|
|
一、谶曰6 H% E' s8 f n
; p% @9 B( m5 t {0 o- f! D % ~9 v4 U4 O/ S0 L; O0 e1 J+ l
大东:小白,你有没有听说过骗局大师啊?& }/ L0 S( i1 Z$ f, m
! V* B/ q* g6 }0 ` C" l' F3 l& T' j3 e E# m2 b, ~8 g: W4 x
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?" ~/ ?2 P. k2 X
0 t* L$ H% C- r- t
; R; i6 [% q4 u! S大东:哎,我指的是1993年有名的那个骗局大师啦!
1 X& h4 }5 f1 y; J. g , ]" N$ D; @. H( u
/ ]* [; V, a% i3 V s+ X: J7 y
2 S0 }, @6 G& F
) k7 `2 z% h2 O! p1 C# G l
小白:93年的骗局大师?没听说过啊!
# A- Y; J4 }& |; u( r- o) t
K& M+ D) A6 W( Q3 o! n& N+ b, g8 V3 E1 x# M9 p
大东:那可是被媒体评为10大黑客事件之一的主人公啊!5 {! i: @0 R4 v' T5 r5 \
! P: e% O" Y3 L6 e) R/ I6 J# V4 a
" h+ Q, }( H2 L小白:哇,原来这么有名啊!东哥,快给我讲讲吧!; K9 T( x0 Q1 ]- e6 V' g) i% J
) n' ]) _( J! H F! @2 \( y
. M$ a. B5 s- X二、话说事件
5 K2 z8 T a7 Z# y) s" P
! Z2 b% H5 p# d) P7 e9 {, W大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。/ i; v/ Y' F; O& F, @) O4 v
; G1 `% j( ]# O$ |& Z
/ Q' \- o- e9 V8 M
小白:入侵检测系统?东哥,这个系统我有点陌生。
/ B3 y4 F% q# D* E
% d1 s s1 |, }: F
s/ T. g2 [7 t! `大东:哎,你对什么都陌生!1 g: h( b6 W2 {/ G
( b( y" v7 A! Z0 T- v j. f4 \6 f# C$ Q5 v D
小白:东哥,你又揭我老底了!
! N" M6 [9 ~& z5 D( |
- t' \" N, a' T$ ~
' v# `& B; F/ z9 a" f* q1 m* W& T) L& f: K
' A6 @- v$ i t N3 e P
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。1 S4 X) Z, `% F2 t H. I
' G% G" L: U0 g$ w9 u- s; n! k( x' E6 K# e! s$ \
小白:那它与普通的网络安全防御技术有什么区别吗?$ q- j# j/ e& H6 N( X, s
# U' \; u( v- o! e9 l1 X0 b
$ z: {; E. @2 A" |3 u# Z4 w6 ^大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
% ?: j' i# A( r9 E5 s; f! N! M" J/ k( g+ G4 e: k
2 t6 t4 g( K6 n- H5 h; Z& |, X2 z小白:入侵检测系统具体有哪些功能呢?
/ q0 g6 B' G& @3 r, S, ~
0 ]& o0 J3 h2 Q: m# D* i: W T& V% k3 `6 I/ i2 o
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。& b- c9 n6 N+ m- J2 S" P7 s% B
. G& \7 O, C5 `- ? U3 L
2 I% Z$ `5 u. H/ J4 [三、大话始末. U: { o; A9 E" }' \% v! F
$ |4 ^5 u( F4 f6 U4 M2 m
2 r' }" i8 r u; m4 N! H+ N- x
小白:东哥,我还是不太懂……4 S( [4 J/ i7 \/ A, w* ^ N
8 A O* Z) h9 s3 G
6 L* U* l( a7 A$ e! ^大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。- h2 O" z* Z6 [) L
2 P3 W! O r( }& }+ z
2 ?3 U$ K5 f2 D8 a. Y9 y8 [+ c
小白:那入侵检测系统岂不是有许多种?
, Z6 `- N# T0 P) A0 y% B! I) g( a \ N+ T. l. v% t- }2 s
8 K. [0 e$ W. |大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
, g$ }/ m; _; W. |5 b1 A$ p/ q! V( m) c2 M$ d
4 g& C5 L2 B# E5 | Y
) D* s! F3 s6 y9 T D异常检测过程 图 | 百度3 O3 V K, A' m9 f7 O$ I5 i
/ I( g6 n1 B: }0 |) V$ L" Y, J; b: e" S& N0 m! Q8 M% G; q5 h& ~ _
) Y, Z% y: j, Q' D
小白:那误用检测呢?+ D/ m S2 k% S' c9 h
\! X' I9 `# B; I3 Z4 S; R3 P1 l+ p! ?, j7 _7 _; P
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
' u6 q/ g9 g; ?: _6 L1 v }0 T1 x# N0 b( E- M
6 B. A" s; L9 [$ L) p
' r$ |0 e: l( _7 [9 p7 u$ D5 f' T# r7 X; U误用检测过程 图 | 百度
' y- G7 R" e9 F& W! b b
u6 s. r6 ^2 [9 |# X% ]3 e) a/ A
小白:那这个入侵检测系统岂不是“百毒不侵”了?3 Y6 x. Z, p T" P. O: n
) w" W. N! @$ s1 `3 t. z) l! O j
! I2 G1 `; m5 k0 a' c
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。# `. T9 @$ F5 [! O7 T
- k$ j K( K) D
: A$ u3 g; x/ I. {! Y$ {# o四、小白内心说
6 t" ]9 E; I( \ ?2 e6 b
+ Q) d b9 f" a/ f p# L8 s9 Q) K% ^, }8 h h m
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
T m- Y: h# A9 A
- F z$ m O/ A" O1 _3 O
' s* @% E2 ?; c# r" F7 x) [小白:东哥,那我们到底该如何防范啊?
# ?% H0 N6 h. [2 }4 F" w! T; F/ Y& I4 O! o; ^) e
/ ~0 }* [. K" R0 {. {4 T7 b
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。# L3 }8 y2 F& i7 u+ ?* n
1 G& a0 c; D* i
7 ~7 H) V' P! G1 J小白:哪4个原因呢?& h: I" o2 A8 i- @( M9 N. B
4 Y2 s% g; ^% s9 v+ `
3 \, B$ p+ u% |3 u6 z) Q: I
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
3 `2 i _+ c. h% h% {, L: g J
. B t; ~+ v8 r/ T
+ P2 ~% @/ F) p2 s" k0 o小白:东哥,我又长知识啦! 3 u- N, h8 p( S4 Y+ W0 g
5 n; z1 E$ L( H* j$ k5 ]$ H1 e, T- ?. ^5 i
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
- R& y! c5 O& M* ^
P2 K3 i0 `. C( N0 R! f
, Y# f5 T. B( l小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
# n$ j! e2 u1 g" `
6 u: r R2 S1 G6 X0 G- a' v5 \/ q
! q0 f# a1 b* w: Q: m7 r
" s9 n) o2 c! M; @. Q; J来源:中国科学院计算技术研究所& a3 Y0 T! F! h8 O0 l1 w( o ?
! m' N" R/ y& a: \- F+ q# K0 k; r9 m# y
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」# c+ _9 T+ ~* B4 z0 Z+ B) S. C7 _
7 \) i+ L' f) M3 o7 {3 Y% X
* K4 ~: J; p" `. { E2 l" V2 [) y
& d. _, v4 `2 u; F8 Y6 y; @
# [ E( b3 L8 s1 |- [& K: K 4 l( T2 s( B" @5 m6 B
, p- d% E, t H% h- G
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
6 z3 k B2 O/ A% O. J) u Q免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
