一、谶曰4 h# t# A' S# \2 X
6 a. t; v3 ?* s. C; t % B: I$ v& [ e8 c v C
大东:小白,你有没有听说过骗局大师啊?
- z& r2 V6 e+ `" i& _7 Q$ M" M- k: g n$ o' `) y4 a6 O7 {4 w6 B7 M
4 v* M/ A! E; x% s小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
& V0 K4 D$ u* N* ?- G3 u5 S) a X3 y7 U
' @9 j* {& k7 D& R9 A* d* q! t* r大东:哎,我指的是1993年有名的那个骗局大师啦!4 V8 O& z; _4 o6 Z
, ~8 C1 l, S$ y0 Q/ M6 z
3 ?6 F8 o& Q) x: {; @4 L) E8 z
: k, G. x2 G( z$ q) k9 |. n' x3 k) Q
5 l4 V% C% Y C: G, u小白:93年的骗局大师?没听说过啊!
d/ u/ C9 r3 u$ W' |) H5 J3 Q1 p! N5 [
9 l, y2 s/ [8 n# j' Q% w大东:那可是被媒体评为10大黑客事件之一的主人公啊!
3 c) P4 L: u. {" ?7 I/ @. K
8 F; `6 ^( K6 {8 @/ |6 t1 p" w) g# W( T0 M
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
3 m" Y! X! K" \! V: s
. u# e S' D% w2 n: e) g+ t
" @) {% W) J* w( T& r二、话说事件% n4 }. x* D* p, F& |% [& W
! o5 V4 \ P; i7 c. E% C大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。 t% ?: ]) {" X% _
; j& K; p% b1 Z) ?; z
) L; }$ b5 k9 ~3 p0 u) ]' T小白:入侵检测系统?东哥,这个系统我有点陌生。0 U" P/ W# e* C7 t7 j& U7 j
( X6 n8 n0 ~$ O/ V6 f8 { }
" K% F2 B0 x2 c. Z' }$ Z% k大东:哎,你对什么都陌生!
* n; z5 U* [ N5 F: b7 r$ c6 F( v7 G0 T' l" ]7 Z
5 r& e! _# e: y2 j- R; K
小白:东哥,你又揭我老底了!$ i7 ], x$ C# l2 k+ T$ F
* R5 T2 `4 f# J J9 g5 D- L( U. H# e- D* e2 C
" }0 f' ^; z+ C) H4 R' r/ j* g' G" \6 W# D' `
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
2 M7 U) \8 I2 L& `, H5 x7 p& ~; W0 B A+ m+ h
# _2 M6 d& }; l4 ?" D
小白:那它与普通的网络安全防御技术有什么区别吗?5 u; ^6 O% l. S9 u$ Y; T4 g- S
! |* X! b7 Y, y4 Y
) P2 X2 N1 q6 r+ @大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。* F* W1 i2 u, n& l' e: l$ u
; N% O- T4 Z) N) ^2 \! K( h
! g2 Q% S) U! D5 C8 J小白:入侵检测系统具体有哪些功能呢?1 ?. t: x6 b* L0 |( ^: _
9 T+ b, U/ v4 b) _# n: g' j! @/ C2 [: z0 q! l1 ^! b+ ?
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。/ i$ O `* G% O1 R5 F
5 `: ]! k6 Z5 e F: f( z/ C) e, X5 C r, K$ w, |
三、大话始末7 c3 k5 O8 R) L
* F. Q! d( ~7 m2 p! g% |
& b1 p/ P! @# W; y% N: o. G" s小白:东哥,我还是不太懂……6 T. a: M# b6 M. e9 h2 |
/ Y5 U( L7 r# P7 R+ ?. ? `( |( G1 S& v5 m% o$ Q2 Y, U
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
+ ~3 J* C- ?; J# `6 O- O
& l8 {8 _$ x0 |( L" t* c. ^
* n0 z: \; Q6 H1 e$ B/ D! G小白:那入侵检测系统岂不是有许多种?% E9 ~& D) Q- y% a) F6 M) Y
( L0 n% T; P8 h
+ ?; A% }- F* N: U: X5 Q
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
+ P2 E6 C% `4 Q, D$ m7 p( d. `+ R M* f
1 n& c+ C% U$ |' A$ s
$ ~! }1 z+ f9 W$ m g" \# H异常检测过程 图 | 百度
1 \% {; u# ? m4 J9 ?7 W
* Q6 i$ f0 a% t& r9 v4 c2 k* b) L$ `9 _
: }5 B- V1 k) B) h; N6 J! M
0 O1 U+ |: O# b$ C4 U3 o小白:那误用检测呢?% N+ Y9 f; Z8 u; X4 G
! F5 P" e1 T! n: V8 S
( z% v0 Q. N0 H& U% m& `大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
2 h, G- @& I; \
- q/ d) N' ~5 ^6 B- L. t" i, o3 @5 F5 k' l8 J [: V y3 K, Q
8 L7 @) ~7 N% c2 V
误用检测过程 图 | 百度 9 ^* N6 ^2 j; K6 `+ h3 f$ {# R
) ?! P6 K; q9 o) t$ W
w; N: j7 {/ h小白:那这个入侵检测系统岂不是“百毒不侵”了?
$ X5 K; k; g2 Q- t4 _' S0 _2 N7 y) B# }2 u; t
}7 e6 B6 P1 S+ \
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。: O. T" I0 W& D M1 R) L8 V
+ A9 K2 U+ J- \3 j* W. H3 ?
( \! _* r6 m! E3 A8 q7 @四、小白内心说
: Y5 [6 z" p& Z. [
1 @: V2 G D6 z( L# j
# m- }' X; s: w大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
& r8 @3 r( H ]+ l% S( C, D( I: B* H. }. x
( d ~: j8 _ n3 C. q0 B小白:东哥,那我们到底该如何防范啊? * L8 \/ ?/ ]0 M8 u }5 C
- _/ E2 P; K5 T, d: A
6 p. K) a: ~! l+ _大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
3 ~ S# k; ]# h l7 l9 q8 f. i1 m# a" y) q
& P$ y8 l& x) N4 I0 ` Q. w小白:哪4个原因呢?
/ e' k$ f; Q+ P% Y! e' }0 n! y* S: l1 J# J7 {% _- }
& G& d/ _" N8 \8 u3 ^& ]# l% o6 n
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
: R# w& P5 M9 F
9 W6 A' x0 u4 C4 \- @4 d% M% w9 |
6 p, C7 X% r7 y" d小白:东哥,我又长知识啦!
. X, q5 P0 E# \9 K& A( C8 _( i( V* n6 h0 K+ C- F6 y' O
/ f" Q9 D* l0 ~
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。) `- @ b) c0 ]
1 n2 K/ h3 C: t' e& b0 m6 h" W5 r0 h5 L' p8 v _0 B& ?3 }, X# G% Y' {) R
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
' t: U% B2 i9 g/ q# D8 B+ R
# E% a% }; v' m4 x6 a" W! n
+ E: n; T' C* |1 Q0 ]- Z* o
" ^+ w E- e; S: M/ O: j# K# B
) U* c1 g) C" P, F& M9 _来源:中国科学院计算技术研究所
( Z" Q6 E/ G3 y2 E/ r" k* `8 k5 [. K) u0 L
4 A) m( z% ~% M0 m! K+ b温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」9 Y7 Y' D9 W3 m
G( c8 t; }* T- Y. g& M: R
$ b1 M; a9 @+ s4 R
+ z+ `, V+ V+ _
1 g4 ^" b/ k$ d' ~% A& H' C 2 s* M4 E$ V+ `1 M% j0 s
n. u8 W+ ], [# K来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1, M2 A) O/ X+ v3 Q$ d% _ a
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |