 A
, ]3 o- _0 V4 N3 E p; K* V* o$ y+ u" a5 T6 b+ ?! v4 ?
小白:入侵检测系统具体有哪些功能呢?9 {) G% _. K! c6 Q
3 u9 O1 h" X' i2 r% a0 n4 F5 J- J
; R3 Y7 S# O2 R大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
. c) f: n2 P$ f" T. V+ w5 c7 Q" Z3 i& Z: r5 O3 B2 P- i+ G% Y
7 x9 n3 [, P* }9 q( }3 l三、大话始末
( ^! z) O5 n5 `6 o# D
( C! f! `2 \ U9 E2 A3 x; K9 c( K1 z Q4 n0 x; _
小白:东哥,我还是不太懂……; h5 O R& q9 K# s% o9 e
9 S# {+ ^$ w. j9 M! A8 q2 E
" w! b! l) x, o# k+ T大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
4 U% L( ?! n6 \3 ?+ s$ o5 E9 ?8 H1 R& m
7 ]* _$ U; m2 ^+ o小白:那入侵检测系统岂不是有许多种?
. D4 e5 i% @8 m: Y0 o2 G* \1 V5 s. O2 S$ D: ]$ u' H
" y' |) k9 E: L! i) d: c3 e+ p3 |1 I# y% d% o
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
0 `$ M# i- q9 b- q+ s5 f; C, X- J+ h& y. ~
! I8 A7 p( {0 S: n/ X! J- E4 l( ] b, d9 I7 m
异常检测过程 图 | 百度
6 l! `8 u" o- S . x) x: c$ X% X$ U$ d/ s" o
( }% Z1 ~! D' ~# |& j
" D1 ?' o9 |" M& N O
小白:那误用检测呢?- }' G0 L. F) c' `2 A3 x) [; @
+ c5 A, Q* d# S9 q' t) z7 n+ a, z8 p4 G( G2 L
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
9 u. f5 u4 Q4 ^! m+ A
) g* d* D0 ^, U4 ~- e" M
8 I* V5 G% [; @; ?# T- Y6 S( t
7 e8 b8 A- e4 N; {5 v: Y8 {+ L误用检测过程 图 | 百度 % f3 [, O. ^7 T7 X2 q1 Q: n) H) q
, W1 |. _# m: [9 x- ~0 H
7 Q. Q( ^/ c3 n7 e
小白:那这个入侵检测系统岂不是“百毒不侵”了?
$ \& l+ O6 P* ~0 W
% a6 M9 {6 l. \3 i" G
k, X. s) a; y2 F+ o J大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。$ A7 u' m* P7 w) T# C* k. L! j) |
/ N' r$ _( a }7 l5 I
2 W6 n0 j+ N1 k# R% {- A四、小白内心说
7 _$ N% Z! C# Z8 _% C5 D6 ~9 q* ], c
4 k2 t) N) s* ^" S) [& i; o: f5 n6 x$ Y/ r$ K2 l+ W7 E+ |1 E3 m$ B
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。; N1 W" `: \# N! X7 u, u9 ^
! l0 c- ~" z7 N2 c$ t8 V; b& R3 f9 C& {& v
小白:东哥,那我们到底该如何防范啊? & L6 x( N; R1 N; j# v9 t
. Z2 e$ Q' s& B4 ~; h o/ n @8 J
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。( x. f4 H% X, V/ j# [0 u$ _$ k
) v/ l* p* G4 ^' `
$ [0 e/ {3 [* }小白:哪4个原因呢?& Z+ O8 Q9 V6 _
. N$ I- B2 `9 b: E1 c
2 q. E# Q! g9 b u大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。7 z" P s% h+ E4 A) U7 {2 z
; y4 c. X* N! R2 D
4 |% P& \" J2 F+ {/ M
小白:东哥,我又长知识啦!
2 M { ]3 N8 D3 U' E- }$ u+ Z: H2 K' X5 g7 ?" l/ L0 U3 _
* C9 a. h; C$ Q1 j
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。) i% R4 a" b2 d# f3 C- c
; M3 T- l2 V# s3 @
- o/ O% _$ r2 a7 t* x7 x& s小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
; y: |, H0 K5 s0 d: K; p8 B+ I4 Z4 s
]& K8 q. O, G) b B
, l/ ^3 {: e0 D& r! G
4 |8 G/ d1 S# a
5 Y6 R# y, K, g& S来源:中国科学院计算技术研究所7 N9 I- k4 l0 J9 P% x
) m, g% S4 ?8 \, p! ?3 w5 S
# I( A0 d2 N$ q' L& q
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」' p' q" P$ z7 E: G3 S! D5 J: I# E
+ _) w. M4 s" ^3 v! Z. J" [; Q0 l& c A/ M
" t1 ]- J8 \: _$ ~6 \1 f6 X' h9 `: {) J9 R. \; I
 4 [1 h3 C- Z U# K# Y9 ]4 l
3 Y% Y9 S9 _0 Z8 z来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1& T- a# e5 t( e$ h& B) B! w
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
