一、谶曰% U- _% N5 J( w2 I9 ^. N/ h
2 S, U/ R i [( n' L 0 N0 E9 [) ^7 V6 ? ?% b! d9 u6 o
大东:小白,你有没有听说过骗局大师啊?
; T; `1 c) a7 z! k8 p Y# a9 e9 p3 |. t" S+ O" n' }
' t+ u/ R- U+ I+ q小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
1 i8 g5 v4 V& i# B9 j( |/ \/ z. l3 r
, ?5 `: a/ k) H0 [' d' H大东:哎,我指的是1993年有名的那个骗局大师啦!
2 D- o1 l" O$ M3 M / r- z% U9 `! J: h
! P$ x) W$ e; p1 H
1 f- q: ^2 I! S7 u& Q! A; [
/ I4 I4 \3 K3 C0 f( m小白:93年的骗局大师?没听说过啊!
+ ^7 H% Q6 j4 [- _) a+ _( q4 x
) o2 G+ I0 @9 f$ U. \* N0 x6 p7 | M4 q1 s e3 C5 B9 D9 o O$ q8 i
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
7 a% }7 ]2 r7 c% @8 R
' p/ T' R% g& K+ Y/ u. S3 q9 ~8 R0 F& Z4 N, `* e
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!8 K0 ^$ s4 I: x5 o
# ^6 c$ c3 t! B. }
" r5 A( t: I4 c7 o: g二、话说事件* N6 E: a' C/ w$ [/ l9 g
! R8 F) A" g+ z4 ^. W
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。. v5 ~& l% E. w. G/ v4 Q
% C: Z' U* p! y8 v- q0 s! L1 ^2 L; s9 |: u8 W. [# m
小白:入侵检测系统?东哥,这个系统我有点陌生。5 T: q! T- P# L9 l! W- b
+ a3 ^: D+ g$ v$ _/ u. O5 r' n; I
4 e' f! j7 `8 u! a! Z$ n0 _& \大东:哎,你对什么都陌生!! o1 a/ J7 F. n3 Z4 x+ X+ r' k/ L
& B5 F. y3 h# @8 T+ O
: N- F3 P+ }) r. j: ]9 @小白:东哥,你又揭我老底了!1 i: ?9 y T$ r# i- j
# V4 X+ n l5 S' x4 e- m, t$ Q# ] u
5 z( h# |( m, y- v2 m4 `/ f- G( {9 D4 ]4 D. v( a; D
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。/ t5 \0 ]! W/ f0 S" d
' Z4 b4 b* k D, z% i: e- s6 F
小白:那它与普通的网络安全防御技术有什么区别吗?) I( v+ P7 D- [7 Y
1 T7 g5 t5 K& I* Q# g0 y/ o6 t4 T& N" W) u" f# R
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
' M3 b+ R1 Y0 u F3 x+ k+ n$ O) Z. N' X3 ]
5 K! t: b* x& ~7 {7 x8 a6 Y小白:入侵检测系统具体有哪些功能呢?
- c* z7 a9 j& }- I0 t: K, y/ E! T: F, F4 J( E7 B
' y, A7 ^. ~6 ?
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。, l0 u6 W2 A+ W' T, K4 i
) w7 K. h/ R# {: N, v
: g1 I# L+ E3 x! r1 h三、大话始末* D! N2 I" n6 S
" R8 D+ a. D" J; u
4 `7 `* t" t$ ` n- L; s小白:东哥,我还是不太懂……
7 e0 ?- }7 D# X0 v- `4 n: ~( O" ?9 L+ D* H4 J" D! a
3 T* T4 x8 Z; J8 ]) E
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
+ R( ^; s. }2 d, J6 V
) i9 C4 y# [3 c/ a1 [
& ^) A7 |, m0 S! q1 W2 L: f小白:那入侵检测系统岂不是有许多种?
& ?* G1 z1 H _8 @% Q
6 n: v0 J+ s; w+ V. n% @! p
0 \9 y4 q# {0 \9 _* d0 S大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。3 g( H& ^/ D7 I, s8 b1 ]
X: Q$ U2 S" [
4 L6 n! P' U" o' v# c
- a. k4 d! q, h异常检测过程 图 | 百度
) k* G' ]8 m8 f6 f6 B # g& g+ B- z4 w3 ]
7 b6 U" P2 l6 `
9 x& {* ]5 s$ i
小白:那误用检测呢?
- n1 G# `' D8 x
0 ~2 \2 x, g8 y" \4 E/ u$ X' q. C- J. S+ R7 y* O
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。" U* P+ q! E! ~1 R/ N; r, @3 A U0 Q
8 I( r# l8 T: x( x8 ~) E0 q8 d- G8 N: X
: K( _( r/ g+ j- ?2 b
误用检测过程 图 | 百度 - g+ ~* g4 I/ l* B$ d5 J) V; O
+ p5 ]+ e g9 C( }: `% S# {
" R7 f* f; u3 |1 ^2 O5 K
小白:那这个入侵检测系统岂不是“百毒不侵”了?- |" B z% ?+ [6 c4 X1 n! V
* p6 F* n- P: l/ j
! r! u) J( y5 Q
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
6 O6 s s, o$ b4 d. N, T
6 G6 G7 y" K6 n, B; [4 p$ L
8 m( A# Y( E/ s: p0 `四、小白内心说. n3 n) ^5 G0 y- |+ ~$ q7 ~
" v; a, k' z! w8 L: U3 [7 E
- D0 ^2 h% l. j" y( C1 m大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。9 O7 x8 ?( `4 h6 p& {
" f* Q4 C7 _5 Z" F1 |% C
! _5 C0 G# L6 U I0 C+ D' \小白:东哥,那我们到底该如何防范啊? % q* N; w7 ]5 S& O, E7 A; [
$ }# b! O& q$ u( W. E0 q( W
9 q* C; y+ ]& z8 z
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。; u$ Y4 ]! F8 {& ^6 E
: t n; @- _) ?( o6 i- ~: M$ U. O
5 O n# v$ W$ k; p+ z) e$ C% u9 _
小白:哪4个原因呢?
; F2 e! x+ v. k! b4 O3 g) ~6 q
4 C- e I! z7 c- T) ?
( ? J1 @2 G: M, }大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。; Q6 _! Z0 d/ |0 s: l0 f+ M
& I: j9 x. d) Q9 G7 b$ l- B
. I) ?/ w4 a" M3 ~
小白:东哥,我又长知识啦! ) p' i, Q9 C3 z0 D! U5 v6 e
' H C2 x' f8 d4 m7 g6 \# g
' v9 S4 s3 {2 q
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
0 \) ?% I0 g0 r! g7 l5 g2 a, N/ l2 ?7 P: a
0 }3 |! @$ Q+ b" w9 k
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
8 q: A5 V! i" v
) ~' }' k0 X' H1 \; Y" ]' t) V, C g3 f) d0 @6 I* D9 z; q
) Z9 \* q" Z4 l0 O1 j' {5 i
8 y+ b/ _) `: n* H- o
来源:中国科学院计算技术研究所# t! l6 h$ T7 X+ ~
5 }+ x* ` T# C" M$ X+ y& v7 a0 `- G M1 }+ Y" A. O* {, p
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
! u. X6 h( J E2 y
- G8 @, L1 J2 ~# o1 W
% {- k% y- r- p. u, t
' t9 D$ Z$ f+ B8 R$ f; l+ R) P* I% o4 C! ]$ {
 a% B- [ l8 h+ i/ k, `
/ o# _! r. R0 u# e' ]来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
# t1 h: B- r1 [免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
