一、谶曰6 v7 ^6 I$ C" L2 ]# d3 t+ ]; A
6 k% M& @: K* s+ S, p0 `* M0 z, B ' C E" \% _7 s" a! [. w5 c
大东:小白,你有没有听说过骗局大师啊?2 b& R0 A1 p% Z, y7 a
, y) ?+ t) A. \/ ^: _5 G: j5 @1 Y: P5 E
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?3 ~1 |3 }# L; N2 e
2 ^* Q1 l" ]: U/ `: } _
& ? q3 x. G; V大东:哎,我指的是1993年有名的那个骗局大师啦!
- \) ^( L) F% L, B H
7 y, l0 j7 S: Y1 b1 z$ r
( d/ f" a$ J7 C- }) u
' @. ~! {$ Y1 n7 K5 |. Z R
& g7 a$ f2 A5 w
小白:93年的骗局大师?没听说过啊!- s3 Y* {7 O1 Q" S' `
2 u# _- _1 N+ A( e$ ?
. G' }& |# [* {1 J; F大东:那可是被媒体评为10大黑客事件之一的主人公啊!$ i8 J4 R! G) l9 t: T
( Q, Q' J1 h2 X. w1 l1 q1 y( d! c3 W$ D
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!8 M5 b; y. D8 d# t6 @0 A$ C6 O
2 @4 H( W! F" F4 _1 F$ s# B3 u2 s+ m0 _* K9 B& i" i
二、话说事件, H8 z6 I0 `" F/ p) h0 q
0 ~9 x% M5 S. y1 Y1 P# L) L大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
! F, w" h9 ?2 i" _
5 [3 c& \% t2 D) U2 ^9 w0 A# A! e ~. m/ Z. l3 X k, ^5 m: x% |8 a e' q
小白:入侵检测系统?东哥,这个系统我有点陌生。) s- g% P* r! w& y4 e, X
/ V0 B9 N8 I8 ]. K- M6 b( q
. f! g: b! q" h& }$ `
大东:哎,你对什么都陌生!
% V) q1 h/ k2 q ~
9 O5 f' `; u ]
- [( I) V: K! _' [小白:东哥,你又揭我老底了!
1 D; K4 m! {1 A
! h; |9 ]% e6 x: ^# F
. {* H S1 v$ a
1 a t1 m; |' t! a0 D: }$ [
& s/ S, e+ e$ h/ V4 o. a1 r大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
1 T8 h( `# G: I4 y# d: L2 K0 |6 s1 m4 [3 e# w3 Q! C Y
9 j n/ I5 O- g* R* S; B6 y( u
小白:那它与普通的网络安全防御技术有什么区别吗?
' ]7 H1 Y$ ?5 t7 B8 z# ^
, P& G x! _( R, Y+ |1 f f# n. x/ T! d+ t' F- H" U9 \: X
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
6 M) L; |# Q7 D
( v! Q7 l) K3 U- j
0 R& G+ M; P5 l P( r) t+ E小白:入侵检测系统具体有哪些功能呢?
/ ?9 [4 u M- A9 S1 |2 E1 b, d# p- n/ f+ H3 ^
* O6 Z& }( a e; y# q0 E大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
' L8 \! G: \' d! x: y
$ k& O, @$ |; r% K) P' @, W# z7 d7 K. t t- l* f5 c
三、大话始末/ k8 B( t7 a" X% X! ^' j! d) P
5 E5 r+ g/ j$ T- e' J* h' y2 D
) e3 |; p* R1 ]* d% m) [
小白:东哥,我还是不太懂……
6 @5 N, J7 S1 a% b3 n* P0 l& F( U" q, I- m: t5 d
+ J! N) C3 v/ l& M
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
. c; K8 u- z/ u4 d( J
+ o$ U' Y- B; f" k4 b7 A5 @
! g5 e7 v, F" t- {; L8 Z/ ^% X小白:那入侵检测系统岂不是有许多种?
' a" a9 w4 \! C7 P
* J8 Z! ?! |$ U8 q- i
! `6 S) y, [1 O3 Z大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。! K! R# C0 p/ |
6 T1 i: \- b9 w6 t4 y7 v w d- q. M+ {& g
/ x, }& ]4 [2 m( W
异常检测过程 图 | 百度
, f# ~9 u4 n1 R* g+ T/ @
( Z6 `: x0 ? T- F9 [; i- h+ H) l2 `+ y; Y8 y6 j d% G
) o/ t$ K9 z# |' |7 O1 j
小白:那误用检测呢?
% k" o# ]$ v/ ~. K2 S5 Y1 x, @, Z' @9 B0 n. {% @
" t- V: J. |' P" M( T9 o
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
1 h' j: z$ s3 o0 U* l6 |- }% I8 ~% h0 z5 c
: @5 Z# q2 _) L, e. O. @ j6 E8 d
2 T1 |: v+ J3 m" `: ^. H" `误用检测过程 图 | 百度 5 p9 ~& ?8 v- n
: ~9 f. T3 `5 k
& s% Q; Y' J( ?4 b小白:那这个入侵检测系统岂不是“百毒不侵”了?
1 p R9 ^- o* r* ^
# x2 x7 q* r2 @$ a0 v
+ ^4 V$ J* Z$ j; J+ w1 W) {2 E大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。" c4 r4 }3 O2 |* T
2 Q/ ~4 v/ I0 E4 J# A" b, X
2 j8 d* s1 u6 B5 J5 c, T; b四、小白内心说
! C; q" k7 D. D. x- z t8 K$ I a+ C
. d) f, G/ n- y& F/ J
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
! m2 }, S$ e! [9 l! n0 K4 I1 B) _1 j4 q: }7 t% C( T
* [$ [* ~; }- C2 t
小白:东哥,那我们到底该如何防范啊? 8 H% M' I6 @) q; g
6 p M: K% x0 V
9 [7 t( F P) b) _9 R. {4 a2 o大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
2 T4 l% i5 A4 y5 V
( S- D; f3 w9 \9 P8 l: n4 h. a% m& h$ n( J" F& o+ i
小白:哪4个原因呢?/ S" D+ ?- X4 Z0 n
, S, q! C7 s8 n, X6 D% v0 b
& ~# L& ]% u% ]' z9 Z# n! |大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
% h8 A- B9 t/ T3 H
( {6 U( t" S5 i6 P- M, ~
3 L5 b8 r% i2 w* `) o& P. I/ e4 }小白:东哥,我又长知识啦! " |* J% E* I+ c s
) n- e, V/ r M& k( G) M2 y! F0 m
# S# n4 j [; Q* ~大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
3 e4 e; t7 p% p/ m! B+ R2 Z( A- O7 u$ W; X$ L4 q3 H
% q$ W5 s6 ~4 X M7 |. A小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。) Y( S( P: r3 o: |, C! f2 X' I' g! v
3 `9 o& E) w7 v% a! M' e8 ?" ?$ Q8 s) T. P
- X- M: B& y+ `5 P0 l4 G6 i
d: B) |/ H+ X O; f" O* V4 G. S
来源:中国科学院计算技术研究所9 @- o. E5 [8 G5 |- H
' G/ r( w, i7 n$ K! V# q7 J5 ]- [' u1 H
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」; |- n, ?. ?% O k$ ^
' m/ K9 Z0 a( \* I5 h9 P9 u
# G) v+ X' Q6 P$ T) w' y" h" l* e3 w$ }# ^% b9 y% G# K+ U1 o
- I3 J1 b# _3 y2 a$ [ - m4 b% h6 h: x3 G2 g
8 W* y# z( H4 x2 n0 }+ A+ h来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1. A8 { r2 H( y3 V
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
