|
|
一、谶曰
: O- p# N& F: T+ q/ w; w. r* l0 E" t; T( Q
% b6 S, ?! h1 t
大东:小白,你有没有听说过骗局大师啊?
9 r" ^2 E# C, V. \/ M
& | x; A' d3 c- H+ ^; U6 x3 z ~- v1 p
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
, b: x. g h# }" S+ N' ^ Y: S2 e) v+ Z" v
. o) c) Z4 _2 }3 o! m, ]大东:哎,我指的是1993年有名的那个骗局大师啦!
5 W, u( x4 J c9 Z0 U
8 ^( C0 o9 `- f' @# a6 c7 |9 X6 ~ K; c) U2 [; u8 M/ Y8 V2 h" Y, a
0 G8 M1 M9 i1 L3 E
2 i% _9 u0 m& z/ P/ g) h& ~# {) @
小白:93年的骗局大师?没听说过啊!
4 j8 m" l+ }0 {9 L1 ?
8 ]# i9 T) y$ t9 y; B( O
* `$ W4 N$ x8 s大东:那可是被媒体评为10大黑客事件之一的主人公啊!
* P" M& y# ^7 ~3 |6 p- [7 w* i' r" x |
3 [6 k3 P( I% E9 Z1 V2 G小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
3 \: u& a) _2 D
* \& U: a [1 l( y( \0 a/ G, r' W
0 A+ p, c) F* o; s5 ~二、话说事件
9 N7 s3 U+ M' f1 `9 |
o8 N* U& P, S" e8 ?大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。8 k- L- V, l+ g- K2 \3 |
) } Y0 {: W4 g: S1 `
% d5 z7 y8 B% C8 t) P小白:入侵检测系统?东哥,这个系统我有点陌生。
4 C/ {- e/ R& t# f8 Z/ [
6 a. A, e, B# `6 i: H$ |% L0 s, P
大东:哎,你对什么都陌生!
2 T, t5 X5 T. X- E7 a# Z( @% h: E5 C
8 f% a3 M! e2 T0 e3 `1 P3 W v
小白:东哥,你又揭我老底了!2 i" J+ @4 T9 J
# \3 Q3 y) W. K* `; b
" o" [: D8 I& }7 \9 G8 J. v7 U
+ d! a/ z; D+ {( L. M3 v' G
3 O( M- _; ?' Z* `, x2 C大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
6 M$ c: {4 J) ~! a8 l4 S
7 h) J, w- K* ^3 E2 P/ P6 |" t# U2 X9 a. p. g' H9 V: V
小白:那它与普通的网络安全防御技术有什么区别吗?
* G$ Q6 Y" @9 ^* {0 U. m* L
8 {; ], N7 ^; K/ v* M
4 ^' A; ]( t5 E6 Y" V5 @5 a大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。5 U! o1 n4 w0 n- F" i5 U, |
Q+ [! g4 m+ [; Y0 M8 ^
5 u- f% l5 E3 F% ]
小白:入侵检测系统具体有哪些功能呢?
0 w, M- t1 U+ w+ }! b( f3 u7 |" i6 c' c8 r) t) F( P6 y
" ]- `* s7 @# \4 u+ \大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
8 F9 Z9 q+ N" I& l7 ~( S7 h! ?
- Y4 m# G! e( B* ~$ @; M7 f2 F0 b3 v1 w6 T6 i' B/ n1 f3 x
三、大话始末, L! ~: j1 q9 {" B+ B6 y" C. P
" b/ {+ }# ~6 ]2 R" o: A$ O
- u5 L5 }6 t4 L* [小白:东哥,我还是不太懂……% y3 A6 Z6 B8 v, W6 z
+ J7 m& @: S" b
, i5 ^2 G/ c. c8 O% ?+ j大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
1 x" F1 N( x) n7 a0 Y+ {
4 ^) x: d# u, y$ c! S1 }' b# L* x
0 P1 Z3 L; z- J, E) J1 `小白:那入侵检测系统岂不是有许多种?3 k u+ M6 y0 q
9 O- \" F( }- f1 X; P0 \! [ Y
. m; L6 k: H/ R! v0 c! }3 s1 N6 V* K; o
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。 w) X; ~* `& ? k
7 r0 A% P" J* i! I" {5 ~8 \& a- n- k. U, ^. F j+ N g2 \5 F
! x$ G3 ~# x! s" u- z) F5 t异常检测过程 图 | 百度
$ ]9 Y% J/ e4 N- z7 \! p: Y- O 9 n% N! b5 X/ Y& Q; Q- K
6 r \0 x: `( [+ g4 S: a
: I9 q/ T; E* N9 L% N小白:那误用检测呢?
! S/ J3 p9 g! {$ H6 h, |/ Q0 ]! M+ `2 r. S. T: w; b# v) ~
' d' _# z8 r- M |
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
/ X; [: z4 C! M/ ^( L' a+ N. {( H( _) d: F) [
~% N) ~& F3 j' ]2 L
5 `5 c; r6 C! i误用检测过程 图 | 百度
6 ]+ Z! x7 j9 L8 Z8 q% j5 v
& [6 h6 C( B& \& C M( x6 S- f: a4 z" Y3 L @/ l$ V
小白:那这个入侵检测系统岂不是“百毒不侵”了?% T* F9 D2 l. s/ z
. b4 y x2 ]1 z# S, r
, ]( D3 o1 ]% R. T大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
" i$ q" G9 q6 ?: R/ ~3 [, G* f' C
& B% F& z1 A3 n' k# E
1 A4 M# D( H% x! ^7 [' _* _: Z四、小白内心说- C( f8 _! x% b( Q
6 ^- E7 ^7 w7 Q$ |5 ?+ m5 v' r) ~* R6 w: A) f. n0 }# p) f& L
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
9 Z% ^0 r: }6 G h# d
5 l$ B& m- B7 ]# B: Z( e9 ~+ \" x( ?2 z) X( S& w, T+ h
小白:东哥,那我们到底该如何防范啊?
" `- V% n$ X. H5 P3 O* v/ Z3 n! q7 z4 t" p8 f
& e$ X5 B* Z% x( t$ @+ @2 @$ n
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。% d! {, @" I2 B
: ~, s6 h/ ~5 h! k3 @" A/ O
: ~4 C: \5 b. U小白:哪4个原因呢?
- g: ^8 U. g1 W4 r! i g9 k6 W0 G5 @; _& w" Y* K/ u# J% z0 }* N
/ V& l4 H# V, E8 u6 U
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。/ j$ `: D' ], o2 J6 g
: {" z% G1 S& k4 }
5 ^ J1 Y1 m* q) a9 M9 R4 z小白:东哥,我又长知识啦!
( N: m3 ?+ s* S0 A, @& l1 r
* G1 f* E4 m9 J* M8 I, X
- H. D* @- G6 z; Q% ]' \6 O大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。, _2 o5 N, T9 f' V% d
L6 `9 X* S1 _1 I
$ G( W. V6 J) r1 Z9 I' a4 M, ?& I, r" d1 I小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。2 ^% R, H: k- K; S: A# m
: E5 V/ y/ h0 S9 F: |2 B$ m1 C
4 M% b* k% K8 V2 X) b# F0 ^+ v
0 S( a+ F5 k7 @( |8 \9 k$ i: r % |. ?& w2 v6 _
来源:中国科学院计算技术研究所, R' H4 M* {8 I7 C( G$ T2 I
! P6 s s$ X) |" o: t
5 a9 ~* o! ]8 i1 p温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
& M$ y3 s/ M# h. B# o& m5 c7 V) J2 I
) ^( T3 Y: Y! W6 P4 Q% W; n" C' H3 q! e4 [9 g! F
, P! y" F) ?# g0 [
- z% G$ F2 ^3 v; c
* u2 b, H. y6 u) b3 H; Y来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
0 f( A6 v" A) A2 k/ q免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
