|
|
一、谶曰 l0 |0 \& a# `8 O5 t) m4 ^
. j( w5 V0 m P$ K) G! ` . ~0 L4 q$ I7 R; w! D5 h
大东:小白,你有没有听说过骗局大师啊?, K8 k. _! C4 J% F3 I8 D
% ]2 j4 o4 f' h* W3 T# {
. a' v0 P3 [9 e) d9 g小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?) ^# \' `3 `6 H- j3 {
& U2 |( l- U6 H% Z6 t, D! f4 ]; K U
) s5 V7 ~$ F. Y
大东:哎,我指的是1993年有名的那个骗局大师啦!. @5 z+ ?* ^! y
/ X1 a* p/ r, X( V1 z
; c. Y: I9 d% q
* R$ R) X. _+ `0 j
+ a6 K' U6 F2 `1 r0 h
小白:93年的骗局大师?没听说过啊!" ~0 s. D( p/ W. K t
. X# s2 ~) Z! o0 [4 z+ U) R; i! ~$ Q& w1 `# _! B; G
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
6 B" }4 f, f M$ O0 O
& U* d5 ~3 X) ^8 o8 W; ~* Y5 X! ^6 L6 D
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!& V$ w$ k3 G$ R4 h0 r% S# P
+ H* X* H' ~) L1 K. Z" p0 L: Q
! j2 x; I8 G" c) I+ @8 Z+ l" O$ X二、话说事件0 z% k F% I% R: G. K: }$ @ K
5 a7 {& T/ U0 h+ s+ |- ^; @5 d
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。1 p4 A) \. r% }6 i6 Y" Y
9 l( L( o1 a$ r" E* _ v. @- P* ^ X* Q! p5 A% ~
小白:入侵检测系统?东哥,这个系统我有点陌生。/ N. R- L* h) }& [7 K
% D8 V+ K) P) d( }6 p+ D2 W
3 P5 ^+ o% l! Q$ s' l+ j: Q. ?
大东:哎,你对什么都陌生!
2 C0 Y# \; ]' ]& A
# E" J/ H5 w% C) v; \# A- L, l0 j B: n$ C* N
小白:东哥,你又揭我老底了!
! Q: K8 F% Y( j' U# I A7 V# D ' o# D' M; Y8 f0 [ f' N8 b- P
5 b& l' m0 {/ X# a( f1 u9 M' c0 j6 R3 C6 ], n9 I" ^0 i$ \8 a. X
' j$ @$ c' A8 w0 E8 `0 a. P大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
3 ?9 }) m1 I" {5 q3 B0 W3 Z
3 t1 M* a/ c6 ] } A0 E* k3 R1 v( G+ y/ m0 s+ O: _* Z
小白:那它与普通的网络安全防御技术有什么区别吗?
% @" h8 L! F3 F. c: U$ B6 m8 S, e. |7 p8 @
* w+ M- o3 a" P3 Z: z, Z' _# ^
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
W1 i& a- p& l3 k
+ ^6 Z* }$ w! D3 r" T5 Y3 @ G5 {) b8 ~
小白:入侵检测系统具体有哪些功能呢?- O# k% e7 u8 P. ]' f `
6 v1 N, Y& h. |/ n; ~# @' O0 k
- Q) W) _: y9 T0 Q( z) B大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
5 G% e* {- H8 O$ V
, {. U4 V% w' I
% X Q) j2 v0 S+ d# A! {8 S三、大话始末
( l& u7 Y9 {3 A+ q4 f' R' l- A0 w! ]8 {# J& u
2 N' r9 ]+ o; [7 h( X+ g5 G) S
小白:东哥,我还是不太懂……9 I: u: f/ x2 o" p( F
! V" ?: o8 U' l$ a. E! w- L5 _, I3 [% {5 ^& i+ P k
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。* o5 `. `2 C# V' C: X/ }
- i `- @4 R C2 o U% w: M
3 C- z5 N' d8 Y6 A& q& j+ T
小白:那入侵检测系统岂不是有许多种?
3 e/ _: A5 y% b; J
0 f- A- \4 j$ t& k$ _
" m: R4 Q; m1 i4 q& i; |# }大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
0 D* R: N; Z! J- Q D# B+ ^
: ^/ {7 i. ?0 ` M) l
* E* _5 N- I! [3 J) J5 {5 }: v9 k4 l3 s
异常检测过程 图 | 百度
( _+ S6 F& m; _0 s
7 p, I0 N- h1 F+ r
0 M7 \ s4 j1 M6 v0 U
! K7 V; P, l% i/ {小白:那误用检测呢?3 ~1 i6 \4 q4 [6 k* @8 v
& I; g u( t$ w. M" I: q' q+ w; Y, l+ W/ c& G* c7 c
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。 ?+ X# `: n; n ]! |& H
. `7 P5 Y5 b0 N5 w8 V" T* V0 N
0 ?* S2 U. k* S' R) I/ w& I4 d" k$ j* ~
误用检测过程 图 | 百度
- Q' I) P+ Z2 d; \/ C7 C
# ^7 ?) [2 x- ^) ^( e" H' b# S. o, e1 n9 p# s6 L: P
小白:那这个入侵检测系统岂不是“百毒不侵”了?
2 V/ Q9 L; k8 u" S v, B2 P/ t- a+ l9 }: T. d( m
4 h# A3 k5 u7 K6 J$ V大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。* q, V" L( K8 E+ f
: j$ j4 v* C& }. D0 m" O$ O9 J1 E# D: z
四、小白内心说" e( j( T! K5 G, X( V4 j, \
; a5 |* |; J) S+ B6 Q, H; @0 g0 M- x( K
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
X3 T+ y* \- @! S7 C- Q1 t" [
7 Y9 Z: ]6 B: Q9 u3 w+ E, [5 E) \% D
小白:东哥,那我们到底该如何防范啊? $ g8 {# I* ^3 @# B
! p/ m) Z6 k( e/ w2 f# P) ^4 R% [" _: D* q
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
3 p% Q% y) }( o" C3 _, b. q$ w; F8 B+ J& N" K( d
" g; O `, g, O3 T
小白:哪4个原因呢?
1 J/ W U" k4 X; u O( o7 R& s$ n( o+ {# U: a
4 F; P1 f1 ^9 a. N% f7 y
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
( k4 g a; _" P# {$ h U
% m4 T; g* |" U
2 v# _/ z9 |, M4 E. m3 n/ L小白:东哥,我又长知识啦! + t7 d2 F$ C# H" e' f% R
5 l) j# j W- }+ V
! a+ l2 N, Z/ H7 ~2 H; N
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。" \! {' k/ @9 ^ O
! h% u' F! ^6 D. e2 f& m* e
) S2 N7 S; U: P小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。; G, S% j7 n5 j8 f" f0 X
/ w+ Z* x% A# [, s8 }
% s% b; t, X) q7 E" d! O q, y# p
4 i% z2 Y( X5 {% s7 L9 M3 ~1 N
) J5 w2 C+ B$ x3 V来源:中国科学院计算技术研究所, a. V; D* A0 m" J( m
y. o6 J! {% `* z% j v# ~
h A' W+ n. d/ ~: k6 s& p4 d温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」# W% T4 b' J' Z! B, J( x# Q- t1 K
y9 G% y% `5 T
$ ~- `* D; g, N$ G- Z$ ]1 V9 r: k
; U) i5 o1 m" R/ D* u% A* e) E T6 W, {4 {3 K" [7 D8 h& A
" j* S o- x/ [ ?4 f/ i
; e# Z$ Z9 W7 ^4 @/ c! k' I来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1; m3 {# X( K, a' @
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
