|
|
一、谶曰4 Q. N' W2 K. Y: w. M* m/ n
% T5 \. r3 [% s: Q& V9 D) F
/ U/ H$ j+ P5 @" p0 V) C$ g/ Y
大东:小白,你有没有听说过骗局大师啊?
( C, w2 t8 ]" ]8 Q8 g9 p# E3 g: o# q" B8 g0 ]* C
) K7 P* l1 x- O% k' |- J
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?( z1 h1 s4 x7 L' p9 T# C
/ W/ V: d C/ l3 [1 ~$ ?; R; X9 D: Y$ h
大东:哎,我指的是1993年有名的那个骗局大师啦!
( v% b, h; g7 L p. ? ; A/ d* M0 S% \+ g8 ] Y6 C. Q
7 u; F" o! @, l; g% p
6 D5 n2 x& K- e
$ w- r& Q N& M
小白:93年的骗局大师?没听说过啊!* p- s8 J/ @* g: `: S; S& G6 J0 x
* C! ^2 A- C. K5 z3 j- p" b: t1 K6 [, T/ Q( k2 ?
大东:那可是被媒体评为10大黑客事件之一的主人公啊!# y. q% g- J3 O0 j1 i; U
^7 a# D5 m! a
( e6 W/ w4 Y" v: }$ B小白:哇,原来这么有名啊!东哥,快给我讲讲吧! D2 H- C( s" Y; r2 s+ e, Q
4 \: ]8 L, q1 Z: q! Z$ [6 S u# r' x3 E* }( m+ J
二、话说事件
0 m& U8 `% ?9 w9 e' r+ E0 `' h+ [/ `3 x9 x. t" [
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
) L" f6 f; t0 H
! ?2 h/ H+ ?* v: Z$ {' O
* x9 u Q1 D# t5 G4 N2 Z8 o+ p小白:入侵检测系统?东哥,这个系统我有点陌生。
* d! g, \. {1 s( O) i
5 o3 }& r9 K1 c
" H$ j8 T6 h# ]8 }* ~大东:哎,你对什么都陌生!
% E+ E6 J" [$ C) o( ?, v7 k6 t! \) N9 k- m8 m
- @# \ }; \1 b* n
小白:东哥,你又揭我老底了!# w' Y# q9 w* l( e+ J
- b5 x! ?: j4 ~0 h$ m( U
/ d& n3 F( q* w1 V2 ^6 U6 P, e2 ~+ ]2 ?$ ^9 ^" @4 ]( M9 @
9 q, n' ~" H* f' Q9 z$ o0 {
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
1 m/ n9 D0 F, p4 p/ b6 Q
1 f/ S/ ^# g, P1 M! G3 c2 ^' t9 R& k2 j5 k' b' T3 j2 m. @
小白:那它与普通的网络安全防御技术有什么区别吗?% t( c. @$ k6 t* @
W1 I6 G' J' X3 l G6 I8 b$ a
. u# L3 `' U' X, i9 N8 V0 B# I大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。. ~6 W( [# |- X+ Y! K5 l1 x h4 `
/ U3 g8 [+ H Q4 {, {; V
5 [' c6 I ~4 C) d7 D5 b. k
小白:入侵检测系统具体有哪些功能呢?
7 x* s M \1 _ M" C( a) Z+ ~! R) {: c$ ]/ u3 D
! E9 m0 e, U! i( h, k大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
: H% p! Q4 b8 B9 O
; }% _' ]1 f$ ~8 m( D# y; e" K4 q9 K8 h0 w
三、大话始末
0 }# E# j: b9 w8 n
* @0 p t1 d8 H5 d8 f- e t" S
! d0 }" W! i: ]* O: i小白:东哥,我还是不太懂……. y% D- f7 M) b+ u# S5 s2 `
' b3 p6 C% ], @3 a) @' w+ Y* v1 g8 v! a2 o' \3 Y3 p
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
* t2 Z6 ~' w, X# i4 E- l2 z; n) g9 U: |+ U$ D# p; D
7 @1 t, y9 h/ U. V小白:那入侵检测系统岂不是有许多种?
- I! f; z* C$ d( o8 E# ~5 ~& n7 }3 {* Q6 x+ J; \8 \0 [
! y' R& A% A$ \3 O: j+ }
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
% s7 u& x6 g2 o3 m+ p& p$ L! {3 u+ a# p: s0 w
( H% X! N6 a4 d& k& A8 N9 C. W/ f* O v8 z- v1 p
异常检测过程 图 | 百度2 w; P3 C0 j6 ^8 W' t
7 p! Y' Y6 P0 R' u3 H
, t: [; h/ V% Z+ v3 [8 Y; j& R Z& o4 F# B3 U" z# l
小白:那误用检测呢?8 ?- i( K! Q, a; | Z
: x& t, n1 O# B( a8 m
: |5 j4 ]5 l; ~大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
8 _/ h( l- n5 W0 [- S( j, n- l$ z7 D% X% }
2 r# T4 g6 s% p- C
# s; p7 e, J# x2 ?9 R c
误用检测过程 图 | 百度
4 U) X& @" |* g7 |9 X( ]: m+ K6 ^% e
) D- G) E2 r( [* k5 d/ h0 h小白:那这个入侵检测系统岂不是“百毒不侵”了?, `( Z1 `8 S, e5 G& \( X! B3 l
% U: |5 l2 I8 k" v r/ W- [/ e9 v, Z' _& _
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。8 ^9 z0 x$ T3 ^) y# v
% c q ]. W0 U: M% h9 x1 K) Z, n/ Y; D2 ?* q. T# Z; ]5 H9 j
四、小白内心说" K' A7 ]& [# X ^+ @
. ]$ i/ l! v/ m0 }/ b
1 O% s1 I4 Z. a大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
# J4 Z3 j: E1 e) E5 j: G
: ^) g: g- s8 M: a: k. v- D1 _2 x) K: [1 F) j( z
小白:东哥,那我们到底该如何防范啊? / c! J% \2 m* M# G: M- L
) S/ F& J6 D! {& P
2 k" A. n1 Q# f2 p2 x* R: O
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。: D q! c* \2 B1 r9 G/ ]
- z, ]7 X3 I, W1 K2 E# S6 Q7 t4 {: {& F: v k3 I$ }/ `- a6 n, g j
小白:哪4个原因呢?
1 a# j% j. o5 @
5 e# A) Y/ y! Z% [) F3 V& W4 L e5 Y5 s0 c
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。% f# g* H# U7 d+ R
8 h0 E+ \9 @! Z' ^& l8 D5 `6 e- ~! S0 k
& L' J' {7 c/ N# E" m' ?) ?小白:东哥,我又长知识啦!
1 t% D& Z" `$ K( @( r" |
4 e0 r e; j! O/ Q5 u5 B
7 c. d; ~! p# q4 {0 w% n! q) y! h( X大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
v) c1 a9 ~3 i; U7 l% p8 t. ]
; W8 i3 Q: M. T- [! T+ c
/ w, g( r* d. U4 _: J" r! O小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
' L2 [- g0 H ^: C& f
( T- D) m: t( ^5 a1 @/ f8 _8 f( A
$ Y1 [' P B& \0 j M
: t3 L1 K; ?6 ]0 T/ d 4 b% h5 {% A. H% K7 ?/ m
来源:中国科学院计算技术研究所# p. Y" }' r! v# p3 t' i/ U
8 b$ E4 {/ Z! d" H }# \! V5 z. |& t
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」: {1 `" l( e: b3 a4 Z, b, F
: U& L3 o* G8 ?
$ t; d( Y( q o7 t5 h% g( H& p2 j! i/ U8 }) s
- ~: k% x4 t! w- I& e! Q' f
 , x6 q6 r) s1 G; u
3 }1 E2 V4 K7 W1 K: j' k2 x来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1. H7 `* O; X2 |, d3 d: f; C, I+ T
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
