|
|
一、谶曰
L- c; X2 X& G* P: r r- G& l
+ C1 ~ c4 S' ?' [% R" ^9 b- s' s
# t+ ~9 {/ y2 S8 A4 t9 |( C大东:小白,你有没有听说过骗局大师啊?
6 R- K0 \; e& q
# v( Y L0 Q: \' a: @0 j
5 b3 E9 t! S& ]$ P l小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
- b* l6 }4 c L; W6 B- y2 t- g. k
! d2 ^' |4 b4 e! Q/ N' ? Q" L3 S$ M& j8 _6 G
大东:哎,我指的是1993年有名的那个骗局大师啦!
! O; f$ W3 I- D. t" s / I3 h+ t# _% b$ L. X
9 I- b; h' Q/ ]! X( x4 W) q" ?# Y
' S5 f9 E4 F* A" c9 W- V
( v1 L9 @' \& F. W; j: e小白:93年的骗局大师?没听说过啊!
( `- R* ^1 g7 l3 E; O" Y% ^* G* p \, U
+ A/ T0 ]* _. e( B大东:那可是被媒体评为10大黑客事件之一的主人公啊!
# K9 P3 e3 w$ J+ E+ N2 b1 \5 y2 j4 w- E, x
$ V$ y* o, \* t8 @5 Z
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!" Y8 r) s5 h" a T
( F# _2 G9 i& y$ R
. ^; @0 b1 Y; s2 u二、话说事件
( h( d6 r0 o1 _6 m9 r: W0 t% k# J& D$ C8 |" B! b$ a: v
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
- p, d. @2 K* V- b6 L3 ?: P" q" s* }7 e- v0 j
5 B( k# b1 P6 G' l* A, V
小白:入侵检测系统?东哥,这个系统我有点陌生。
5 o/ J! t# U7 E6 `. }, b+ B n) z* N7 Z6 B. x! A3 T1 ~5 F
2 Y* M/ w/ i$ u: L+ Q/ [5 f+ P
大东:哎,你对什么都陌生!* l; i' W& `% S U
( ^' n* N) z4 b0 _
* y0 N, a+ T7 y- q; C q4 Z2 M小白:东哥,你又揭我老底了!
) A. d% T; Q& Q3 ~
6 e, k! s+ \, s; F
# D- ~- [: r" U) u* { i/ L+ g
^1 Q7 t- F0 m, F0 w. m( z
1 Z6 v* A, H+ |$ t, O' c大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
/ n. N! [' ^8 Q% M: x5 C0 K: P6 s% V; v1 Z2 K
, H& ~& ?' |6 a( i小白:那它与普通的网络安全防御技术有什么区别吗?
4 q' n( A8 Y3 W8 i' Z! G5 C8 d/ ~) A( I0 P+ }6 H& U' O
1 U( G3 e7 Y6 A% d大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
/ g! [* ~) i2 Q& r: a- m
4 R5 C3 \6 |" X4 f+ V' j" S
/ i: j: \2 S5 I7 E0 w0 Y& t6 |7 S$ X8 w小白:入侵检测系统具体有哪些功能呢?3 Q7 i: w4 U+ N# e
( O( V2 |$ a9 V* [& U+ l* ], f
2 M0 l" V! K9 U! \. F8 E1 M大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。# b( L% p9 O/ Y/ [
M% v% E. f/ p6 N
8 V1 {7 D) @* Y" F- \三、大话始末
6 C( P* {; {; J7 I$ ?: E! ^$ }* H g, l f7 J
% w/ W9 a7 p" l
小白:东哥,我还是不太懂……
$ J5 v) ^! u: Z# E$ D1 ^% W' E# \7 c9 ?* R
7 r M( D% N6 q U% w
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。; L- u' f7 t$ i3 ^6 K6 x2 P5 T! ^' _7 ^/ R
. P5 d( i9 U( s4 P5 {0 [8 ?
0 o6 D n* S; k$ }$ k, e" @
小白:那入侵检测系统岂不是有许多种?
5 _( U! H6 i. r1 w5 D/ X
# K/ x9 S, R7 M* M2 `
% [: y; w4 z* M+ f; |大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
( O) P/ X! e3 ^
7 t7 T% i; U \; P& k) k; H9 w) ?9 f: w2 F% U2 l& j: O& ?8 u" d
1 P! X1 ] G) X! k+ d/ @4 O
异常检测过程 图 | 百度
- Y9 U: l7 ~8 A. B+ y
1 x& ?& k3 C3 w4 R! r, _( ?! S4 M3 _* g% I+ N2 s/ n4 \
, v. e! X; h$ i/ f: |小白:那误用检测呢?
: n3 Y( D- q. s: `! G
1 D! s3 P7 ]* D" u- \- k: i9 h! `6 N# r7 H2 i! S( A
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。1 T* l+ z E6 T
4 b4 h6 T. S8 G1 t
+ I" }: [0 T) r+ ^! t7 v$ F- `3 k8 ?9 X
误用检测过程 图 | 百度 , v6 m1 C7 x+ H* V3 P
( G" u$ {& ]) D( I6 Q- X
$ _, [3 x9 X5 P0 f2 [: |小白:那这个入侵检测系统岂不是“百毒不侵”了?' s% o+ U! L) F B
C) L9 G S: O& Y: P! v7 H
- R6 m( y4 c& s+ |$ ]大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。5 ~3 x4 e8 Q+ J6 S$ c
% X- ?* d. \( F; A
l5 H4 R6 b5 O
四、小白内心说2 w+ [+ G& ~2 [7 n
* T( L9 \% K$ ^* o R K2 R
7 Y2 \/ G/ E7 v" c1 S: \- }; U2 t: E大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。# R0 j. H' L* ?5 q
8 i+ g) @+ J% _
5 x0 u" i) B6 e8 k, @0 T- J
小白:东哥,那我们到底该如何防范啊? * x. Y7 \8 T* s8 J; t
7 Q4 J$ a' ~5 i& s" g
: M" K' G" X# R0 c# ~大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
4 M$ D2 F3 k2 R2 F8 Z1 y9 i. `" j9 @3 ~2 T" ?1 `7 ], M
' J& d% A; l% Y. V, ~5 X* q
小白:哪4个原因呢?) \# f5 i7 Z7 l% G" z H/ B
3 G. _7 z* }1 F' }. z/ u% s3 `
" M, |- D$ ~2 O" I! P5 z
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
& l) G* G/ w3 }2 ?! ~8 V# k/ w% k: S" o
! M+ N5 D7 h, d! o+ L
小白:东哥,我又长知识啦!
) G& `# a2 K# v5 j! u4 e) [2 }! j2 ~
! B3 s4 B; E7 ~: |, X; w. S, H7 i1 {' N$ ]9 W+ W1 ?! G
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。( H% z4 O3 `6 a1 r& v" T
- | T0 g' ?0 N
# A w& p; M9 J$ _; Y2 D小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。/ N1 v+ G$ H8 ^) b
8 \+ V9 `4 T7 V7 \4 X) d; B
: k& Y' Y* x# t0 b$ e: k
* C3 c2 p& u( Q) G5 q# V- s: l7 w
/ Y4 ?% } o! m来源:中国科学院计算技术研究所
8 W$ ]% [) g6 {- g0 N. e
4 m2 m9 U( J( m {( @/ L4 Z
) M) O5 F6 }! e; u+ c+ @! Q温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
$ k6 a! f/ s; R7 K/ V3 q3 x f8 \' D; @# m/ S$ r5 F$ F
8 J$ Q0 e% `# w( Y+ P' x2 z. ~! {* I: c
/ _; }. s; `" n" t/ z* V
+ L3 U3 X# L: p5 M* Z) u9 X W . m% d5 |. o8 ~* g" R
+ H, G) b* l/ V2 K9 o ^" ~来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=11 s% b; u" ]' M {9 \7 y
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
