一、谶曰
, y- S9 d- M/ O M3 N4 d8 h
' x l4 S S# j" u/ X' t
) ~4 @2 Q9 }$ C! @大东:小白,你有没有听说过骗局大师啊?: Z2 r( y" w" m; f Z
P L' Z- `" v* g) ?
3 x( j$ ` @- q/ D1 Y6 U
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
2 P( k! o3 ?" C! s+ m* q
; W! s6 Z' p: \# X9 U
; k/ W- `/ y" i大东:哎,我指的是1993年有名的那个骗局大师啦!
8 y* R+ P! ^8 G. n" F) Y% @' X
' p: }& f/ V, m; w4 S; W- Y& T6 ^( b/ H! q: d O
) q/ U7 i- M X T8 P8 V8 ]: j9 A
% q# O/ [8 W3 u9 S- g小白:93年的骗局大师?没听说过啊!" b3 o, O' T* n5 W9 i: ]; W
R, d- M! R/ P/ o( g1 J2 F/ W
. _7 p% v# x" [4 L# D
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
' o' G; N% S: w- I2 x3 l# H4 [* w- }; E4 r v7 P2 h9 _% \- ?
' F! L* x% i: Q2 s
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
% G, Q- u2 p4 z. e/ l1 a1 }/ H7 B0 c5 i4 e5 `4 P4 e- t
3 @. s+ Y/ X1 n" v1 b二、话说事件/ o' L: o, m |' w, y9 {- A
- P, [7 X7 o* |( B( j1 V8 z" d: K1 t c& O
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
$ l& Z V! k+ {* O/ j# v2 X3 U2 q3 i3 T5 _! ]1 y6 ~
$ m! q% c+ Y: V0 D8 ~# I4 H
小白:入侵检测系统?东哥,这个系统我有点陌生。
+ e' w* P$ M. A
3 F# i# s0 f r* e3 P- N! i8 O7 [& A
大东:哎,你对什么都陌生!
: X; [9 h- W+ a; S$ t9 N _( G1 ]6 z
/ |! T) | k! a4 ]+ ]/ E
小白:东哥,你又揭我老底了!, W+ g b# X1 d8 a6 R$ Z1 j1 P' e- U
$ o }; N" a- x8 M: @9 [2 U I
: Z, P. m, e! ?1 U5 @
|, ^1 z* w" a4 i+ Z& u" B# f$ _
; s/ C* E' o4 ?5 `( l) v# P大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
4 O; ?+ t* V! J' y& ^$ v) R/ M7 Z; P. Z) M2 W5 _- z. z2 e6 T
+ x* k/ S( I* W
小白:那它与普通的网络安全防御技术有什么区别吗?; b0 u* b6 c# S; l
5 u# z/ j' t3 H& j6 ~" q- B
, \1 G/ X' n5 H! l! I- v大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
8 `7 B$ Q- F: [/ _ F( `, d$ \/ ~9 L) N$ I! d
2 r0 b$ Z* W; U0 \; u8 v小白:入侵检测系统具体有哪些功能呢?0 g; h8 |# U7 K9 `" O, A, I0 B# \
/ u& \# e" y1 c2 }( G4 v4 J0 ~+ t
% R8 y& r7 F9 P. P& ~! V: m7 [& p大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
% r( V" w& G; e5 p8 b9 V8 H2 ^" e, _5 c# n) p' _3 Z
9 t, ~1 I g$ H( K v8 R
三、大话始末1 q" M, e; A$ Z# W0 J. l: `
" L& Z- x; X6 p
5 u0 Z' }0 s: N) y5 u& r! b
小白:东哥,我还是不太懂……
: K3 N6 I {" G4 M a
2 n$ \( C; }( {7 @3 K, ^$ u
# ]# J) W8 q; ~- y大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
2 u _, M0 N# @, J5 x, F
, J" D& t- F' p" G( B, y1 d
_" k3 \6 ?' p- d( r1 s" j# q# E小白:那入侵检测系统岂不是有许多种?" J: E- F2 O) U& H/ M) ^- }
6 ]$ r/ j# s0 g! i. N. R: g5 ?0 Z
7 V* }$ ` W8 Z Y9 L; n- |, C大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
: Q( A8 n6 P" Q' ?+ ~
& P3 w$ w8 i. I7 S& J6 ^1 a
6 N" a* X& ]; M8 }& ]
" n" E6 O; W% A7 |异常检测过程 图 | 百度
1 z! L3 |7 a0 M9 s8 W
4 q8 H6 s) O, k: d! G, ?6 z
3 e" l5 |4 c8 t/ R
) M- y8 [8 _$ _2 Y' h- L小白:那误用检测呢?+ J4 M( ^+ [8 u6 N2 ]; X1 P
8 t4 ?( [) N. E) t+ {7 j" x2 Q$ r; R& |* ?
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。; y& f( a/ f9 e2 Z$ z
; S' V0 n5 x" L8 y) O$ v
) |! `- |8 ~6 Q7 Y
8 `8 @1 R0 w6 p- b误用检测过程 图 | 百度
5 [) l/ T; n+ ~9 d q7 K% k0 L, v" Y
/ x* q2 {: U# u* t$ V, ^# c小白:那这个入侵检测系统岂不是“百毒不侵”了?! q4 F _' Y: G2 }
7 @6 r O0 c( B" }4 e; |
* N$ T0 \6 D" ?8 j( f9 s大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。* {7 ~" t! |9 k' J
; q9 y$ U% A; |
, r: e$ A/ Z1 r8 l四、小白内心说' m" [% f- e3 a5 N% S
# K: p$ I" X4 h+ Q- d( d7 N9 P/ q ^/ l0 Y# I
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。2 \$ V! g+ o4 F2 t v1 \
, ?' ^! u5 x" O7 O
6 c. s6 ~- X' L" u2 r( S$ Z
小白:东哥,那我们到底该如何防范啊?
; v2 ~! W3 ]7 X. L3 [) n
7 \1 g# }7 E/ `- P; B( O$ `7 ^' @4 M R3 j: @) F
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
- {/ I/ I- G) o1 n! e/ g
% Z* z- ]+ F7 ?0 O- C% `2 ?: p* o& C" {& q# v
小白:哪4个原因呢?* l/ d6 {: Y3 A4 T7 M0 V. g
/ F* E) T A7 k! u; {& H2 e0 j
* p! V# V* G/ v2 \" d; g大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。9 y4 T3 g0 M4 W2 {; a' u( C
* M; Z& l# U' L$ u- U
1 k. ^/ A p! d6 o1 \小白:东哥,我又长知识啦! 6 M5 [0 n/ E6 t9 L
9 S1 d. l' b$ A4 x: K9 D. J
! e1 M z6 K9 \# o% ^2 o6 `
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。; d: p0 v+ s/ j3 z( K& g5 }( e0 K1 G
8 J E- I4 I6 _ V
) G. h4 p; q n- `% U. k3 b
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
s8 y* J1 g& s6 l$ i2 c2 H, B9 L. f# ^2 l; m
5 T! @0 M; f9 U! h/ @
8 w W3 {1 N' c7 X: `- \% o3 N
6 i# R" ] r! A; S- x来源:中国科学院计算技术研究所' \/ J8 C# W; x, h: C
9 L& y. Z8 k7 m5 i; [2 X
- V( w8 z( a! }2 A* c- S" p* |温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」! O$ g. G5 [# |! A5 C6 `4 l. q3 G
# y4 I) G6 h, A
% S/ K7 |' n( t" R6 @- ]
8 x; V: L1 w: U7 n
' u& k4 A0 R2 W7 C( ]3 O5 A $ h0 B9 v8 A/ v
6 l' a$ @) T0 |, I% C# M来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1. o/ ~. k9 h" p+ f. p5 l
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
