|
|
一、谶曰0 i$ ]! }' i% t( c1 n% L$ Q
+ A _+ ]. q: v; D
4 {2 [7 Z/ @" O: _, d9 Z& S大东:小白,你有没有听说过骗局大师啊?
, y9 E- ?* o; ] `1 _1 V1 o3 p% \+ w S* k
& Y4 g5 r/ c4 x2 S' i" j) D$ J小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?. t) H5 l1 {# o1 z3 L6 m
! h! f" s; C9 f" b, C" `$ `& U
大东:哎,我指的是1993年有名的那个骗局大师啦!
* \1 b7 b) y4 b, ]! k Y: O7 R& E6 [' G
- u2 P" |2 s, j$ N; n4 r, ~8 j; A: g3 K8 K
) ?4 _! J# v, O. x) {- X$ {+ p小白:93年的骗局大师?没听说过啊!
: O% P2 }. I- f4 X* E5 E% Z
+ o8 o* f2 z" W- D" ~( @' C& R7 N+ }# _3 v! K) v8 A: c
大东:那可是被媒体评为10大黑客事件之一的主人公啊!) s3 [ e0 Q% d3 ?
+ V4 r8 X- {; [/ J8 i6 M% t I% w
& f% b6 R8 o, W3 ^4 ?6 s小白:哇,原来这么有名啊!东哥,快给我讲讲吧!- U! u/ n% H) O# h+ ~
) |9 a9 n0 X, f3 R6 \9 }8 q B# V1 j3 \2 F
二、话说事件
& P n+ ?& {0 A. T2 R
- I, ]$ L4 Z. l: k( w& S大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。; j4 F7 ?6 [4 \+ _6 [; Q) c( I) @
3 z2 `1 h0 I, {
. A" e5 j/ K4 V6 H# S
小白:入侵检测系统?东哥,这个系统我有点陌生。
, |5 Z" H/ y, q( A a. w& ~: T! D6 E" ~+ R% u& |
7 S6 N& |5 y* ? h0 @# P8 _9 G大东:哎,你对什么都陌生!2 }- }- B$ u6 [+ c" A9 V$ }
" D e3 W3 S% C( ~* f* j7 m. w) r: b& Z3 {1 I
小白:东哥,你又揭我老底了!0 A0 P, y: i: m0 ^5 M" v
' s- w. e9 d% Z" a! w! D7 a/ z$ [& m$ T0 ^
' S& l+ [8 D }$ t
9 P2 g" q- z5 q% T6 A; ~0 x' m
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
/ M7 ]5 Z- M1 Q: g7 b- N1 z: ^+ Q, v2 [8 _ r6 Q* J; t% f
2 r: k. `* y: T% S
小白:那它与普通的网络安全防御技术有什么区别吗?
; k/ U3 p9 D' `* d/ P3 l! G* z6 B: ?% ~/ M* [- p- }9 Q
' ] \6 w3 j7 \9 f' x1 Q8 O
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。7 k' g/ B: ]' {
, B# Q; u L6 r& w" n1 {
- L5 t/ ]5 v1 m0 S7 _# \
小白:入侵检测系统具体有哪些功能呢?" @6 r/ m: |5 g1 k4 N! t% m2 c4 r9 [
# D" y5 Y3 y" L1 p) e
3 Y8 T" p1 r; g" T2 u6 Y
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
' @0 h, Y0 W( E
7 B; _7 ^, Q/ [$ {3 r, {6 g$ m% a# j; S7 T" J9 e1 ]
三、大话始末/ a$ [# J$ N* c9 i
, h6 W# g8 W" m6 y
. Z r; }/ q$ |3 m1 k小白:东哥,我还是不太懂……9 N* y) \3 U6 r1 Z
6 h3 I# ^9 i$ k. s! ?4 z% C
4 }( J1 |! y$ F$ K大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
" ~( Y0 t! B `% W
, T+ D. ~$ \/ y6 U8 _; ?% t- _+ e
0 u" w$ A/ K1 q# m% s' ^) ~小白:那入侵检测系统岂不是有许多种?
5 [4 L* X9 t$ K. F( Q) x! ~" V2 |8 {
" w9 P" \& b/ X" t1 h3 P0 _大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。( k2 }1 C- Y" K9 p& \
$ |9 S8 A: k, ?( o& `
) \) N# I3 T0 {; B& p
' ^- E+ p$ x y异常检测过程 图 | 百度
5 G/ @1 M* X! r, `: t
, W9 D1 N$ @6 G# `' j1 r U9 ]1 g
! k6 C5 }* G3 s5 s3 v; N) A \8 V$ d- u4 S8 k
小白:那误用检测呢?
: z3 Z6 L2 z$ e4 g, c; |6 h) I) c& o v3 w' ? p$ S
" d& |# u. z0 k2 l7 m大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
8 b8 c5 V% C% c1 [, f4 p" z7 K# J) s& q& e6 E$ R# W
7 M/ ~0 F2 }+ ?: @; t( ?1 V
0 c0 o9 l! [" S7 ~误用检测过程 图 | 百度
, m( U3 x8 B3 d7 u* {1 P5 y
x6 `( x! D# c9 I
6 n3 q F/ a9 B1 M u小白:那这个入侵检测系统岂不是“百毒不侵”了?
' {/ S7 j3 z! n+ t& r6 f/ }- D* b9 q4 F6 h
+ w1 c- @. I+ l/ Q+ i
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。6 x D; ?6 Q+ U) X/ s" H4 l, U: w
4 f# i+ `9 ~! E5 D$ V1 |8 O' G3 f; l( {) }( A& r$ S
四、小白内心说& O) x3 H' M3 R' S# F2 Y3 q
% Y7 {/ F5 u& }: J; l" V
( \! T9 W5 M4 e0 l8 N
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
5 J2 C3 Z! J7 L$ Y+ n" {0 Y- c$ S# m, P5 [
* E J4 o, O4 h: b b/ ?! ?小白:东哥,那我们到底该如何防范啊? \9 g* e( R9 s2 j: ]) R
9 e* i H5 |" Y8 S, q# F
; e, @: x% ]! J) x) O1 r大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。5 \8 t: k7 m, W% O" C$ @
\, p' j- n/ W# P3 @( d
7 k' s; l3 e. a4 P/ e4 U
小白:哪4个原因呢?$ `9 a$ i& c' D
7 f4 T7 v7 ~8 }+ }& r
5 F% F0 }) w$ g* D! Y+ q大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
% y9 c+ Y" X2 b% U* f0 A
h1 @* h6 @0 s" |7 z1 `! R7 g
* q, N/ ? J1 w/ r& N# @小白:东哥,我又长知识啦! 3 [ u6 ?, n) b* G+ v$ b$ M# p
) ^, B: t: V, k
; g; J& n5 l- E$ F, A
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。) f0 o& d7 n" s
$ x0 E0 W* ^$ R1 l- Q: A
9 C+ J6 _ I; d3 n" k2 q小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
( ^* a1 t- q6 E9 r0 w8 S8 s
4 \) }( g' c% v) T6 ^6 X6 V; L" Q# k+ Q; Z* b
9 h: r1 Q% H; ~1 X M0 u8 g ) X. y* P. N; g7 K
来源:中国科学院计算技术研究所
: [2 i5 A$ J9 a3 L3 b% f+ a+ ?+ f5 d8 L' z6 F
9 F Z' A* @/ T7 k) E( [温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
2 \( N' M, b Y2 p# @6 v/ k: W7 h' Q7 C5 N, S
! X( A/ g3 Q. d/ n! P! c- R+ t! m5 Y4 @ w) l
. u2 w. ^/ H7 b6 ] # F3 K9 S# u6 `6 z+ W
: w7 E9 k* x) U. N( m$ f
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
+ ^2 j/ F* M8 Y n6 e免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
