|
|
一、谶曰
- W. W6 |9 Z \ u5 n% [
" j; i4 I$ T+ v
6 W" k# k1 U; n1 B0 ~大东:小白,你有没有听说过骗局大师啊?1 `0 P' K2 e5 {4 a
+ o. B2 ~; Z* Y6 i
7 O! Z- S- h/ ]& Q/ z小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?3 Q' H6 T/ Z0 y! L5 o1 N1 i: K
0 P' Z( V3 z" {3 X7 C
2 m4 W/ y) `* L; ` G# w大东:哎,我指的是1993年有名的那个骗局大师啦!; L5 A. W/ w' s3 P/ Q5 J
/ t+ x( h1 A8 v4 H. o. e
* }2 M7 n+ \8 y$ _9 p5 }- W/ F% ^1 |
0 R( w, k: {! @; c4 G# R小白:93年的骗局大师?没听说过啊!8 f& f7 H+ m0 t1 r( k* I. F9 o
0 R0 A, l( P" U+ S% i3 U9 z8 J% n
# w* N2 P1 ~3 q大东:那可是被媒体评为10大黑客事件之一的主人公啊!
$ m( \$ f+ [( `7 o# U1 [
, b; ]$ k6 f+ N5 A' Q/ j) `9 l
% @7 F, k9 O" H7 f2 S小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
( q+ Z+ [( S# k; ? [- T
$ X; T9 V* W1 C0 o% p" @+ o" r8 X) D2 m
二、话说事件
+ u5 g$ p( F# T' ]9 B/ T9 \" W: ?
E( {3 Y4 j- v- D, l1 u大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
O: x8 ?! L L: I$ U8 \8 O/ b) ^ _. O+ {' C- v, u, \
+ [$ y$ V, Q6 I: {- s8 K) @小白:入侵检测系统?东哥,这个系统我有点陌生。
( q' ]* f( l; |+ Z
. j) U, g* z& q# e x! ~3 H
; I$ I8 q6 }8 Q) z- u大东:哎,你对什么都陌生!. K9 O/ t) B- S- d }! B
0 b. [. L" g+ k7 N, g) H. W, S) o' g3 w% l( r+ }
小白:东哥,你又揭我老底了!
4 W8 O/ k0 O$ |- ]
' e/ ]1 C; J* x# f( p6 w, ?$ s. L$ r" T# e/ I6 s" [
/ c" @- x8 K* u+ q. P) M2 j
+ U$ O( _9 g6 R3 ?; j大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。; K3 T/ l! x. P3 C
% J9 t5 z9 Q6 r4 o# r4 z$ u% g3 v3 U# |- ^# m
小白:那它与普通的网络安全防御技术有什么区别吗?1 F3 T- Y. m9 Y6 \" M
. P; q7 w9 k# Z( P8 G/ h/ q
7 m: S, ^# I% R5 \! x大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
, M( N. y; P4 |' w' {# N$ b. @2 m
: e9 @1 e# @) W) V5 z
; g/ U$ U2 u0 O* ?( ~# _小白:入侵检测系统具体有哪些功能呢?
9 A- I% u# I2 J$ o" X1 l/ ?9 O1 d o' Y
1 W, G5 C# W0 M$ w/ ]
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
9 ^9 j% L! c: A: ]' o! v- O2 c4 V( X. Z; t1 |
4 V1 |* S5 Y9 K- h4 m
三、大话始末% z) b# Q2 q/ D
4 k* r/ i0 x; H1 o& g5 s- G6 q4 p y$ r
小白:东哥,我还是不太懂……- X1 [" n" u8 A8 e4 C
3 q7 N# s0 s' G1 ^: I9 }& g5 ?
$ e! |' h+ t# o; T1 h7 _大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
3 S3 O5 j$ j# G7 S+ n( t9 b
! v- N7 c; K. Y. a* o* Y7 l4 i
2 Z# `% B. R3 _- L% X小白:那入侵检测系统岂不是有许多种?
% h8 _) q7 W; S* N( }5 |/ m% p& {6 L1 }7 d9 f3 Y& j
0 M! }& H3 Q+ L" [1 E$ | o8 a大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
! Y2 s8 b; z5 D- U* l) s+ A9 w6 W; i; `) Y; r2 \# \4 E
! [2 }7 V3 Q5 F/ w! Z! L
2 M" [$ v) z5 P! ^异常检测过程 图 | 百度) m3 s& G7 R) D/ ?
* w* a7 U/ m4 d9 _! g5 r. Y
/ ]0 R0 G5 T/ @' W8 A+ }
0 V/ z3 I6 G: N6 u5 Z小白:那误用检测呢?
0 [# e# y5 j" o O u- P+ O1 [" ~0 p8 p( ^$ e m
3 j" p8 t# z5 U
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。9 |5 v$ @, m- @& U* Q$ Q3 Y* ?
; L7 E. q) _" j! ?; H
0 }5 [# Q+ r. I" X0 z1 g$ J; H- ?# i; H/ @
误用检测过程 图 | 百度
+ x( k' ]' y- x* Z: W) i, z* V/ f
/ W) U& J6 q4 _. j
3 h/ G* j, f8 }+ O小白:那这个入侵检测系统岂不是“百毒不侵”了?5 i3 M2 v" n* X s" N( [3 C+ {
# P) i" F) R: @- D2 L. _' E( e3 q. L/ x6 T& E
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
% k6 p9 Y: N/ t. d
: D2 r/ n' Z8 l7 n7 k) @5 R% _0 \% l' X
四、小白内心说6 ]0 b6 s8 z! s1 f: z* ]) W4 x3 h$ ?
+ X8 s- i+ o( f" H {/ @
1 f4 G: X/ d# I2 |大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。5 ^) N* O" M2 @
) o7 S2 ~& M8 P* A" Z$ K
8 f& [" N t& H F# |
小白:东哥,那我们到底该如何防范啊? 4 Y5 Q4 E- B/ O3 d
! p& i, \ u4 x. _9 e: y) [' T) F8 b8 A. \# t
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
/ h2 a6 j- P# h
3 g- D& ]5 @& S8 b. A$ ^( E: i$ z
. p9 D0 j6 t6 ~5 B- W+ x1 `小白:哪4个原因呢?
, }; [0 f( D( f4 ^$ r$ v3 o8 X; Q
: W; n: j; x" D( @3 T7 s) v; `# w. ^" ^' z% ~
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
0 H$ x4 ` }4 G: u2 O# J
! b; x( o' m) P3 }' J
) q4 b3 b- @: V1 m) T( Z6 {小白:东哥,我又长知识啦! ! A% m9 r* q0 Y/ {& v; w
( v1 S( r* @, j! ?/ m# Y
u- G3 X2 T; | s: f$ V7 r大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
3 a4 j4 R% |$ k8 k# u {6 g6 K& a) T
1 S* v% @. e) v% L4 N小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
/ U2 `" {& v/ c1 W, S3 {- ]9 g8 W7 |# F
4 K5 t% i; u' h( G3 J6 I; H5 e: Y5 ~, H! S
2 W, o$ b4 e, i5 K( L, b0 t% ]& t
来源:中国科学院计算技术研究所8 N1 i& y+ \6 x3 r& a, ]
+ H4 G6 @+ @/ X( a
7 L- f4 q6 t3 i. Z3 `3 L# B温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」( o% R( ^6 B& _ O8 _ z
' F7 K2 E$ H d4 U2 `& p& [* z6 f& B+ C5 V1 s; A* X0 R5 j: U6 v
: Q! |$ U( I$ ]
$ _1 i" S" E- `9 I & K1 Z+ O- n+ r, Z
* P# M" U3 t B2 o来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=16 y: T/ [' w1 M5 _
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
