|
|
一、谶曰, W$ `# l# s, W5 ?( ~, R, T
) y& ?3 S# G4 Y: F9 {7 ^1 w" y 5 B" ?1 h: b I: t9 \6 X3 o
大东:小白,你有没有听说过骗局大师啊?, ]; q) f- l, [5 K$ K/ z7 I
) F( e7 U; `# j! ~$ u/ t* ~0 n8 D2 R
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
" p- ?/ v" v0 M e6 W. X+ y9 C g* W
# L6 W _0 r" ]; b
大东:哎,我指的是1993年有名的那个骗局大师啦!: w6 g: U, P- a* Z2 Z: g
' Y9 Y& _* i4 j% e3 B! B4 [' d1 x! p9 y# v7 _
- N: D, W* U" K0 G! m
4 [! B/ k, G' P1 P* L1 z- p( a! t小白:93年的骗局大师?没听说过啊!( s/ I) c% q1 i! p! F+ m
3 T: _. A) L7 W. G) U7 h9 e9 J! }
& U+ ~# J# J! p1 `5 q
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
* i4 z t8 n" W- |& ^0 P; h& t6 _7 t
' F% j1 c5 L2 X9 g/ ~2 q O小白:哇,原来这么有名啊!东哥,快给我讲讲吧!8 \3 ~( m8 G s: |$ f/ c# ]
- o6 z) c# F- ], R4 ?
8 ~+ `" a$ @) s' H+ t8 P1 _二、话说事件
$ ^; h, e6 S# d4 {% Y9 v
& y( n( O& K1 |2 D9 ]* E1 Y! e大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
- c0 _- n& F/ B- i \' l2 X$ B. ?+ ~& f
5 W! ?) R, b7 ?小白:入侵检测系统?东哥,这个系统我有点陌生。/ Q3 Y/ o6 f' z, S
$ S9 K1 Y' c0 c) `! K8 B# V" b o6 {
3 H" O+ F8 D( J, ?大东:哎,你对什么都陌生!
1 x7 W: }3 L. E! t2 A3 C
9 Y. n+ Z, z& O/ x6 K# G/ [
) z( {1 Z( X+ [8 E; m4 B小白:东哥,你又揭我老底了!5 |. x2 Y9 S/ a" c" }3 Q, L" ~
1 X& @" L/ b8 P' A+ Z1 |( X0 g
5 {# k7 P8 R$ v r2 c6 }8 c% T- I+ D3 [3 V( @0 m# f" j1 |% Z8 U2 n
1 K% a, g4 u- T9 r大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。) Z1 H- h3 X6 j& S3 |( y& |# A
. T7 p; j; e" H& i5 \+ F2 k. \
" B# s: h; T# V I
小白:那它与普通的网络安全防御技术有什么区别吗?* _9 U) m3 p, K. C. F
s) }' J5 o3 a; _! a
$ Y4 B% i1 }* V2 V/ z% ~: Q
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
2 O- d8 r5 h4 v0 L3 X' E+ `& I5 x# l6 N, W# e7 Z0 i
2 ]9 R1 l# ?4 l4 i o小白:入侵检测系统具体有哪些功能呢?) A2 w# j- d b
8 p+ `' u( G- b. d" P9 g/ z. L
# x5 L1 T" U2 ]( X, O$ ?) k! l大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
% R+ N C) X7 V9 b, @
& V& `8 n% S. H+ R8 `
( f7 @. ~$ I9 ^0 N2 @' V j" ?/ W三、大话始末1 h; p% j3 C( S- b/ {$ u
I; p% z q9 g8 Z% [$ {0 V
; v; K: Q6 W/ |$ |) _8 R/ y/ k" q
小白:东哥,我还是不太懂……# b0 G7 ?, d: O+ Z8 W& [ |# S
+ V! i/ }7 B2 g9 i1 P% E
7 U& s5 l' G0 M# T3 y( I大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
8 \8 K& P' [9 ~+ B* i: ~' ?/ H2 R3 W: u+ C1 Y/ g$ a/ C0 I
. L* \0 V' n1 L- ]# s小白:那入侵检测系统岂不是有许多种?
' [" {1 L# H" d- B2 q0 v# |- O
3 j" U5 y4 }4 a8 ~. P
0 g1 @* k. o7 {/ s大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
( ]2 w, z; L6 f) Y+ ~" s+ a; [% B# B5 f/ Q! T8 Z+ ~2 F: F$ s
7 g) ]$ K. z& n/ T
, [6 X# ?1 S1 U- G7 a
异常检测过程 图 | 百度4 `! T- ?% q) p, E- D
7 B" K9 h3 s! F$ ]
j# R6 i3 J% x/ F5 J) {9 ^3 V8 r3 Y3 C7 a% ~( B4 f
小白:那误用检测呢?
# P) q+ e `. e# z2 w
7 [5 }8 D5 i$ B" o
: A6 `) w. ?7 }6 n0 J u2 ^大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。: Q* [) E; p+ U! _
3 p: \) u: A9 g7 T- V% y9 P$ }
* h" m- U6 y- F" Z% _
* e. g; v+ u3 t# x) {! o误用检测过程 图 | 百度 + o! V/ i, m7 K. |- v
' x, g( `5 {$ s: }8 U7 c) }
+ l6 X$ o, E. \ B小白:那这个入侵检测系统岂不是“百毒不侵”了?
, Z8 ^: r' T! `
8 X, w* X4 ~2 k$ R# W2 Y B) t3 A6 n& T' R. _
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。4 e& z; q& |8 `/ ^
" N: i) |8 z6 y3 w# p! E/ d
/ g+ X' q( E+ h5 P2 h) {" g. \
四、小白内心说/ H& W1 e" U6 _2 k
( N4 t' l& o0 h: g# J% a! w7 P
5 r/ j4 C, L+ a4 G- n% y' s$ X
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。& N/ `9 C! A5 P0 \9 J, a! D
3 H" m8 C. x2 h& s) V5 A: ?3 Z
9 D" ^# W0 Q& E) W) w9 q
小白:东哥,那我们到底该如何防范啊?
4 B' f1 m7 `* r Q4 d( o* G
, e# e: Y3 [0 V" H4 k0 p
) v' N- {0 ?, k6 j& U大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。% ?9 H2 Z9 ~2 t+ K4 O8 m) d$ A
/ M' f& x+ y: N5 m1 R
1 c' G# a+ a' o小白:哪4个原因呢?( V0 v* T, H$ V; ^
7 @+ z" a" x' k5 A* ?1 a
+ [ _1 h$ j' Q5 D大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。1 w% p; N* o( W4 g! \
4 N# o2 }/ H: X
; i0 Q) r; n' l0 ]! D小白:东哥,我又长知识啦!
/ |- {5 z: |3 H- L; ]1 V5 F3 o9 f) F8 u5 {; ]0 o( M% l7 f$ l
" C m/ N1 m I大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。% A ^5 H4 r" B6 B" h7 m$ h Z) r$ }
' s! ~0 n$ C) H D# Z
6 [; t3 Y* R- ?
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
5 V' r- }6 R8 o( T% x' k
( h- C& a" j1 j5 R% r4 b
9 G4 t- C2 j$ C8 Q" D9 M" Q. P1 m4 w7 x7 i5 J
0 {5 }$ p& n0 ^来源:中国科学院计算技术研究所: S% v2 T- Q4 J! k
8 y) {4 ~7 P" X
( F3 A2 U$ m; D) _
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
( A1 }2 Z3 {: j6 ^/ R0 e: L' }' D* E3 N2 J: p6 I* V# }6 y2 d* t
3 m g8 w/ c7 o0 q* a: v' j6 F, T& k) w! m9 U9 p
v6 v5 l l4 |% v8 r6 N' a% J : g+ R4 k9 ^! k6 s4 J0 X4 c# s/ n
8 W/ I' ~) y& u; j( T9 X5 k; O来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
6 P% }' u! v4 X9 K/ F8 }6 Y+ g: F免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
