|
|
一、谶曰4 s/ f& Y6 f/ S1 T+ l
$ M$ G4 v* C) X6 ~
e' S4 ^. w" c' O大东:小白,你有没有听说过骗局大师啊?
! O8 c4 }1 M& `9 A. t
0 c# c p$ t+ [; A$ U8 a5 z7 d: `$ ^- b* n( T2 z
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
7 a w( _# V0 K$ R! G4 B. u8 h' F$ a' S. T& s) H
, J) @: I. N! y* M
大东:哎,我指的是1993年有名的那个骗局大师啦!
) y$ S3 W; k/ ~% ^
4 ~+ \4 v: u: Y7 H$ ?! M: w) t- @
' p5 r; r% F8 q( C" g% k. b& T3 n0 t0 q7 t
& y% [1 q6 I$ t) z7 v, i
小白:93年的骗局大师?没听说过啊!
# k4 N3 D2 n X+ Q7 I: E0 Y# A a7 i/ x R1 h9 }
9 T) ~5 R9 p, N6 k6 {1 m7 @$ [
大东:那可是被媒体评为10大黑客事件之一的主人公啊!, L$ X- H; ]( p& M4 v; {& v4 f: Y
0 E3 G3 V9 h* \9 C& ]: g9 H; _: e
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!) \& O; ]+ l4 O. j" w7 z$ t
# \" [9 x! A: ~& L
$ m$ O( O5 v- j: P. M6 V二、话说事件
/ Q: R) O) N1 s$ b
: H0 ?- W' s* z8 q1 V% n! `8 m大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。3 L3 v! R+ d0 T1 H5 R! O
, v9 b* x$ i7 G+ u9 y% P. Q6 B* } K8 R
小白:入侵检测系统?东哥,这个系统我有点陌生。! |% O' k* h% I* h% r
6 L. }- d+ ~" `9 U$ b
( |* l( P( V$ a7 q1 v' |大东:哎,你对什么都陌生!
; i5 B d6 K* t! X. q+ ^* R( H4 k( _- k: n
+ F6 b& ]/ [* h9 C4 |# I# Z7 }
小白:东哥,你又揭我老底了!- b& x2 y; z: P% c* j
9 C% z/ s& I# F( X9 G' {. P& L% Q' s9 _2 P% K* S! h, T
( e g( [! A+ c! n- K* }% z! M* G: I4 [6 q0 F$ c
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
% q1 r6 C" i4 o& n
6 D& ^ G4 c% L. q4 M
" I' `7 R. q/ {/ F! F6 o/ z+ o+ ?小白:那它与普通的网络安全防御技术有什么区别吗?' M# l9 A& Y7 c8 W, m: V0 Y% s
7 R: J$ J/ ?, `. V! @* L9 B0 [. l0 H
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
+ s+ @; U7 b7 p( @) c& i6 p0 b/ _' e4 _
. u2 V7 B- y" O: ?' P
小白:入侵检测系统具体有哪些功能呢?
! V4 x$ `+ }0 L* b% r4 E
) C" z: P% l: m& ~
, g1 x; \* D5 K大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
/ }0 ^; Z0 U7 m2 h( c6 F5 Q8 w; J% i% i
8 d9 R Y+ x) k9 H三、大话始末
: E: k$ s/ w: b" e$ {' C' L( ^! v t6 C3 }
$ d+ R% Z9 {; |! A6 M7 g& A8 S
小白:东哥,我还是不太懂……
3 E$ \4 P* U, p' f; T& X
' k5 D' U) E9 `/ n6 T: K. J
2 B8 ?) k8 E, D( a/ h! h大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
! _9 P5 b1 X6 T8 F9 M
% ~3 o, u* s6 m* Z5 F# N
9 h: R7 B# x5 A( K& D9 e3 @小白:那入侵检测系统岂不是有许多种?; _/ i6 r; J$ }; m9 K; _
' G4 [: f6 W. I* o7 ?) v/ D
0 r- d4 J. f, b9 A大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。4 i4 @2 {0 h6 c: }/ B2 t
5 F* R) b; [ x& q& i- q# {. T" P% D6 g* v9 Q
' N; k- I5 d- W
异常检测过程 图 | 百度' B; X" F5 T; ^7 s
& _6 z2 o, x. i' _- [3 D
( s4 @. ?! D, M3 C" @. b- y3 j
0 S) ^, t' v b0 q小白:那误用检测呢?' m1 c" ~! q5 |2 B/ w! _. X M/ A
_5 f6 {3 U3 g9 R' V! A
3 c* d$ |% y& e' M _" d大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
6 ~ T. e+ S; `9 z
6 K" n5 D d. Z# T, K. S* F1 p& P
) s; y/ ]0 w0 X/ Z' G$ S9 t5 u- i
: p! v9 c7 u7 P. @: H误用检测过程 图 | 百度
9 N4 ?. t# P+ M K
6 }) t2 r- F0 S4 Y7 y c3 `. P7 H1 P2 w3 `: b, H* s/ q6 j
小白:那这个入侵检测系统岂不是“百毒不侵”了?7 @* k% U5 T; D" g) g
5 e. y8 _8 ]1 }
; U) p; d( B' d大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。- e8 V% \. I9 }0 H8 B& y
: q& V/ R5 h1 K a6 u( G) X8 k4 w* j- Z. ^& W9 ~1 c& @ Q8 S: i
四、小白内心说
8 G6 K0 N' z0 o8 m3 h
+ c) o. e' M; a8 c n9 x- \7 \ d
& k2 z' N+ T m, C大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。; C) J. X( R6 g
1 ?3 M- p! |0 J9 I' m* B
Q1 I& w! w7 Y. k( @* b1 f1 w小白:东哥,那我们到底该如何防范啊?
7 S' I# C8 G \% i# O
5 t* n, n" e3 J/ Z" ~" _- O
3 `+ Z$ m! @% Q( Z% O; d5 | O! g大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
0 {$ ?7 d! E: H' e U7 g* G, S' Y) [; K' E7 d: ?6 _
2 c; |, \! _9 E. E: J) y
小白:哪4个原因呢?, W! i) y) t" c) h
/ U2 _$ h9 r3 Z3 A4 C* R- N
4 U' @4 K* V7 h9 i9 c# L+ w大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
1 M) B6 k6 S: @2 s, F$ w4 G" S. ^
. ?3 c4 t# W# L- |小白:东哥,我又长知识啦! * B7 U, H& a. H( c5 V) V) k$ q
% y. `( a' j6 c( X/ s; `7 T
& i9 f, l- G' L大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
+ J3 A" H5 T, m# w
8 g$ C. h, i! O, D5 O
+ d: O! ?9 Y" }# ^- b小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。) M9 n* C& ^5 u- c: R
/ y; A! u% ~1 r* V3 K, F6 N+ M7 H2 g J0 R3 _, k0 B5 X% y
; W) P4 w7 s; }7 U: w0 q + r5 ^- ?6 z3 Y1 h) p% v
来源:中国科学院计算技术研究所
# ^) K; k# w& m4 `6 q
9 f& r- c4 `$ O; _. T' |
3 M+ l% m9 s* D0 h温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
$ H9 M) b$ f+ }" k k+ S0 I% ]) m. `! ^3 I
1 h! q" m. E3 j3 N
4 V* a2 R* O+ R% g9 B
, `( b- P" H7 u
0 ?- R( L9 M# {( q# X1 y, z% {3 [! Y; z* |7 b7 s! g
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
, N4 o& G: s6 ? u! k免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
