|
|
一、谶曰
: N7 {& m6 v/ ~( n' k( A8 T& k% E! A; C/ @6 T2 z
8 J) @( |! j$ v) V/ }
大东:小白,你有没有听说过骗局大师啊?
1 G6 r3 O2 R( A/ v; T9 m. G3 E* Q8 A( \. c6 S n) g0 D. A# w* D- W
! g6 [+ w2 s( i/ R2 j
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?0 ~# o" h( M7 ]+ u
( F1 S9 h, ~' ^, d# d- B& E9 c8 q% ^! g# a
大东:哎,我指的是1993年有名的那个骗局大师啦!
S( R1 h' p/ A7 T6 l! {8 P : W0 z6 X6 h" D: } o8 ?
7 M3 q+ y2 n% P0 u: T
; N1 Q5 A; a. S6 W
2 r. p# n, m$ G7 S
小白:93年的骗局大师?没听说过啊!
0 x, |2 ?$ C9 C2 f/ | f* N9 w2 s. m! F6 e$ d0 Z$ ?8 t5 _, @) X
; m& R5 u/ A" B- }1 f; J
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
& H. {) n+ w! j
% T P6 Z0 o8 v5 x
" {( I7 F' L" o7 y* H$ R3 ^- _: h小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
" w2 |5 C2 L; U6 }; t' `1 C2 d4 P6 ^1 w. ?
8 D) `, E) b9 j& J2 w二、话说事件
; @! _* n' A6 e; w' R3 {" K' f1 Q1 @! V8 Z$ j4 z
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。- e, e/ R X: ~4 P: H, g' z4 ]2 Z
' E6 o# r X9 k
. \7 P+ v/ z1 {% Z小白:入侵检测系统?东哥,这个系统我有点陌生。
0 _ v( ~" B$ ~6 H; J7 ` x1 J
4 T" g% {; u, J
( b* c( T" Z" Z4 F: {5 o$ d5 c大东:哎,你对什么都陌生!
( z6 \4 ~: Q9 K8 N7 r5 s1 c3 `
% P( _; R; h0 C, N n
( p5 A0 k/ ?* `3 `$ F小白:东哥,你又揭我老底了!8 ]" o% ~+ v$ J7 }( S& l
5 Z, j- s4 M! q; H: B* a4 [1 \7 ~4 A( e% Y2 ]! t
5 e3 _2 s3 N% y. `- Y' Y
6 e) S, o: A# {1 U大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
6 C3 S: q0 k; c% c/ S' z$ j- w
: [2 c* g8 q& O2 Y' r- H* y4 N5 k7 L3 f' Y
小白:那它与普通的网络安全防御技术有什么区别吗?" B7 Q& m% Z# D6 w( @
! o+ C7 O" o8 s, p z$ T
+ g/ a9 _/ H) ?; D; b/ S' y
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。9 } R5 L# K' Y. V5 U4 q2 r
& N& d0 i0 O* J7 U( P) j: g7 C/ m+ {3 E r
小白:入侵检测系统具体有哪些功能呢?
5 N6 H) s8 l0 Y" l9 b' W9 E% @
3 V t |- j- @7 B8 P. T( T4 b( q- P6 \7 d/ X
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
" {( U1 J1 S- Q- s' T0 a/ N1 s" D2 N3 N( v3 r" p
[' j1 b+ D' u' k
三、大话始末
, e7 g1 C0 X. M% n/ L, t- m. B: ^0 l4 w( n; [$ E
) f2 `$ F* G3 d9 M6 R+ k1 P) T0 t小白:东哥,我还是不太懂……1 e8 H( q4 k! o" e& n1 c
3 l( E( `7 E! r r3 O' P, Z
S8 q' o$ J& C3 z* A) @: s大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
# n9 q% l: y$ f* o; P3 }
0 N2 D! t) i- q, G) D& v* O/ _! }! c+ A& D3 [
小白:那入侵检测系统岂不是有许多种?
! M' \( S; }- ?* T ?
' j2 ^9 A6 i# x" d! E4 G+ A% [; {5 k* M! T4 d& z
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。; [' Y' N! r6 G7 s
7 |0 {& N" n L/ z# J- J% v4 }$ [4 t# ^8 |" U4 M
9 H% }, _' p5 S( a* g n异常检测过程 图 | 百度
1 l% k- v; V, R0 Z$ z " \! n" `% ?, Q% A9 J; k
: ?1 F! M0 K5 b9 S# H M, ?* u+ T' E7 n' r1 \
小白:那误用检测呢?' U1 }6 l: v1 ?
4 k' ?) Y( }* c: E
0 o9 R) d5 K/ s/ D1 t% F: {大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
6 B" y" K, ?" ?5 L& L4 ~( f7 i: e( b+ |& S( D
6 U* }" h" V( J3 a7 B
" i5 E/ Q7 G& j8 N误用检测过程 图 | 百度 ) q6 x3 d: O, Y) K. ~* f3 m
* q6 y! e% y) k) C5 B5 b
+ w C- z( q6 S, F小白:那这个入侵检测系统岂不是“百毒不侵”了?
* n7 R0 M( k. C1 d- c V
" u$ U) T: @1 q2 h3 Z& ?7 @ V) v# K7 ~4 s+ ]/ _
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
" y- K# V/ l2 Z8 p d( z" H. v, q5 y3 a0 V% E) |
0 t5 {! l4 Z: Z" _( v; I" D: M
四、小白内心说5 w9 m- w/ {! \7 Z6 g
$ X$ w: y; I, A6 D+ E
* Y7 t4 K8 A# Z2 a( A+ a: }大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。6 @( g* C' i4 X' U7 Q$ P
: v" O3 R0 h/ K7 l
. J0 Q4 D3 e6 @6 U小白:东哥,那我们到底该如何防范啊? " u0 g) D2 t0 X; w2 G) c( d, G
# L: \+ s4 X1 F! M* v
5 N6 }" P* i7 e大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。1 C/ [, S6 I& Q8 R
l8 U" f& c& T" ^* {
' E$ {, z6 T% M v9 s* l8 b# ?小白:哪4个原因呢?
) b9 j: d; F' h z& ]3 M( G/ W1 w
+ m( X$ S3 ?9 q! t
) k2 Y: b( P2 k, }2 |( E大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。* E+ ?& A/ O; z" y* P( u
7 X. W" d+ |) X P5 ]% J4 d) `; ]: B
小白:东哥,我又长知识啦!
3 b2 x6 t# Y. i
9 ]8 q4 Z( d6 V8 g& ?# Y8 H. k7 `0 [0 r8 e- I
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
6 @$ A c M% n4 O1 u
9 z7 x ~5 q! u& w
3 G' ]/ M& t- s. D3 @: F; w! ]小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。$ t, S' j; q+ s3 P5 z
/ s7 A: O* N, {% S" S6 V1 A5 e; w
2 e; ]! b/ v5 O7 Q& D- A; {
4 T$ x/ Z) j9 m# l( a4 u$ V
" ^6 E. W8 o8 N: A8 F) @" O
来源:中国科学院计算技术研究所7 |) ^' R1 n% [9 _. [' V
0 Q: n- m% B2 h9 n1 s. w# f% ~* l0 p
?1 }9 ^, G3 t ~% A温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」$ f+ |: q- h: f8 @3 J3 X* {
' E `- y) g- q, y; M. g- @8 M
6 U+ G) J" L. |, t8 v2 B( k% G e4 U( z* }- D
1 k) h/ B: C' k* _& K. O9 l # E9 ?" g/ D) J. i8 Q3 `
7 n b% @* }; L) y: \6 }来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
2 j3 O" C2 L3 t" L. [免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
