|
|
一、谶曰' R* f# G( V+ y( [, R1 G
9 `0 W7 Z* }4 n3 b" Q7 ]
$ }. L/ {- k: V% }5 I8 T6 h5 f大东:小白,你有没有听说过骗局大师啊?
6 Z8 Z1 r) k, n$ ]: d1 y2 K2 \& t( g* c4 [/ P# r
* J' I/ Y" A: `( S小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
# i, T8 y) u# \; g7 ?$ q; n' P0 X" P1 B# X& z# v
, e/ A) k3 Z2 J5 |4 N大东:哎,我指的是1993年有名的那个骗局大师啦!! e+ v% g; A# ^7 X# f! R
/ t0 a% A8 M1 k* I
0 h/ d8 N- d8 V' h+ S3 A9 x9 [4 k8 ]7 F
9 C; o2 h! q9 V3 _7 J h
小白:93年的骗局大师?没听说过啊!! L- x% Q/ {" D* r, p
3 k1 w# h* ?1 z6 E: u- ]6 [6 d0 T( T5 _* t: o0 s8 Z ~
大东:那可是被媒体评为10大黑客事件之一的主人公啊!* _2 a; I9 C C, {) y! B5 d
1 {" c9 z0 x% N+ O9 I; n
9 m* N$ U0 M( d: V, D
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
\/ B* b! O( a" C: @. C& N! Z% o, l5 d
8 ~3 u) A6 n+ N( G4 E1 t( T1 @
二、话说事件" F# k8 \$ \* o6 E
Y& L3 Y) b0 }9 c% t大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
$ g8 h2 N4 d9 l! \0 g9 ~3 i+ I
_/ j# ]" H/ i) E) s1 _
( I7 }; R9 x" F& G" u! `小白:入侵检测系统?东哥,这个系统我有点陌生。
8 e5 @2 L) F x' H/ a( ~% D- u' N6 @7 a; m) n# }3 w
4 k% K& C* P# @$ p/ ]' f# M大东:哎,你对什么都陌生!
! r+ V! y' Q4 ^' \" \( D
/ d2 T# E$ }- a; H: j# T+ Y% l/ `* F& f' B. t3 h
小白:东哥,你又揭我老底了!! M( _: Q- k' `1 ?$ ~6 X7 a0 O
0 ^$ u+ ~, a/ ^! T2 u5 q" ~2 `& C. }. r7 y+ C$ I1 ^
& X0 x' E" S; K3 R& A7 R" z
M+ P5 Q) q9 k0 Z S) h1 a8 ~
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。6 ?# l8 B- x: @# ?# V3 n
7 ~* E( O# P3 A3 p6 q8 C4 W) l; I9 V& Q! l, l
小白:那它与普通的网络安全防御技术有什么区别吗?
# B+ S$ B; l }7 P" |9 T* |; h; J8 C& L
- q2 ^3 e3 [5 S大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。" b) h6 v9 X: j& O4 \
/ f8 s5 x3 r2 s. R2 B2 a# y
" m5 E5 y# _+ M0 d- N/ b
小白:入侵检测系统具体有哪些功能呢?7 P9 R. S$ D/ I- B2 w/ ~0 M* i" f
8 H) ]9 ]$ F" Z" d8 O
/ Q Z; u- e& n大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
3 h1 t$ ?1 ?8 O4 W! A' X# P% ]: R% p( |; T( H
' D' U3 ?$ o4 _- [三、大话始末
" e0 D* Y. d; \' s% L* q1 M
& b3 C9 H2 a5 q5 l6 H' `' P
' Q3 Z; u3 O6 I小白:东哥,我还是不太懂……
' d# m2 e2 }. {3 r( _
6 J, @0 |8 p: }6 U8 ^
1 v8 d7 n+ t' e$ D1 n9 e大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。" m; _9 W; F0 T1 I ?
$ ^* W1 M3 j- C4 m6 Y# {
" F! W4 g2 v; b8 Z+ d小白:那入侵检测系统岂不是有许多种?4 c; }, z; u( @( L6 ?2 q8 v# @
5 i# u7 p* p2 v4 b' D/ M
. r: C: T1 W& v6 I# {+ n+ F大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
3 N9 ~) p. E6 x8 B3 X5 t2 u% {& Y' M
; Z. S" `% S4 m' x4 Q, f
; l. d' u6 l: [6 I
4 y5 q) e' i0 A0 I6 h异常检测过程 图 | 百度# U( n" L/ t! [7 x4 W2 c/ h' P
: g3 a+ @ K7 I0 }- M$ o
% S2 h7 u- G; ?/ |6 x/ P8 n( N1 P; ~# m& e9 c
小白:那误用检测呢?0 ~( p' u6 P* B% y
* ^8 C! j$ ~7 Y7 L, Q2 L$ N* r4 V+ j# G$ S* j6 R2 P9 \
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
+ o+ \6 ~- A% x. B% J* T
/ _$ z) t, Z4 E! ?3 X& @4 Q! U+ b
! H8 x4 X6 |7 p% z2 y5 c
) V: i3 o& Z. o" t4 c, z" G误用检测过程 图 | 百度
% _4 t' ]) p' I9 A9 A
0 ?, P9 y* d; i7 [: J
7 u+ i3 u- A8 O7 \小白:那这个入侵检测系统岂不是“百毒不侵”了?
4 F7 P0 m" j; U7 f! r
4 W7 M: }1 t1 Z d6 m1 i
& c8 @7 p- }# d. o0 e* B! A大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。3 p6 r' f" C8 M _1 b# a! E2 f+ F
0 w5 V) x3 F9 |0 s9 Y0 w1 g! R/ l4 u" T9 |. q2 x% Y
四、小白内心说/ T% N& [$ c/ Q( W. y2 F
/ U/ d. j* N& L
y4 _1 E4 c! o7 ~& l- O+ _大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
) b7 D# W3 x; ?0 A
7 N& x' }3 v. w8 h% ]
$ B6 z0 p7 _/ o$ q) @小白:东哥,那我们到底该如何防范啊? Y" u: j& F$ }
0 ]: a! m, s+ \5 |- }
7 `6 X0 f7 U7 F' o
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。6 t- d7 F6 T5 a# V1 i
, U& `% F1 |; k+ c; X1 j8 Y# q4 q
0 [5 M& X" G( @6 ]9 d小白:哪4个原因呢?
. c! y5 Q( H+ V; u, Z& z U4 C
* Z4 F* y# |, O9 a* `2 _' D: J& w
0 `& t/ V- b+ S7 D, X: o大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
1 ^. X/ A) h( Z0 @' J) b6 ~" G. b% k7 u" |6 `3 Z
# B& E$ u/ S9 J& Q
小白:东哥,我又长知识啦!
1 N3 T: z6 e( m* N
0 m' T9 P' v3 m5 S
$ S: s/ @2 o% t# ~' \大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
$ P8 a; p6 _2 J$ j" `% M( z0 z
# q: u/ U& `9 y* G. D. u0 p; v$ O4 g2 \
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。9 j; S/ L W, A( G1 H0 l3 I
/ r$ W1 z4 O. `+ }4 P2 v4 K. D
7 N/ N3 a0 A2 J) t% H+ u* [
# V& D& H% ?- F; g% z% D% l
# `0 |$ q! o% n1 Y- r' O
来源:中国科学院计算技术研究所- P9 {) T. T# [& b# n& C+ T3 C
+ _/ [ k# p4 {, ~& U( _; Q8 C! c3 k8 F
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」0 w+ b' i" F- `0 i1 w
/ F" Z% |# R+ f t% r2 ]8 {- P& w
7 Z6 A5 s o7 p; `* r3 R
8 M8 N A8 k' P0 g7 K
. A- x5 M- z1 B6 F$ q s: m
" n1 G7 m5 X' W# y; Y) N4 O1 `3 w4 ?/ v. t, B& _6 m. }' j0 L
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
( |( b/ c) P. i5 w) z( ?8 E) b免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
