|
|
一、谶曰# N" V5 p) d j' i1 B- b& Z
) e: t* {( `' C; a9 e; A
0 o( H+ ^0 ]9 }/ |6 d( B, r
大东:小白,你有没有听说过骗局大师啊?& G# _3 \% D, F
5 ^( d6 ]" E2 B Z% c* m
0 k$ l$ f |! w! P3 T3 S小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?* p) |2 X( b. ~2 I" h( m7 r$ j7 {4 w0 Y
! o/ G7 D i3 J/ T
" z; C" }8 Q' F1 J, Y, s7 e: w
大东:哎,我指的是1993年有名的那个骗局大师啦!
: w- W7 o! F$ H3 p- [ V8 K 5 f b K- X& b2 Q7 g
9 T2 M3 K0 T- m- \6 j1 c" C/ ^6 |& L: m! Q
' [8 U A, D" C1 _' ^: x
小白:93年的骗局大师?没听说过啊!
# R8 G! m. Z* V7 j; ]/ j/ o1 }; K+ Y7 x5 `6 r: o: o% M0 O# f
1 h# ^, S2 x8 H4 |) \9 [大东:那可是被媒体评为10大黑客事件之一的主人公啊!
) N, x2 F. l8 l- V a4 l; A7 x! J6 I5 R3 F" ?& I9 |% B P
( b+ u: h* `+ N# U
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!% r# P3 }6 H! I7 a) }7 R4 }
6 ?+ ?) x& X+ [4 e2 l6 T$ f
# D: O3 @' \+ c二、话说事件6 o, T" q3 L% s4 N
" ~- ]$ ]4 V# I, y+ p5 q
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
) f; v( [6 q* {) G! B8 k' e/ Z6 w
+ @. q$ O H, t2 ?* Y# H! ]7 Z9 ^* d% p
! X/ ~0 J# L/ J) i3 z小白:入侵检测系统?东哥,这个系统我有点陌生。' q9 W3 T- b* {' C; k% F
8 j8 m$ l! a, ?0 ` R2 Y
6 i* a- c# R6 i1 z. V* G9 O9 _大东:哎,你对什么都陌生!, P) f, h& ~: G0 X" p$ ]
6 I' k0 L" o; R, F6 }& I
# d4 {' y/ {4 f8 _7 T
小白:东哥,你又揭我老底了!. m* _( @3 R" n; ]1 W! p2 z
2 C, c; F* k# G
2 e1 G" W" k& P" C' Q8 A+ \
6 M+ e1 D4 G0 o( I/ a
' o, Q6 l& V: Q% {! j5 l大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。4 p# u( k8 s+ @- j: n2 d
! x' d2 a5 f- V" r8 q/ m( N, w
2 a3 _/ w# v1 w$ G, ^( w小白:那它与普通的网络安全防御技术有什么区别吗?
& s& X5 c/ @2 n4 K! R" Q& ^( q7 e! R- F1 ?( b% T/ J( Y5 M4 h( U
+ x- c0 | g8 h( X7 X
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。; w( g" ~% r* _# S: {' b
* n' t) [/ Q- v. F8 ^ b m
2 V* C U6 h$ F( W" X小白:入侵检测系统具体有哪些功能呢?
5 X+ X; Q) `; u+ Y7 Q1 G
) ~' v i3 }7 g2 w+ T) o$ k/ b4 b5 T8 u" `
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
8 Q0 W! O" J, r( r# q5 z' ^1 o
" p( w' f' ]" i. l# {3 \9 w7 U9 `+ {) m3 M: w' O1 u' a
三、大话始末1 t, ^$ n* \( E/ m& |& h8 Z2 ^% G
) Q: G2 y. c* u2 E5 F) A
" O- g" e6 a6 }2 E. u小白:东哥,我还是不太懂……
5 j! F$ j8 \7 P: E: l) b* Q" d. g m+ N: k3 e
. G# x2 F2 A5 {/ H6 D. t- N" G
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
' O9 J; c# I0 J+ y
! [$ T# T$ p& G0 C* }2 q( L+ u3 O+ T n2 f
小白:那入侵检测系统岂不是有许多种?
- {( d" c, i0 @7 a0 ^) g. v* x3 i) F" I1 S0 B- b& k" l
; Z! }) Y+ Y G9 r& ^2 g大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
4 F8 \& w# o' G
9 X! h9 Y; C5 y; A" B5 d) H# M! R4 _4 m- Z9 ]
1 J* j9 F8 K4 M2 Y异常检测过程 图 | 百度
) V2 Y) }; u. y
4 l- x# s/ Q) i( K8 U j# H$ v/ [% ?0 e
: \5 v7 d' s V3 \+ O7 {3 B5 e8 O6 C( }8 B
小白:那误用检测呢?$ R. \, S# c3 i3 }) {: ~5 d x& P. }
2 g: y/ O; s; S2 O3 @
+ O" q b$ \% e: w
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。. E- p/ v2 d3 n4 l- \1 U
" e+ i% @8 b9 M( ~5 w
$ a* F* B0 l) y! i3 A7 N. L& j+ l- E; p5 m- g
误用检测过程 图 | 百度
# K% p0 g V B, @% f& W& u2 a6 l- } K; n$ k$ d& l7 U% ?" x1 x
) G; G& j& o+ I0 N小白:那这个入侵检测系统岂不是“百毒不侵”了?4 m/ I3 D# [8 B b4 n+ e
2 T' ?* N. T3 U8 S" [
) K; z6 ?; U, c" f9 s2 c0 X! ~大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。# Q7 \- ~" s# k0 Q! |: L; r
6 o8 b9 t, u" e$ b
, v: `. D7 g5 p0 d( ~* q) v四、小白内心说( a( |* {( r7 u M; f/ Y
! r5 W6 c0 q+ a$ G9 f% E2 h
3 f9 f, y! E5 A. @' q大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。+ B4 b1 R+ ~' `6 N0 `
; \3 E( ]# m) C' l" [
+ b: a& d% j' x6 y+ @小白:东哥,那我们到底该如何防范啊? * |9 M f3 @ v! N. d
% E9 R" Q6 Y7 i: c) _. b
* j! j: R& \% ]; Q% |4 h大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。& s n) E% ]5 d. H! m. Y( b, X+ ^
& N; j& t4 d3 q$ F3 b1 t
% O! Z& h- \& g4 ~: ?' n+ p小白:哪4个原因呢?* s; S: x3 |( Q- E2 S) O
. o' C$ R/ m3 X2 y- O) ? ~& h3 }6 r J
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。# {' ]9 M9 n. w# r# J2 m4 \
# w4 j" K/ F9 b" Q9 @. \* f$ H5 m( s: n1 Y" q
小白:东哥,我又长知识啦!
0 A; ^2 y# A+ c& F" Y
% c; t2 J, Q# s0 @2 h0 l+ [
' L& m: ]6 U1 v1 c5 q! c5 [大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。1 i. r8 ~8 j/ u7 `2 G+ }; J
3 ]0 u5 w7 s1 [( L6 J$ q; O% b# k ]0 q
0 y2 V6 x" g5 m% L6 m小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
$ |+ Y: O4 l$ ]
* ]) r+ I) z( X% I9 j8 P! C, o5 {! j. @; r* |- L: q* r8 W
$ F( G) {7 l: D5 y* O
" u" r T4 W4 v4 [; k1 ` q0 }来源:中国科学院计算技术研究所) W. I# n6 f. W H! V! M
8 x Y) V) e5 }/ T# K; Y: p! h/ v
, [0 }; X2 W* w
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
8 } ~" h8 B( a$ N& o
& A. \2 F( ]0 ]" S7 T/ b' X' W8 r4 k/ V4 O+ O3 d
$ }" r. V$ h2 k, v
7 e6 U: N$ L( T4 ?; e1 _# J
 $ H' P4 |# ~9 U: ~4 K
, x g, i& V4 m( |' @' G来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1. E4 A3 a4 [4 ~2 ~8 v9 ~+ i
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
