一、谶曰
0 `# A" H2 @. U- n, U# |7 f/ g$ L" B; N9 `- E
1 r# q8 g8 u! j: V) ~大东:小白,你有没有听说过骗局大师啊?' p# _: a2 A6 @* ?
, G8 p' l( K1 j! v5 M
& K- S% y: L7 A1 R" a# E
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?; R0 f" A! q, i$ U+ G
: z4 z$ J+ Q0 E6 m& {4 `
: F3 T# J& H3 S2 j
大东:哎,我指的是1993年有名的那个骗局大师啦!
1 v. o1 S8 ]2 }* K* x 4 q7 D6 ]/ n# z8 O# A
1 Q7 n/ Y) y$ |6 F% F# R6 D
" l9 E7 [0 X; m8 k6 p" o/ L
, `9 k7 k1 K [2 \# s* N8 o小白:93年的骗局大师?没听说过啊!
4 _8 [1 @+ M4 V) i2 F
0 P4 f% s3 j; b& f/ U0 _7 _% c6 {4 X: {7 ]: G. }
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
9 N" |. F6 Y" c2 ]# j$ h
1 q; ]6 @0 j% n; b1 a8 n) I3 c4 s" c1 J! B# @3 |
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
0 C/ h4 W7 K* e9 P# v/ [: ~; P9 w- ~7 {0 z# [* J0 D
1 c5 M5 O) v& ?9 L& k
二、话说事件
; ^/ X7 m# T+ p) v1 ?/ {1 x/ Y$ \+ g* }5 k& T& C+ F' d: O5 W" r
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
) s3 q! F# ^, n9 x4 O9 [- A8 E
# P. X# |4 w9 G& P$ h
, Q! _! j% J6 |/ X ?$ c小白:入侵检测系统?东哥,这个系统我有点陌生。. w* e3 V. g! I, Z1 e3 e+ n
$ Y5 e6 n0 V4 h$ r3 ]5 {9 \; z1 r1 j9 N; s4 B8 X( I
大东:哎,你对什么都陌生!5 ~5 K) E; M/ S0 K
0 j0 X- b/ [: V& K
% K+ m. w4 m' C9 V小白:东哥,你又揭我老底了!
5 ]2 J; ]1 [) u$ Q3 j+ @' t! I1 q : z, D; ]3 L [: |# Z" v
' B# B% M8 \6 F
+ Y) t5 G9 k3 |7 L& x8 |3 N i$ o- S8 @. v3 P4 t: Z
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
) [0 X" o9 [0 _, C2 l. J: D7 N6 ~1 ]* F
! L' c0 N) Q4 J) M小白:那它与普通的网络安全防御技术有什么区别吗?$ ^1 n. E" ]6 H% Q1 Q9 D& Q
# z5 i" S! G, L% H* v9 a- n
/ Q: V Q. {5 U1 o4 k大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。! z. N& @7 I& l$ S* p
4 }' E# W2 ^. c: q [) f9 x+ Q0 M* u5 ~; l& @1 q
小白:入侵检测系统具体有哪些功能呢?
- s' g1 R8 i* v) r! ~: f( K" d) [) K( e" j
( Q# h8 }* ~' l D2 W/ j3 I
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
+ E7 t8 U# ~+ J P& ]& e8 z. ]" z- t; q+ D
9 S; z. W% v- Y6 z% G6 N
三、大话始末
3 W0 E# L! t* w; I
! L" d. W& M7 Z( ~# E% f1 z7 D
6 ]5 T8 F! ^0 t9 h0 G% w' B小白:东哥,我还是不太懂……7 [6 B* H+ i8 J$ n" V& m: s, @# x4 `
& u" E9 E6 m' y5 ~# E1 c6 n. `: \- K5 b+ x9 d4 ~/ T) _, v2 a5 q
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。: R+ @" J3 F; x% {, c% y$ r
, {4 i& Z" v2 q) l
5 q! @& Z* v" y1 U% m: ]- y7 s小白:那入侵检测系统岂不是有许多种?8 ~2 {* M) E' r$ p! O1 S: m
; r, E: V6 N$ P3 j2 m. H
! H9 z. K% W/ e- m! {大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
X# M0 C4 v- {9 v
; i- v% K0 \& i- [
8 t! U( j5 Y0 t5 }( y, \4 O7 B) Z# ^9 K! y+ |
异常检测过程 图 | 百度" r7 H* n4 T/ }) [( M2 C
6 {0 }- ` ?$ J8 x/ j9 e9 r. ?" f; m' o* V; d3 ]
6 a |: B, p4 D1 ^: }' n O小白:那误用检测呢?+ ]# o( z5 L: w& D( d8 Z
/ z4 L( \3 B# v, G9 T' A+ v
, W* ], Y. D; _) k# e4 q. x; J8 O
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。9 D+ k; f+ D2 m1 d/ n
6 s, x5 [2 d l
1 z6 {9 Z L" O
7 g' q/ @# x: @ W5 ~1 q f误用检测过程 图 | 百度
' K& t2 r: F/ ?+ l2 X& v! f; R3 I# L4 _1 r
: m/ Q: W% S8 U& C( \0 D* t小白:那这个入侵检测系统岂不是“百毒不侵”了?# [! [, e) x% I0 [- M* u. t( J
6 K `8 ]1 t; h2 u7 S
% R0 E, D9 g8 X
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
' j7 d2 M$ ?5 {4 g: d: P
9 @0 x8 O, y% G8 x
c/ B1 y% ^" r* {, v9 y四、小白内心说* l9 Q1 T- `4 F# F: |& I: D
1 ]/ ~# w% t* {5 }- i. v% A4 ^, C2 [9 G9 j! w1 |
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。" Q _* p/ d" w+ u
1 [6 Z$ c7 d r( ?3 {1 O. x) L& R# F: Z1 @% h' S1 H2 v+ _3 v
小白:东哥,那我们到底该如何防范啊? ( k6 g! `* m+ I- k. F
3 W: o/ T& S5 W0 p9 K8 n9 c9 C2 ~; s& L2 { S+ Q) n
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
; H' o+ D4 C4 c' O
2 }# I) i% U3 r/ V! S8 P7 f0 c1 ` x3 }" W
小白:哪4个原因呢?
& H4 ~6 o y/ ~5 S
0 h/ I+ v; u8 d8 j2 }% f
. B0 j' Q' Z; B) s1 l* h大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。# @ ~+ _5 E( x' m: A+ Y' A* S
' n* w1 T3 b# d6 R6 j3 U0 C; T- @7 w6 `
3 P6 O' [* A$ w M2 z! N小白:东哥,我又长知识啦! ; j+ l+ ]5 |6 s
3 Q% s# ^' Q2 i0 X+ `
, I: t# {; m6 K大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
- z; J. u+ K/ C: s3 M+ n. h
! M- b2 q0 i! M2 C% |' }- j8 v7 q& o! X) r/ g
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
; V' ]& w; F. G( o( K H; j" K/ e( R- n
9 j9 _" k/ q: S) u7 E' Y: F& K( R0 W# g0 r( h
4 N' b. _, W* U6 u
$ Z/ I) Q% P4 X" |- k9 J来源:中国科学院计算技术研究所
) L) r3 F' G0 Q4 d8 w
8 c& P0 E( f$ v' Y0 p: U7 z
. S, W$ u; @# H$ J9 x- a温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
, a' k/ I5 E0 r5 g. J% i
% T2 s4 J8 S3 F o* t* [) x0 }9 \1 T! S2 Y
+ @8 c6 U0 N+ l5 v' Y+ i+ h% ^. r- E7 f# ~" b" I) \0 f' V" q
1 u' x; ?- S( r
7 J$ h. s/ O C* B* Q来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
( I" J8 O) w& y6 G6 A免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
