骗局大师丨专栏

凯天集团ovlrnf

一、谶曰

 
大东：小白，你有没有听说过骗局大师啊？


小白：骗局大师？emmmmmm……是《惊天魔盗团》里面的那种大师吗？

/ _: X# v# n( i2 ]
2 \4 O& c1 r7 q9 h1 q: _大东：哎，我指的是1993年有名的那个骗局大师啦！
 
0 V+ ~3 W; n. x& J- L  V4 v8 m* N+ L1 A/ ~

$ N- @$ c8 |+ B' W

小白：93年的骗局大师？没听说过啊！
  i% T' D8 f5 O' p7 k6 Z
* A/ u4 n% n- {# Z* z% W
6 h) l5 E8 G6 `+ C大东：那可是被媒体评为10大黑客事件之一的主人公啊！
& P2 i" L8 P' J7 o5 W+ v! q, {  e
" @6 y' z" \7 Y
小白：哇，原来这么有名啊！东哥，快给我讲讲吧!
* q. F8 y, y1 e" H0 s

二、话说事件

大东：在1993年，有一个自称为骗局大师（MOD）的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
( `; R( _% ^3 c; y( {- a3 \: A

' h& [# R2 X+ H小白：入侵检测系统？东哥，这个系统我有点陌生。
. l. S9 V6 s9 `% r5 C& d1 p
8 c% J9 P. T- o- c  _2 w% f8 ]  ~
大东：哎，你对什么都陌生！


小白：东哥，你又揭我老底了！
4 l0 }% P& e6 z. [: k. w' x8 @ 
/ N- P. n  K) v

0 ^+ i2 H2 x" T! O& m3 H4 o: L

大东：入侵检测系统（intrusion Detection System ,IDS）是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
  {) j" g: }& ]* Q* r3 n

小白：那它与普通的网络安全防御技术有什么区别吗？
8 V0 S8 f4 i( R- |
3 Y; n* E, w! R: m: Z
7 s6 `- s' Z! j+ T+ @大东：它可是一位“主动出击”的选手！IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

. |' F# L# x) e' M/ Z' s+ E
* x% ~8 j; p; L( J. f% H小白：入侵检测系统具体有哪些功能呢？
2 m0 _; \( L* E! @
3 J6 L$ D# P6 V" X9 K4 l/ n
大东：具体说来，入侵检测系统主要有以下功能：（1）监测并分析用户和系统的活动；（2）核查系统配置和漏洞；（3）评估系统关键资源和数据文件的完整性；（4）识别已知的攻击行为；（5）统计分析异常行为；（6）操作系统日志管理，并识别违反安全策略的用户活动。

5 J. y8 B1 _& v9 g: C1 i
8 n6 Y9 `3 F: m5 t三、大话始末

, \1 [( ^% w, j0 E
小白：东哥，我还是不太懂……
) q' f. h' t8 n% O5 n

大东：做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者，也针对内部的入侵行为。
3 C  x- p& b7 M. K. e
1 T5 q% B6 L$ i( g$ s
小白：那入侵检测系统岂不是有许多种？
$ k" b0 {7 }* N8 o5 O% W" h
- @4 b/ D8 x% S4 W- [$ V3 [
- y4 ~' L% w: I; [- p4 ]& h大东： 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想：任何人的正常行为都是有一定的规律的，并且可以通过分析这些行为的日志信息总结出这些规律，而入侵和滥用行为规则通常和正常的行为存在严重的差异，通过检查这些差异就可以判断是否为入侵。
9 V" O; T+ P7 R) T8 o: D

4 j: P+ G! h9 G, V) ]% l

4 q$ ]( s: |$ [$ t6 n  T

异常检测过程 图 | 百度

3 F, ~" L  c% k3 G' b, q9 f" w, ?" T
$ C' ^  h, s! k小白：那误用检测呢？


大东：又称为基于特征的检测，基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击，进而发现同类型的攻击，其实现过程是：系统先收集非正常操作的行为特征，创建入侵行为特征库，当新的请求发生时，系统将对其进行特征匹配，从而完成分类。
/ R' f" Z. F# e0 n9 k

; A: L" f. S% p& Z* w6 }1 `/ z

误用检测过程 图 | 百度 

! [0 A* F" ~, v# m8 |/ e3 H* c小白：那这个入侵检测系统岂不是“百毒不侵”了？

1 p6 n5 t- P! k  R, v
大东：不是这样的。例如，我们刚才提到的误用检测，它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时，系统会发生误报；或者没有特征能与某种新的攻击行为匹配时，系统会发生漏报。
! z" F! z0 A6 I2 F$ V

- G5 h! `7 n- i5 g( r- I四、小白内心说
  _* V' i" R( q6 D8 x2 T2 x2 _4 W) P: ~
' Z$ P( ^: n, q
" ]- R* [6 D) q$ Q. K大东：正像其他系统一样，每一种IDS产品都或多或少地存在着一些漏洞，一旦这些漏洞被攻击者发现并成功利用，轻者可以让IDS系统停止工作，严重者甚至可以取得对系统的控制权。

. }4 v+ C# L+ @8 j. w4 j  V
小白：东哥，那我们到底该如何防范啊？ 
3 h; h# `# }) \
8 g* b; m) `# a7 Q
大东：一般地，在建设了IDS之后，当有非法入侵时，系统会提示“有人扫描主机”，此时的非法入侵者正处于收集信息阶段，若网络管理员采用了相应措施，会将此入侵扼杀在萌芽中。但如果置若罔闻，待入侵者收集了足够信息之后，会发起全面攻击。这样看来，在安全防范还算健全的情况下，企业被攻击有4个原因。


小白：哪4个原因呢？
7 V: e" g) I9 X/ W+ M8 s& r' m

大东：（1）网络管理员能力有限，没有更多的能力关注安全问题，加之网络管理员本身对安全技术掌握不足，对像IDS给出的报警信息缺乏深入的研究；（2）对IDS缺乏最基本的管理；（3）IDS漏报和误报，查不出哪里存在非法入侵；（4）对IDS期望值过高。
5 Q5 Y( j( y1 g- o# Z2 A. C

小白：东哥，我又长知识啦！ 
3 v( v& M  p2 a2 b( Q- H
9 c' B/ d: t* p% r2 H3 s
大东：IDS具备的安全应急机制：（1）网络安全必须具有相对完善的预警、检测和必要的防御措施；（2）入侵检测系统的行为关联检测机制以及自定义检测功能；（3）入侵检测系统和防火墙形成动态防御。
3 ~' N! p( Z- m5 w3 H

小白：通过入侵检测，不仅能够知道攻击事件的发生、攻击的方式和手法，还可以指挥其他安全产品形成动态的防御系统，这就对网络的安全性建立了一个有效屏障。

1 Q# X. J! g( c: J( \0 @- w 
来源：中国科学院计算技术研究所

6 u4 B& j  }5 I
: ]" B3 @% m' r# w. s温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

2 a4 c1 `+ M4 W- a3 C, l6 I
5 A0 U# w! G3 [1 A

, ?& j$ E+ Y" Z/ C8 X1 H来源：http://mp.weixin.qq.com/s?src=11&timestamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！