一、谶曰
/ v( W) P$ d6 j2 f' l
/ _& o* P V( \8 F( p& R
: t1 C% w# j- ]# g大东:小白,你有没有听说过骗局大师啊?7 A- n! m- w" r& A
) M) F% X/ T/ P) r4 A9 ~
) a' X0 z n+ a* j4 d/ U
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
- J* Z0 C$ p- z1 Q6 E- H; Y$ f5 d/ `7 I" R4 I
; q+ R& _, o4 L
大东:哎,我指的是1993年有名的那个骗局大师啦!
# b; e1 w% v4 F. p # d. j7 @) G( \6 f$ P
6 e3 O0 x Y+ y* x2 ^# Y
: n: S8 d5 d' o+ M+ y
* s" ]; c9 a/ L小白:93年的骗局大师?没听说过啊!
& K" a5 {5 s+ g/ I! A# L
0 b4 P: D+ {" P- t4 r e8 O% \; A0 `" z c
大东:那可是被媒体评为10大黑客事件之一的主人公啊!" A" a3 h" L0 @
0 r& h1 Y* K$ x( Q) w4 t( N0 q5 R' M: @3 l3 k8 s4 V
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
, g. G" ^" v1 {1 S$ f8 }& \% o8 c# s0 Q+ o6 t' i X" ~
$ a: H0 O8 I) }6 [9 S/ _ f二、话说事件
5 h& k. c" v3 s) ^$ P# K) G
% R. P1 E' I+ a- r, n9 H; j大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。/ y* I- a: Y' U% Q% r1 h* O
- J1 y$ L" z. i2 o# D; Q
6 C+ ^+ b R3 Y: n
小白:入侵检测系统?东哥,这个系统我有点陌生。
# |9 f8 o F2 F# J
% K3 d- _" ~: N* q$ f
- c Q0 M4 D B& E% g ]大东:哎,你对什么都陌生!
! t+ e; b5 j/ M9 o T# s: z7 T( @0 {" e
3 |( J/ U. S7 {* c' i% f小白:东哥,你又揭我老底了!
/ A! q# z7 {4 Q
- J0 Q9 b" [6 Z
9 ?6 ^8 I1 T4 `5 R' \' ]. h* ~( u5 L7 d% ?! O( H5 }- e$ V; `" y. g
2 q( K* E; B6 g+ k5 R# X6 `
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
( T* ]7 I& \9 {2 L# f) j t' [, {& g* t5 H& p6 g5 G
2 x* n' l3 w1 ^- f0 j, w7 D小白:那它与普通的网络安全防御技术有什么区别吗?
. V- B: l, m) b- K4 l) z
2 S9 b3 Q5 c) T' b5 x+ E j
c- L& \+ K6 }) y! S& D大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
2 Q$ _) \- @$ E' A/ o# u B
4 ~, g6 ^( u3 t! r2 N8 h6 c9 R8 v; M7 `
* p2 {( A9 f9 u, N小白:入侵检测系统具体有哪些功能呢?) h8 T; l9 ~& D8 F
- x: W: ~- ^9 {; }
7 w" A/ h: A$ R# d" h+ v- }大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。! p0 p- \/ W' K, x9 O
( C+ S: b. K4 {* l
! Q$ E7 Z& t3 R. T. |# ?三、大话始末
7 B5 U5 q3 F# E* T. @- `) ~
) K$ z" [( n2 b
4 p5 v" t- K; q6 S小白:东哥,我还是不太懂……
, _: y0 r* C$ o0 k% n9 O9 R/ K3 h s! K' R# k4 C
* e+ q3 U0 z9 F# C/ C( l) [ g) _; ]大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
- S$ k% N- |1 Y1 J. z; ?# O3 _7 b1 e+ z* P" l
. o9 V8 E4 l+ U. ]8 w3 i小白:那入侵检测系统岂不是有许多种?! E* S8 [6 i4 `( e
9 [. N1 N8 j, S u
# P/ O8 g" I Y2 n大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。3 W5 p$ z+ O3 i# M
m; w/ D) {# P. w
. C* P2 B& N: Y _; C
! Q! e( K- T m7 N异常检测过程 图 | 百度
: i; `4 L' `, W7 s9 R
7 D5 C) `; K$ u' {1 h2 [: a/ D: T. C: }; ? M' k
A3 p1 ~7 W0 `' N; H6 @" ~/ [小白:那误用检测呢?
1 T7 ]& z2 _( I: U, W2 M( d& {3 ~0 V* J- u
# r3 H! y [* Z5 M大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。8 @3 }! L( ^3 A6 a5 F
- s. v# x) V; V5 _: J; h, D$ d) \) R/ |6 U6 E
5 E U* g) j! M' ~误用检测过程 图 | 百度
0 l/ N e2 _) j+ g2 O- x6 {
! d% j) ?' }/ @# n6 D5 Z8 [6 z) x4 A" j$ N0 |
小白:那这个入侵检测系统岂不是“百毒不侵”了?# q; u9 R1 Z1 ^5 n, ]- R" R
2 M! B6 I- d z/ `5 N9 M
2 @3 U2 w: S" o6 ~2 S3 P大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。% H+ h- d# t% D1 I/ h5 x- K6 f
5 s; B5 L- F5 O$ u2 f2 S& Y0 O5 X N" m$ H" M; d% X) U& Y% U
四、小白内心说9 b$ f. y" H+ y
$ _+ i4 X! L. U0 J
. P0 s1 _/ n' q- ?; y/ x
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。; P( j4 V, @8 x* g
0 R$ `% N z L" i0 t* ?& w* w1 L x H& J
小白:东哥,那我们到底该如何防范啊?
8 j4 S* H( i7 d" ^; j/ B3 |; K' A
& b: p% l0 }1 P* Z3 w2 m, q% d; |; X4 l0 f6 ~ [4 J
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
3 @/ Q7 e! i3 M+ {1 h+ ?& w5 @3 h V4 B
6 ]0 K) G) _. S: ~# M/ I
小白:哪4个原因呢?* M' R' m# L# W+ y4 X `
; s$ ? y( ?2 x) D" l
7 |1 K8 v# G |0 S B# t大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。 F- }! e. M( }( ]; i4 N
& p G( H) \/ [4 Y" r; y6 M, `3 z* t% l! E6 d# T: ?6 ~9 U) h& C
小白:东哥,我又长知识啦!
$ n& j- k! D$ _8 z
) ?5 Z% |1 p* j& N# p% ~8 g/ P5 k0 D7 d
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
2 @- a, L* B; ?: P; u0 ^4 d+ @0 u; u3 ~* l
' L% O A0 e* r+ R3 f
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。1 i: m5 D3 D8 Y( w
9 u1 r' o* Z: x" D) w3 S ~0 ]
8 i m) B0 O6 H2 a7 r1 h2 ^5 @4 N/ {& x( v: g9 V
e3 P' h% o- L2 y7 H; J
来源:中国科学院计算技术研究所
+ f/ e) x1 ~6 P. s0 h: A& S
: k8 ` s' d( r) g3 P8 {5 Y* D+ l
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
+ V: M4 I3 J$ ~. ~" f8 H( x! y* M/ w; E4 v% `0 e9 w( B
) U8 {3 q! `/ n3 U/ I- P
# ~' F- k- V4 v0 Z. a* x* i+ t, e2 |
' b2 H) g, P- C7 y8 c3 O; W& a6 _
# M. P6 F2 s" ~4 |% v |4 h% F: I/ I+ L: o; I
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
" ^9 e0 V' E1 U) _( ]- n( d; g免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
