|
|
一、谶曰
& m* X% V4 e* d' D, @- L
1 j4 J' P0 G0 v
" y3 F4 s8 @ ?大东:小白,你有没有听说过骗局大师啊?2 m: {% N/ V- q: q4 i# ^5 I
$ M+ g5 J9 N( M8 y& j
: m5 M ]" k3 V! G
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?. P' c% e8 |" A
) n; L% Q |5 O# i+ s( j
% E7 ?) w5 [3 Z4 k, D. ]
大东:哎,我指的是1993年有名的那个骗局大师啦!
/ H! N; t. o8 T5 N3 b 3 P4 [' Z) P7 T) A; d
) h" h( L/ P. N' q% k' h6 c" d$ P3 p7 q, w3 f
9 U' @0 Q' l* Y i+ z, j
小白:93年的骗局大师?没听说过啊!
# K! b. Y8 m% [ R2 q: Q, h/ ^4 M/ ^0 O0 n
. U! t+ P* [) d' u v# |大东:那可是被媒体评为10大黑客事件之一的主人公啊!
. z& ]" M" |! L* K! q
$ J/ i- ~; D* K" y) X" n$ T% e- u4 G0 q1 N$ r
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
- w2 a% j" l; w! y( P
7 `/ g+ o9 `& `$ f z
8 d# B h5 G1 t/ T* `7 o二、话说事件
, w2 F- G1 A- w, R
, ?* r( e; Z) K大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
& k$ p2 M5 C$ L, O' s9 J! Q, }" h7 P' O1 \7 ^6 ?4 Q
; H& x# {7 d2 ]. J3 Q5 _$ h
小白:入侵检测系统?东哥,这个系统我有点陌生。1 o1 J: L6 J; E j
+ ` a' R& q" b- d
; Y7 V- m7 A3 h/ t
大东:哎,你对什么都陌生!/ y& ?9 Q0 h' b/ V0 `, \( V
0 s( }: B$ \0 ~% R& R2 f: D% ~# p$ s* a/ M
小白:东哥,你又揭我老底了!: r- Z4 J3 s) m$ G+ ~
% G: I/ |" B3 t' @
+ ?. E% W1 u- F& }
$ s" c; J6 H+ E2 J
+ K& l: P8 Z7 D- R0 _& F; N% i大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
+ h2 C/ ~" I+ y) J1 A" L$ ]! I& r# [2 B
- z; [$ s$ f3 C& h! V1 j5 M4 `& I小白:那它与普通的网络安全防御技术有什么区别吗?6 @- A; ?: }$ |9 v
4 E# b7 t7 G$ E9 ?" h3 U
7 |( |, [" A4 J! T大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
: s! V9 H/ n* r1 B1 n8 \ d4 N$ F0 ]9 T6 d
: G5 I+ {. ~' l# r/ k" ^% Y
小白:入侵检测系统具体有哪些功能呢?
- N& n3 h2 A1 x/ D/ h
1 x( U' j- F( N. o2 n9 Y F& k( {& R: A
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。 z+ k; j p; C, T) k( j
( S' C% ]- \0 A1 ^; x6 }0 Y6 w/ J$ `
三、大话始末
2 A' G; ]# ^8 H( F8 ?$ l) J' |0 j8 q9 l0 c# g- L
% A' f# E+ n, W8 Z; \5 K4 a4 B小白:东哥,我还是不太懂……
8 }5 g& ^: R: E4 }. P
, y5 o; Y% @- Z, Z
/ y; k: d z1 I大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
% S4 X) j$ k! Y3 z1 B% O: r
6 |& J$ i* a! J
- @+ c' ], b2 O+ R$ E0 R小白:那入侵检测系统岂不是有许多种?
$ L( c3 O( c" m8 y! n0 r
5 P& \" A9 b5 @5 d; u( ]
* ^. N; F/ @6 i5 u, y2 i4 B X大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。' `4 q; a/ {0 _* ?
* i1 J3 W3 V# M2 R9 J2 c4 W' @
" z! B+ M" A7 n6 W2 \3 M+ m8 v! P9 E5 u9 F7 Z; ]
异常检测过程 图 | 百度
, i3 `8 o0 ?3 l( L# Q$ d# F ^3 S/ j2 q* F4 H8 z, E
2 F5 z4 B- P: c' _. S- |
: x# H Q; }' i; N0 l6 i) H2 Q2 q4 q2 y: u小白:那误用检测呢?- Y" y# [# n/ ^' P4 W: j7 m: K
- I- ~5 D0 A) r( C" k8 L+ m; \; Y+ P" {2 }' n7 @
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
7 ~4 A1 n# ~' H
6 d# |$ f) y. F
0 s5 D* A( o+ O1 Y' v0 i: r% Z2 `5 P
3 }& Q! }& f; s7 K7 d& p误用检测过程 图 | 百度 % n- ~' _( g" R9 Q1 u& W
0 R2 A; h5 E2 M! N2 q; u6 {
* E4 e( k$ ]/ S5 E) r6 @9 U
小白:那这个入侵检测系统岂不是“百毒不侵”了?
2 _) S& e. ]" ^7 J {, o
! c, I; X9 ^5 m* t5 Q" i( E! o- r! u
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
* B1 Q7 I3 n9 C3 X
) V; K* @) P1 N
8 b1 Y5 \; J9 s四、小白内心说
2 F0 N" ?1 o% q8 Q! {) L& Z* M: B- _. G, h7 T! U
* n6 x3 {) T6 D6 i
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。, P! h* p) M$ K6 A0 o7 p! F
H, S9 D: P- W
, t! e/ `6 ^5 x8 ~& _& J+ a小白:东哥,那我们到底该如何防范啊?
3 K9 d* l' p- J' a: @/ _7 L. \/ Z8 s0 q4 A. O& M: w, c- w& O6 p9 d
3 N/ }! \7 o: I0 I大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。2 K5 e! L% X& b
, x! E( Y/ }; B2 }
2 L; K4 x8 @- h+ n
小白:哪4个原因呢?
1 c$ I2 k; i r/ v. L6 z: c) X+ d( m
4 _) G- S! x0 R* S6 K大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。- ?6 t4 x' A9 ?5 ^6 f7 R( U% T4 D
( A! m- a' i* v y/ @
& a" o0 m. G" a# e
小白:东哥,我又长知识啦! 9 w; O1 i5 J; U5 a+ S- A8 W, M
6 d1 O( T2 `/ |5 k2 p; U3 u5 z( [1 O o; o, e0 N
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。8 a3 C m3 V9 b# M
% E% |* W" |- W% U+ d( P" }$ h- ?
, T* T7 q. X! k$ R7 Z z小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。( ^* ?! H: ?! n; W Z% L
5 E6 {0 H- `) J4 ~1 T6 d5 |6 F+ Y, C$ h' A
$ m& a, n5 _) y3 \% W6 ~) O
5 ~( @9 j/ j# S1 d2 h- O来源:中国科学院计算技术研究所. Z2 R- k3 Y! f# {2 ^8 m& E$ N
. X; x% P" b# R* z8 y* ^5 f
( S0 m' A3 y0 E: y, H0 {* K温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
+ a1 b7 X q3 W
; G# t! D# R$ f0 ?% l& ?% l" u! x% i' L5 r) z0 y2 z
+ `, E7 w: }& e6 U
{# [ g7 T# c0 v
+ R! v8 c; Q; s' G! w7 j" Z, N8 |2 h
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1" T1 e3 A6 B9 N( J& O
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
