京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 9153|回复: 0

骗局大师丨专栏

[复制链接]

9

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-10-26 13:58:13 | 显示全部楼层 |阅读模式 来自 中国
一、谶曰0 x( L5 b! x  m9 a* y6 C

6 P$ i: a* F! T+ K 8 A2 `) e, Q6 M- h
大东:小白,你有没有听说过骗局大师啊?
1 j4 V2 h) Y) E" z# d
1 E7 P+ P4 n5 r( Y" B, t5 o$ B8 x7 K
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?' ~6 i5 r$ [- n
7 I% N8 R$ X1 d$ t
" z8 p' [8 l, M! ~
大东:哎,我指的是1993年有名的那个骗局大师啦!
  W# X0 Y% g& E# `# O0 ~ 
' [6 }; n( D9 G/ U* |/ @
% @$ Y: u) D0 _$ k. _  g) V

1 W0 [0 C: |5 w, K# Q
# H$ I" t' R2 D: E& V- \0 l% ]0 Y
小白:93年的骗局大师?没听说过啊!, G1 y& H2 B2 G4 y+ B% ~2 y% B

1 }  c" O! Z6 E: T+ J$ g. P0 f: j' B8 u
大东:那可是被媒体评为10大黑客事件之一的主人公啊!6 S6 c: _4 a! s: `& E, h
) o; y6 D- C2 C! }6 O
$ m4 W9 T) E; H; d' j% w) m  D
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
$ n+ d! N. |8 M+ n$ I; k- n# k
7 N6 u2 n; Q! S8 [" i/ V
/ D5 G: x9 a# Y& N$ P二、话说事件4 q0 T4 D! N; m* C3 C# \+ d7 a1 ?6 l
- ^' d9 W% p6 A* N  t
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
6 y+ B2 q" k! Z+ r
, l7 U: b2 o# i0 [! N' m: l
' w8 R# F6 u0 p$ [7 y小白:入侵检测系统?东哥,这个系统我有点陌生。
$ U/ w  e; _& |0 s& z# K: t) V: u, [. m6 A/ m5 s
+ ?) A( i$ @& L$ p5 a/ ~
大东:哎,你对什么都陌生!" E1 w/ ~. N* l( d

, y7 \8 A$ Q& w9 {" j% U
0 b# _) [9 _! Z$ e6 ]: L% r小白:东哥,你又揭我老底了!
2 m7 @8 Z* ~) g9 P, Q- W( d0 l; a   X6 h/ ^0 z. Y/ |2 `: z
5 O# f4 u4 z1 T) g1 r: d, s
, ?2 R8 r8 x# F- v

5 `/ L) r% [+ H大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
# f( R+ c6 [/ C# s
2 s3 C. B8 s* }1 }2 \# O8 ?# k
& d% J3 b( N$ E0 \% Z2 i小白:那它与普通的网络安全防御技术有什么区别吗?
2 V2 }% ?( X" M2 V
1 p! c5 O" k  u3 P1 m1 i/ W# t2 N9 B' n
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
% b- K0 [9 I" B+ b# r. L3 Z4 O, s
& }  Q0 }# T3 ~) [7 q' a0 u3 j9 n! e8 x" S
小白:入侵检测系统具体有哪些功能呢?
  C; R7 Y$ {+ F% D# _4 u7 s" m+ x& Y3 G- ~: t. X
  [" Z9 y, L  e8 f
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
0 i, H: n( |% f
' R/ Q3 I" O0 o) z# s
. n+ N) B& \$ {8 E) d8 c, z三、大话始末: n/ f, W) D0 |7 Q

* y: A; _4 t/ B" w. b: _' t4 g7 [" n: J& p
小白:东哥,我还是不太懂……
! \# V  I2 B+ S- j/ K8 o  ]/ g8 t) }
, `" v' S0 n( w! o! \. A# m: |% p
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。* N8 A8 V8 q! t9 B7 l3 D0 {; J

/ O/ ~; @; V; R9 w( u# L* e6 h2 ~' n- c9 e* W& P! {
小白:那入侵检测系统岂不是有许多种?( |; w0 ?$ o2 }  d7 k' d
7 j  j# j7 M# I. h

, S* i+ \8 E- Q4 z6 }. N大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
& @/ C  m; ~; `6 P7 {
( |) u, l# P: f& F+ \8 x  J" V

% B5 ?) S, q, K! M' s3 \" \
异常检测过程 图 | 百度* h' ], B. K! f' n. b- e* Q5 u

2 R! H2 T: T# w0 S' p
; H0 Z2 {# [& H0 u& {+ K$ y. _
7 l2 ?; t6 }) b3 d/ e小白:那误用检测呢?/ Q% T- T+ d: \

2 [  t* O- S0 [6 _; O* i" m  ^1 L0 F
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。; o: C( L( F6 Z; W

' Z) v! d% O% A4 i7 ~4 ?( D' U( m. n+ n- |  h7 K8 Y* b

& X' v- \2 B0 ]
误用检测过程 图 | 百度 
2 s& v& i  d9 y4 k6 U
4 ?4 g9 K, I! G+ c3 H

& g: P2 O( ^$ @9 f小白:那这个入侵检测系统岂不是“百毒不侵”了?( \4 @+ c6 P) @/ D9 A
/ N% a% u6 A5 e" e) q. n: F

( x' g0 \) X1 v大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。% c6 D' q' a. r# v

" f0 B' E$ F7 c: ~5 B7 ^7 D& e/ g: t# [& I) O, C
四、小白内心说
7 Y7 G" B+ j& p7 {" {# j4 q4 p9 K- Y1 [, n6 T
% R( \5 |* I4 Z6 E
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。3 h% n4 f" |/ W3 u# t

& E" I7 ]* R9 x. S2 }1 i( a
& d- g3 o) C0 @! E% l  R6 d1 i小白:东哥,那我们到底该如何防范啊? ( @, q5 C* r! {  u
! G. B" H! e: J: U+ Y- }* F
$ n5 ~, S9 I. |+ m! _; _$ S
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
/ J2 T+ }* P9 Y; ^% i, H6 H0 N* {' |) o" E4 Z8 `9 x5 S! b

0 _0 {0 i, R8 a" T( Z7 R小白:哪4个原因呢?
+ W* l" r3 J( @4 m% y+ Q# E
7 P" i& n, H& [5 x. h2 Q$ L% X9 v* k' E( |1 E) }6 {* R! V
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
5 s+ Y+ \( B  R% f" B
+ X8 p/ v. B  f- }; @" }/ R0 Y8 X" F' K8 Q5 K* {" h+ k5 [: [: [: v& C
小白:东哥,我又长知识啦! 
) M0 W$ x8 G4 g4 J3 j/ l) `: ^& \4 o
9 H( }+ }, [5 @
1 b" M  ]9 m4 M- O# s; d大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
9 n: t) R6 o) P0 z( l7 Y. H( r" `
: n1 n' Z- K' A+ w/ L
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。& ?. N# j& M- `% ]( l: D% S& F

; S, O0 _  Q  g; L; \2 T0 v+ |# T& L% C4 Q% ^

3 h- r5 q) F  U& V % d9 }( p! m) D% Z9 J! t5 G* N( z
来源:中国科学院计算技术研究所! v) t+ v, g3 s

% m" ^1 e+ M5 z& }! U' R" r6 o2 K6 p& a* z! s- Z9 ~1 F
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
' `3 R% T4 S- {. W
! N% `' v4 t) A" x0 g& E* Z. @
+ g# b; j7 K5 @5 m
/ N& C5 U# I1 {$ F' g4 C# ^' G' Y1 O
: h0 X/ q" h& \$ A
$ @8 P: ^, J* _9 ]

% z2 i/ [  Z) A, C2 m$ v8 j! v来源:http://mp.weixin.qq.com/s?src=11&timestamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1" ~: X- _$ U) u
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-15 17:26 , Processed in 0.038682 second(s), 25 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表