骗局大师丨专栏

凯天集团ovlrnf

一、谶曰

2 ~! K) K! ^) M# I 
大东：小白，你有没有听说过骗局大师啊？

5 P! ?, ^- Q" J
小白：骗局大师？emmmmmm……是《惊天魔盗团》里面的那种大师吗？
- a3 O/ B' Z9 I2 X4 `9 \9 P
( G; W4 I3 B5 Q) V* e. W9 T. ^+ z; `9 ]
6 [- ?1 y- d7 O/ r8 T大东：哎，我指的是1993年有名的那个骗局大师啦！
9 W; y8 R0 x6 ^( V 

$ a1 }- ~4 i7 T6 Q- K小白：93年的骗局大师？没听说过啊！

2 L' ?) q9 Z' Z* @  Z
0 ]7 n+ J. m* I5 I1 W. ~大东：那可是被媒体评为10大黑客事件之一的主人公啊！


小白：哇，原来这么有名啊！东哥，快给我讲讲吧!


二、话说事件

9 b* s! c2 Z) l8 M/ y9 D$ r大东：在1993年，有一个自称为骗局大师（MOD）的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。

1 |6 q+ {) v7 Q- a: A; J; x
小白：入侵检测系统？东哥，这个系统我有点陌生。

+ t& I. c, d: `# o$ J/ i
大东：哎，你对什么都陌生！
8 P, K( K; F% r* p! ~& R- j! `1 A
8 n! p$ E& \6 B
小白：东哥，你又揭我老底了！
0 e; {7 j9 w: m- X. e! P 

9 O" P3 c+ ]2 ?" S( h9 {/ H( B) y
0 q7 {/ A% @5 J4 G
, X& W. h7 E$ a$ ^8 u9 H) r1 S0 m大东：入侵检测系统（intrusion Detection System ,IDS）是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。


小白：那它与普通的网络安全防御技术有什么区别吗？

9 W/ |% C3 F* V/ u; o, X" B  i7 Z
大东：它可是一位“主动出击”的选手！IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。


) U* g' h. t( J- I小白：入侵检测系统具体有哪些功能呢？
! n6 U. \  L  U( ?
! `' E/ I+ j, v! S8 W" v
大东：具体说来，入侵检测系统主要有以下功能：（1）监测并分析用户和系统的活动；（2）核查系统配置和漏洞；（3）评估系统关键资源和数据文件的完整性；（4）识别已知的攻击行为；（5）统计分析异常行为；（6）操作系统日志管理，并识别违反安全策略的用户活动。
1 |' R# |, Y5 N: d' y
$ E1 ~8 T% ~  ]& d% `% ]
& E; ~; C2 J7 k' D0 Z2 p三、大话始末


小白：东哥，我还是不太懂……
' A. }$ G3 u' ~  ]

大东：做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者，也针对内部的入侵行为。
( [& {" j: L8 E

* u6 j" {8 p; m8 Z1 Y小白：那入侵检测系统岂不是有许多种？
. B3 }3 d% |  a) c, k' U

大东： 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想：任何人的正常行为都是有一定的规律的，并且可以通过分析这些行为的日志信息总结出这些规律，而入侵和滥用行为规则通常和正常的行为存在严重的差异，通过检查这些差异就可以判断是否为入侵。

- `1 C6 K# J: O, I4 Y5 d- D) i
2 _/ t( W$ C4 q( Z

异常检测过程 图 | 百度

  e3 }1 ]1 C2 j5 }

: R. U. t* w  @  V) V, X) d( L7 o  C小白：那误用检测呢？
/ j: @0 Y+ a- \
. c' Q3 |$ ^0 m, J: h+ S5 |: o
大东：又称为基于特征的检测，基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击，进而发现同类型的攻击，其实现过程是：系统先收集非正常操作的行为特征，创建入侵行为特征库，当新的请求发生时，系统将对其进行特征匹配，从而完成分类。
  e1 j0 h2 M, A7 z% S& `* Z' L
* d6 L1 s7 z4 I* E8 D6 j6 C
, W( O3 [; H  L3 a6 m; z+ S

误用检测过程 图 | 百度 

: `$ s% _) U( W' l# h
: ]' ^; v/ z& j! X
小白：那这个入侵检测系统岂不是“百毒不侵”了？
2 r/ D! R7 c/ [/ [
7 _# n6 z. x9 x' F6 h6 V) w& v3 Q
大东：不是这样的。例如，我们刚才提到的误用检测，它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时，系统会发生误报；或者没有特征能与某种新的攻击行为匹配时，系统会发生漏报。
, V; j; f- d) n6 o! H

( d6 b  T: G8 y- y* \) M; T) B6 X! c四、小白内心说
2 u7 w& p" q3 M% b! h* ]
4 O, C5 {" @9 G: K5 d
5 m+ G5 H6 O/ N& @, r1 y6 ?大东：正像其他系统一样，每一种IDS产品都或多或少地存在着一些漏洞，一旦这些漏洞被攻击者发现并成功利用，轻者可以让IDS系统停止工作，严重者甚至可以取得对系统的控制权。
: N) @5 i( g& M/ N* N* b

小白：东哥，那我们到底该如何防范啊？ 


大东：一般地，在建设了IDS之后，当有非法入侵时，系统会提示“有人扫描主机”，此时的非法入侵者正处于收集信息阶段，若网络管理员采用了相应措施，会将此入侵扼杀在萌芽中。但如果置若罔闻，待入侵者收集了足够信息之后，会发起全面攻击。这样看来，在安全防范还算健全的情况下，企业被攻击有4个原因。
* t; c! l3 q* x0 _8 \- @+ A
- Z% J& G* t: z$ z
小白：哪4个原因呢？
3 H7 h- ^+ x: g; @9 u5 v; I8 C! P

/ h: p4 @% K. z大东：（1）网络管理员能力有限，没有更多的能力关注安全问题，加之网络管理员本身对安全技术掌握不足，对像IDS给出的报警信息缺乏深入的研究；（2）对IDS缺乏最基本的管理；（3）IDS漏报和误报，查不出哪里存在非法入侵；（4）对IDS期望值过高。


小白：东哥，我又长知识啦！ 

9 P+ a  l  F) ?& I7 v' F4 z
! P: @- M5 g8 p& y" ]( O. J8 j大东：IDS具备的安全应急机制：（1）网络安全必须具有相对完善的预警、检测和必要的防御措施；（2）入侵检测系统的行为关联检测机制以及自定义检测功能；（3）入侵检测系统和防火墙形成动态防御。
  K3 F+ R, M* K  R

4 q* Z8 X; q" u3 Z' r, r2 M: y小白：通过入侵检测，不仅能够知道攻击事件的发生、攻击的方式和手法，还可以指挥其他安全产品形成动态的防御系统，这就对网络的安全性建立了一个有效屏障。
& S6 q8 w: v7 f4 ~/ L+ C/ D
5 s7 Z% Q# D9 T4 d

 
* n1 r$ h1 f( b3 E. ?来源：中国科学院计算技术研究所
- C3 `) d6 b$ U% V: }
" ~+ f: m1 s* n/ a# F& g
温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

- p: ]6 X! g0 l8 o8 N4 @来源：http://mp.weixin.qq.com/s?src=11&timestamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！