|
|
一、谶曰% J( v2 f- O4 h/ H- }& c2 x0 P7 x, s6 [
- n8 I2 A# |1 b5 d7 |
/ |! U, h# S& l6 x1 [. U; l O大东:小白,你有没有听说过骗局大师啊?) |0 V6 F- r7 O* f
8 Y6 v; J3 e0 A/ ^, x4 l9 y1 u; G# U5 r6 F) {
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
# a- d6 A% P) k1 v3 d5 z; V6 l$ l; f! X0 B. ]8 c. _8 ^
) e* {$ ^# n# s9 j/ a$ b大东:哎,我指的是1993年有名的那个骗局大师啦!8 o" z7 s9 |. F, Z8 N4 l" Z/ K
0 h @- U$ ]1 U
4 ~3 x- `6 b5 w# h
8 g0 o, Y j2 \2 S I/ u
$ |! c$ I1 m# K, L( l, E
小白:93年的骗局大师?没听说过啊!% z1 G* v9 J! n" k9 E
' y3 l% ?" M; T! J( f: L7 ]* T% n
& H* `3 n% C; f大东:那可是被媒体评为10大黑客事件之一的主人公啊!; \( o! `) @# G2 `
1 s b; u9 }2 ~. M I& p& |; R" R3 g7 ^+ N/ W l: R
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
5 ]% A$ I7 i7 c" K2 f; w3 z0 g: k9 }7 Q5 a
$ E4 u; m6 Q: i% z$ z e$ k
二、话说事件
$ v& H# x( G7 B j- Y: `3 A2 R3 w" a2 j: M$ E8 {
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。' W$ N! B. v, ^% _: H' @; x% M
$ z. D _1 Q) P- v" [$ ?! j
$ O1 K, x) P/ o3 T' j小白:入侵检测系统?东哥,这个系统我有点陌生。
: v# M& K7 j Y* m' f4 C
( I7 T8 }4 l4 N2 Q. s$ O" Q
' c9 `8 I7 d; I5 d5 D) |( v V! e大东:哎,你对什么都陌生!# x9 j1 ` R2 |' M R
% ^6 F) H7 {/ }8 ]$ {6 @. A& N" u2 \: q F( T8 \6 V! Z
小白:东哥,你又揭我老底了!
2 |& n# Y8 {7 T( S; E( a% c6 E# m
0 C# `" d: v2 i( A- H# e
* M; P5 B$ s0 ?# A, Z+ Z7 ? @) p% D
7 Q1 r8 a+ ~0 u7 D2 V1 f
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。+ |) \; T# n: g8 ^3 S
. E# Z. Q" I* v: Y6 T2 y
- f* K; ]; O7 x( L小白:那它与普通的网络安全防御技术有什么区别吗?! j6 ^" m! h8 J" U" \
n2 [5 W4 \$ t: _. |8 x! z2 n( U. R
# S0 n3 `* w6 M& t) N% _2 r大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
" x2 f% _+ @ X2 c" ]+ B9 G; I) _6 w" ~' M7 q8 m. B- f
8 {+ ^, g4 A- H g
小白:入侵检测系统具体有哪些功能呢?5 d( y. r! b4 t1 o( C; P
; M Q6 ?/ H9 ~ p# R
# a7 I `3 y' Q: @& p' W大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
4 c5 a2 l0 C$ t0 Q M0 S; C
) r: T/ C4 X! z7 l( N" v
( Z1 S* }5 ~; \9 `三、大话始末8 I1 r( j7 K$ l+ _8 `; O" q8 N k! E+ }
0 U6 b7 @% o& d7 p
! d8 W: r2 a1 n7 a9 s小白:东哥,我还是不太懂……
4 E7 Z/ E; [* [" [7 |
" I# T: w/ A3 f' ~0 ^ V* n) ~. q1 c# N
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
, k6 Z. u5 G3 X* T* U! V9 f4 H" N
# Z& F) x0 x. e) V$ i* R
小白:那入侵检测系统岂不是有许多种?
& u) t9 Z0 k9 M' R7 Z [
0 u; ]- r1 R* C9 l& @( }/ c6 l( S1 D' i
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
7 a4 z& E; p$ F5 m* A
7 T O ^) A0 o5 }
0 V6 d* [6 [8 p/ c, r
! J# k8 P, f; ~. r, L( ?异常检测过程 图 | 百度 m2 K; z' Z% `( r; E
+ X0 f: v! Y% C( W$ T: t& R" @( ]
1 m; B0 b; T, b4 q6 h* t7 U2 ~* o6 l! T" n+ H6 x* _9 ~+ H, D
小白:那误用检测呢?1 J' @3 ~ \& M. C) s* G" I5 [
- \4 Q0 p ]% u' z1 q' R9 U9 J0 _: g- r" U6 H# Z9 [3 O
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。7 R* {. {1 a9 p; w2 H: x
; H+ C2 L0 [/ h M3 B
, _: A* s/ \: c4 e# U, V# D0 { a! o+ |- V3 ]% F7 Q% v! c
误用检测过程 图 | 百度
$ @* _8 x# i; Q( Z9 S* g$ A( s3 E
- v8 v+ O t0 e* W8 J& O2 c3 a. e- e6 E! h& v( Y! c
小白:那这个入侵检测系统岂不是“百毒不侵”了?
$ n( r9 X1 B. ?0 w5 e; e/ u
$ r; V( W+ p: R6 z( B5 S4 ? i0 e( y# c. w, P% c3 y- Y
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。( O8 B1 ]% i9 R* ^) K# J2 L5 y
! l% d3 B1 I; X9 v6 q( O( W( L
; y% x# ]9 K3 B
四、小白内心说, O3 k& s; @. E* o5 C* M
5 G% J) L# M+ s: y0 g) N, T
1 t% h* [* A, Y* y( e大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
) c3 U# ~# A$ M! X9 I' k2 f) K+ {; C( ^0 E0 k! Y# `( f1 j
9 F) I6 Q, q2 G! Q) @- m ^* t
小白:东哥,那我们到底该如何防范啊?
3 O3 m2 Y ]- B. P6 W3 q, y( G5 E3 F% K
0 t5 h% A3 E0 o9 d: {& W% X
2 e! R" |0 [- J. `9 b8 q4 Y. K2 H6 A$ R大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。1 D' Q! M0 e* N: E( T: b! H
( V y; [% N0 x
4 C0 h* }" L2 d1 j* J" p小白:哪4个原因呢?$ j' h. s8 y1 [4 Y) r- n2 h) B
3 B7 a. u" H" i5 L- ~. T3 L8 A8 g/ j7 t, B! A. l, [' d
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
) @6 ]( w# { A3 z3 y( ]! E" m# E- E
; Y, N, E; K( ?3 d
小白:东哥,我又长知识啦!
* S/ G* h. H0 @/ G0 |1 O8 | [1 a6 H; d, X
9 a. A( C2 J, h8 _; K$ A
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
9 X" q+ Q( R$ F6 X" D. {" F6 `. W- U2 H& ?" A2 P! E
+ f6 S% C- x2 Z- |+ N4 w5 L8 I1 p. O4 N小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
1 N" ?( o. w% T# k6 X2 K8 W6 H$ O: Z' l: p! F% S3 S0 D$ p
) H: a @. d3 L* z' `! ^/ @# P; P
7 B% V, @+ J" z
, [: E5 H; V4 s
来源:中国科学院计算技术研究所 I( k; v7 p3 ]0 r0 e6 a8 @, v
4 M V8 U+ Y A$ R
4 K9 k. p S; P. u. }. i% r温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」6 K) c9 P# P8 @5 R3 [7 n, D. r
: _2 R% |& W( p7 b L
" R2 n1 K6 u+ [. t! H$ {2 ]* R7 V. H' _, |1 G, z, X
& s0 z, L% z9 I2 m4 {& J: T
5 L6 H5 ]" @" H# a! o& B
; l( H# h8 P7 j6 H: g: N1 _来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1( {/ z% [& F) n$ v5 C; W, C
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
