|
|
一、谶曰; @; D! Z$ L# ]5 l/ l$ L3 S
, B: J! i* ]/ o- N' \/ Q$ J 5 Q9 ^ S( Y: i9 {$ Q k
大东:小白,你有没有听说过骗局大师啊?
8 H( @3 S A v8 E9 f# D
8 C& {% t$ T: V: T5 _. s' c+ V. @7 l
! l; j( M& _7 C3 A4 g0 \小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
2 @3 D# h# g- P
* ?# t# D7 u* l0 [0 S
9 f7 `% y+ s8 G M& _2 ?" l大东:哎,我指的是1993年有名的那个骗局大师啦!1 ~ v+ X6 f9 d5 l8 Q% B
# B& O Q3 {+ a2 c
( g0 ?) N1 w o% l4 b; n' ?9 K
1 W& b* A' g( r \
: n1 f. ]6 P/ O/ G' S( ?" s小白:93年的骗局大师?没听说过啊!2 g2 a6 b9 s- b0 m% A
1 e4 Z, l8 y/ a' E$ a. `4 I$ K' B: m# N( [ i/ q" x: g
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
! J' J6 R! u: k2 S0 n/ d+ Z) k
- S. ?0 X* u4 H% a6 Z2 ^9 _5 V6 @9 t8 c0 t7 M8 P2 k3 k
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
$ x8 _" C' d+ z- D
8 g5 \% J1 r4 b
# e/ I# ]' W( k2 \# Z6 ?: j二、话说事件$ X# o8 O: K9 R+ S7 {, o
$ d; m, E+ }- @5 T大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。4 H( r8 `& e1 N0 v% V9 p, o, o
, m2 s e( H( R* z" O1 G* u, n3 k4 V: g `9 k/ Z0 V; y
小白:入侵检测系统?东哥,这个系统我有点陌生。" X: U5 u. m5 O7 i
8 Q# F* @5 R$ m9 Z1 D% t
4 w; v+ L& F6 f+ e大东:哎,你对什么都陌生!; [; r4 }% o5 Z5 S7 A E# f% K+ v
6 t5 J8 B! E3 T2 s
' W; K9 R$ K3 u' l! x+ w/ g3 `* V小白:东哥,你又揭我老底了!3 z$ V. ~2 Z& c6 c6 C( w" x7 Z: x# V& R
' `, z7 Z* i" J8 |7 d
9 g. v6 }( k* p
- Q( Y7 t Q6 l: u2 ?$ n' q/ S6 s$ {5 _1 ~4 Z* e
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
7 s' F9 M/ k2 Z: Q) M) {4 B, N. ?' \* t) G k" ?& ^# X
# b2 H# G, ?. S+ p小白:那它与普通的网络安全防御技术有什么区别吗?
& D% A: F( m* e9 M8 ]2 T
1 l. v4 j% }4 }- A+ f3 X
% I4 j: ?1 j$ m. ?1 B1 G Z- Q+ X大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
. K# s9 Z- V2 U
0 |% h% M W, S5 B2 k+ d# v
8 x6 W: ?" W$ s& w小白:入侵检测系统具体有哪些功能呢?
# P: K+ a- c, i! q# m& ]; x( i) n
) }. u. a& S; c2 @6 B2 z! J U
. N: g$ D7 Y: F4 Z5 w) B: I- w大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。! F6 W5 K1 R+ S( r# [
# S' ] C' v3 D2 o7 t" D- O/ M
% x. W1 K# o3 d I2 ?
三、大话始末0 }& P4 U5 g' [6 A4 X$ T
" ?* A" X+ n K) `. F: q
0 }* H, _5 E3 q$ a8 h
小白:东哥,我还是不太懂……
& f1 y8 a0 P1 D& m6 j8 }9 ]9 y4 A0 {3 k4 h+ v0 p, h* o$ s
9 a' v7 G* P ~6 J0 y" h大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。5 B+ b3 _! w2 S
; e V: V( u6 o* T% y9 \7 A: C! U( K& i% E) Q+ i
小白:那入侵检测系统岂不是有许多种?
5 x" q$ w' y% \$ G0 e0 a& }
( V. |; ]+ A# ]4 R- F9 d: i* {! C( S) W: @* d
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
* b0 F" u0 H0 d: F3 q( K
J3 M9 h. t2 \' O& H: s# q' z; ^! p: x. \2 n
% ]( k8 A4 ~) s# J) J! X异常检测过程 图 | 百度
" J. K2 O4 _" r, b: }+ F' E
' H0 I. A( l* {# \0 ?3 {0 u. p+ T) w$ n
3 K% r( S7 x1 d, `: j F( k# V* J
小白:那误用检测呢?
+ c* M3 h$ `1 P/ B5 I( |
/ t' P1 H1 [) ?( c
( I# G$ I' K5 J8 w" h! K$ a8 Q1 i0 g大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
0 L" K5 f& |" h( U4 n: B
. N3 z8 S2 y" M5 l3 `) G8 G, f; P9 [1 W9 B
# c" W& d" m3 `% B6 C, x$ _2 Q, o; w' c误用检测过程 图 | 百度 3 M6 l" H% X' ~ D' E8 Z
/ j* k0 y' A9 k0 e* V* Q
7 m2 P, u6 X/ ]) K/ A( W" M小白:那这个入侵检测系统岂不是“百毒不侵”了?
. _+ s& E& } `) i& n V5 o, a6 B/ R) {* `: s! S
- p% p* s8 {( Q0 x# i! f: b) V4 |大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
: G$ m* P% {$ n1 n& f7 K
7 P+ x* K: c3 ]& X' C- s- L0 L
. l+ u/ R/ A4 q四、小白内心说2 m% v) v: _2 d6 f1 a+ X, d t
; S) z+ |6 z) t+ [6 x9 j; ~
/ d Z0 y3 p) L5 K9 r2 U. i/ i% ~大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。" ?' e: ^$ Z0 p$ [% v' U/ S2 I" |/ `
; s n: }6 u- ~( [2 r, _+ P7 K+ N) S7 z% F
小白:东哥,那我们到底该如何防范啊?
8 A9 x; r) `- x9 M0 N6 c: @; P# b' b
& v4 E" `) h! P( a大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
# v$ g; K/ d: f: o; Z8 _" Y
' {% ]" o0 c+ G, y9 b0 U# ?( y y! s/ t7 j" b2 `
小白:哪4个原因呢?7 p' d0 V2 }; x8 o! I( d2 x6 J3 a
+ I8 t1 q C" N: T! g% M* E
( D. t- a: ~% T! j$ M大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。1 M$ ~- A0 i H3 z/ ~
2 J$ ]* m: d, Q- A! f* A# ~1 Q
9 r3 x8 T( Y4 g v3 f小白:东哥,我又长知识啦!
$ K5 b! o/ i i! F; Q+ I
- D% r6 @' I8 S2 u1 t
' x' w$ H) R6 \7 b1 I/ N8 J; e大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
8 ^) T+ X$ W6 d1 c" c3 Q: _# _' a
1 T, `# t) S9 _3 N+ U$ L6 P/ F+ s小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
6 O- u6 y2 m+ s5 _6 _9 {- V6 `5 u/ n# f( [2 D# q1 i" `/ H
& b; s* }9 S* m( N, @) [
; w8 w0 K, f( d3 q
* e2 E, o5 i% I {" K来源:中国科学院计算技术研究所
, K7 r2 C7 c4 F6 q1 c7 \0 N# S3 p+ x! f3 `# p
" Z& y5 m4 ?8 I. f
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」7 b/ ]/ {/ C& \5 z- m+ b
. }: @2 N. z \+ n. o8 j
9 O! ]2 M$ f0 r9 j6 r; g& C
m# [2 D* Y: B( l6 \ c$ V' {% b' L0 f# L9 o" j
 ; ]9 Z& F2 F% v6 n
0 i+ d/ I4 l+ u: J+ G3 [5 K' D
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1. ]# p' _2 Y+ O8 a* z- ~$ p
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
