|
一、谶曰
+ I1 O2 V( E% k7 ?4 o. \4 v, `" Z, s% X2 e
( q6 \: | w/ I7 p$ R
大东:小白,你有没有听说过骗局大师啊?
" v0 }/ l. e9 b" f
4 K# v2 L0 I1 w' f2 `
& u1 y$ q2 @8 t小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?% S# [ | z" Z0 M; J% C
) ?0 ]. K$ S) h) J/ n
3 M' {. h" V6 ^/ h- g大东:哎,我指的是1993年有名的那个骗局大师啦!6 c! M+ v! P( w( v
* |! ?) W5 u/ F3 G8 O8 u
# o9 b$ l4 i) t! I7 {) U6 j& l" \! |
0 L+ ?3 p+ s7 B
( h' }: i3 M4 O1 a
小白:93年的骗局大师?没听说过啊!
& I4 Y4 j, z9 S% s& v2 \: n' O' Q3 `7 y+ D% r
- v' h( Q8 }$ c. q
大东:那可是被媒体评为10大黑客事件之一的主人公啊!5 Y: q) X/ E1 o6 N" i% ?
' c8 N: K1 {5 w2 ?' S
5 A/ r- T2 I2 o: T4 ?3 X小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
4 i) T9 f- I- X& k" R/ N( m2 b" s- Y5 A1 w' l* L9 `
, a7 Q$ L( R {' t! t" T& C& K4 A二、话说事件7 E; r: |1 I3 A; M) s
7 r8 E: M. b3 w大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。- |5 \0 S6 b9 D* T: T
# r- N) h9 `7 c6 A+ m J" `7 }$ C
小白:入侵检测系统?东哥,这个系统我有点陌生。0 K( \# ^, U; h
, e7 N. c' k7 p: l5 F0 F) J
) {( `* s& M) A大东:哎,你对什么都陌生!
) g# w) [7 d( E) d. O' q5 j* m, T2 ]/ j0 l0 S, k+ z$ I
, \( {: ~5 N& I1 o* S小白:东哥,你又揭我老底了!' k1 |) |- z: J2 a
% K/ _% V# w0 P# G; u$ \$ x! I3 [& q3 U9 x+ k6 r* {
/ T4 W8 N1 P9 \3 m, g- a8 v0 E
9 M! U. V- J* r大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
: ^0 _! A$ F. u }4 }1 C# S+ l: R% d# ], R# w% z8 C; ~
0 ^# e/ w* p: [' O {' c
小白:那它与普通的网络安全防御技术有什么区别吗?) H7 y% @, }; x( s" N* E
. D2 U9 \- I5 f! D& M6 Z" W
' T/ L/ E+ ?: @: r! c" _( |# B大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
" K+ j& Y" h0 Z, {3 j
: \) G4 {. H0 E: p% [4 Q- a
0 ^0 _$ A4 c2 _0 T1 k2 ~小白:入侵检测系统具体有哪些功能呢?
* L: n( _9 T: Z7 ]
7 y, u! i6 u, G0 C% h6 ~$ w: [% G3 @
x+ f/ S! g( E+ h; Z) J大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
% a J& P8 \% K" E' ^* p4 t" {/ z6 R( F9 ~( Z+ ~
- E5 m U# @) J8 T1 q0 o: }三、大话始末- C. j4 X! r5 G
% a% ^% H0 F* K: W. q* B* n
1 x* A' D1 H) {' _
小白:东哥,我还是不太懂……
/ t# M$ q( r5 h( ^5 w( G9 V
5 G. E, W/ } I5 R [, ]: ?" [; \- y! b* G/ b) s
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
+ _4 b" v) f+ s5 v" _4 U2 @$ p# m; d, A* l: C3 u4 n
& o* E. U' R3 G9 d" z小白:那入侵检测系统岂不是有许多种?* w* g. u2 l; h0 Q. x
( w' ?) M& w3 |; `7 j
1 j6 i$ s- @! G# y" c+ \* k. V大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。+ A5 G/ c8 R4 O2 I* \( ?
7 X" `3 t# S% R/ a+ I {& q
1 h5 V7 v. t. p; ?7 L P J% g* U$ m+ J. ~7 b! n
异常检测过程 图 | 百度
. g7 U3 m/ u: m* c+ r
' A2 T/ ]4 ^5 w" C8 i* D7 k8 r* T$ [# ^% \( y7 q
" ~ [/ ~/ A4 b小白:那误用检测呢?7 z6 @3 [/ S% \, L2 W& G. W& @
9 M: [7 E( o: i6 _" g; ]
6 j; Y8 |2 i/ T$ g: |. q9 T( C
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。' N) F" V- y# q7 V7 F) P0 X
7 X' j8 D! j V0 w" L& o. p j
. B6 h9 L- w6 w7 v8 O( J ]; w# g( Y4 y& z5 `9 s S/ N
误用检测过程 图 | 百度
3 |8 ?+ e4 y4 n, e' m
& H L" T- f d& \- J/ f2 Q. v1 C6 f' E( n( i+ }
小白:那这个入侵检测系统岂不是“百毒不侵”了?
3 ^& d+ u' s4 V% U% J7 _2 _5 h+ A8 F" N4 i6 i% R
( E u6 q' h# T# t6 N, y! [2 F* _大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
6 A4 S2 f4 y% A. a5 l- X: Q1 M$ ?
3 z- G. h/ n0 B. j/ M' P# x2 s8 L9 M4 c$ x: R( T
四、小白内心说- Z% Z0 s+ C5 O6 f4 S
9 S5 W$ S Q$ q- d# F; s1 g
+ p+ F& s% H! p( Q6 \ Y大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
/ H6 f) V; @. f+ H; H4 s" v V- g
+ @4 J* W/ p3 C- G9 }5 x
小白:东哥,那我们到底该如何防范啊? + w7 d* F" i; Q
. D" L$ E: Q- ?% i n) p5 R
9 _# g4 v3 b g; H. \- z. L
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。) [( l/ X# G& d/ G3 e/ [
# Y% b v1 y, o- p- I
: B6 q' j$ d0 @0 p; Q小白:哪4个原因呢?8 s# ~4 q0 O: e2 h) ]3 F5 U% J
3 k) _1 \2 v6 \
: C2 G1 @7 k* Q大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
4 B5 m% J, X7 c8 Q" B) c0 _8 h+ c9 _) J' ^* c
2 j) ~+ o* l, S0 H4 ^" b
小白:东哥,我又长知识啦! / o! W n7 [8 r/ ]! ?
# Z6 ?% O4 @. S# V" o4 E
. F {. B, {! g4 t3 T大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。1 U u& g- t: q! U! [! Y3 p
- p. x4 H1 ^- z# R4 J y8 O. \- u
3 z4 F/ G( M+ l0 i4 e小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。+ G3 T) N% k7 n& R7 q+ T
" t4 U0 z8 Q+ k1 _# i9 |
5 I; r: s4 L* E9 U; n
% ~9 K: H1 Q+ P# ^! h2 |3 f
4 x1 W( N: V% q* ]+ u" G. O来源:中国科学院计算技术研究所8 u1 c# f' d' ?! Z
5 P* F' d% E! r4 q: q3 n! ~
4 P1 h# D$ Z) x5 j# Y温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
7 p! [' @4 s# l0 s3 M% ]+ L1 w9 o+ f, i+ s& @: D) S' s$ @
' h- j. L. a( q. J% }, T6 U# j3 ^. _; n, J1 K7 M, Q7 q% S; f
+ [- r) _, i/ v3 h( D- I
1 Z% z) n9 \" m' \' u2 B5 M
! G2 L t* G; }# Z
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
7 `; q) f' X5 K0 T( S' M! ? p9 g免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|