|
|
一、谶曰
/ M: D% r7 q" ?# m
5 R/ ?# X2 d) V: z# |1 B1 z' `) C
4 \# ?0 W8 [6 J) [- k ^大东:小白,你有没有听说过骗局大师啊?8 [- r; k9 c Q* p
/ }: L7 s0 Y7 j3 Y, B
7 q% e' S7 r$ a0 S' R) E小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
2 H9 v) U! t K" ?5 G" t; ^, J+ n' x
6 }: n% U2 t! [0 f. _' S: i+ ]大东:哎,我指的是1993年有名的那个骗局大师啦! ~; u" n4 l" G. z: U
& A! z7 b1 V& C+ Y8 y9 N% ?8 W: q/ D, O# R
0 m2 y3 f6 {" G
) Z c. v8 E# W- [$ E& v5 R: y小白:93年的骗局大师?没听说过啊!
& e2 [. c) E% X, ~8 D. F0 [8 r! p2 ^" P/ \1 R+ R0 h( ^
5 R" o" Z7 q' V* ]0 d
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
: Q) M, U: x, D6 f% G' o7 d8 @$ f! P$ T- m2 K) s2 C& l
% v! h/ c( n, A3 k. p! V6 U, n! L
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
" T9 R5 o" u; s0 P5 L B8 i) T- y6 S$ o- T' L
8 z* _: O; k- d" w# Z; p+ ?二、话说事件 p" y6 Z- U; {7 ?7 p# F+ L) G
( F; G) O/ [' _+ s大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。" @) y9 e$ ]' b: {) w
" v& w7 q2 v% d) a- f
6 G6 w. ]" Y0 n小白:入侵检测系统?东哥,这个系统我有点陌生。: z0 @( ?# B8 y% U/ Q
8 h2 _ r$ X( h" p' \' x
. Y! Y/ t# |# A* O# G
大东:哎,你对什么都陌生!/ P0 z& C* i W4 ], w
6 M4 }& N4 x+ ?
, `, r% x9 s& k: ~9 o) B
小白:东哥,你又揭我老底了!2 b" W. O& c5 `2 N+ b9 _' e- K+ k
& U( k8 d3 J0 {: z1 u
, A1 S' |1 ?8 e- R
' v: @' u# B6 {! V
1 M6 g/ u# ^7 s7 w' R9 X大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
" B* O; ^8 S3 ]$ A" d$ ?3 o; Q% L
/ q$ w5 S$ h/ U6 n小白:那它与普通的网络安全防御技术有什么区别吗?
# Y# d! T- e. S: t* _9 e9 L9 G7 J; x. ^5 O4 S
7 y3 K& y" t) a
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
# P6 W7 w; `/ h) }- V6 N
2 D+ T& l. n9 Z, s- Z
4 V3 q1 s" f0 k小白:入侵检测系统具体有哪些功能呢?
9 p$ V6 D9 `4 T6 k- N! K9 ~) @) Y, u# k( M4 K+ b
$ D" V& V! d8 |) E大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
% v( ] k0 P% @! o5 d- w) @; X Z: r( Y) b
$ b) K( y, L5 p
三、大话始末
$ ?* L' f$ K7 n7 ]7 W& q# ?6 l5 h$ Z: F# e/ T
* i2 t! A3 J8 f- o% F1 ^3 ]. k0 S小白:东哥,我还是不太懂……
O" @+ E+ d4 ~
; W6 m8 l4 n9 m* Y9 b @$ }& ~' L1 E
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
/ v5 }2 C* ^7 ?% _$ I3 Y& [/ v5 q6 I# Y1 i( l( ?4 B8 l! N5 ^
7 C- Q7 l H. w, o8 K5 B, h
小白:那入侵检测系统岂不是有许多种?( D' B0 X) ~# N9 i, g
/ n( x; U3 w! t! W8 g) | W" d1 I' `+ _4 B1 a+ p9 Y) ?: x
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。/ m) c8 R: K# b( k
1 J/ p; G! F. x
. D" k% p Q5 I! l! d
# {$ k8 S' q. x7 O2 a! V {
异常检测过程 图 | 百度6 ]" A: |9 b) F
) f2 H6 w5 G6 U' K" f8 z a) T8 C) m
; `5 Y0 n0 h3 `8 [- s小白:那误用检测呢?& j+ a0 f% d; \, j& A" _0 T
/ F# E- ]! r" X W2 S3 |. U
# e3 i# W# N( X- z# e3 y大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
3 H$ d9 @% ?2 Q T9 |( V# m* k' R/ F4 Q0 ~3 N' g4 X* j( S
5 C; B* _' b( @. @$ i+ j! m
( |2 i6 [5 ^# c2 ^, {& p
误用检测过程 图 | 百度 ; `# n% ]1 A7 l7 [8 k6 @
% W7 L8 O7 O a( ?
1 U+ c6 c3 ^" g* N: N" L/ |6 r' T小白:那这个入侵检测系统岂不是“百毒不侵”了?) L1 x k% j; Y$ a% P! f
& X9 U0 G. I0 e! F+ r9 P( j! D3 i u6 o" ~7 Q- g
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。! V$ L/ D x4 c& X3 d) o& K$ R
' J% ?( x& w+ D# X1 A6 @3 L
, ^& L/ h9 J/ l7 D4 ]. G
四、小白内心说: j3 i6 y, C/ z/ s5 \, `
9 ~# x2 G8 u- F( h- e# R9 a: B1 z: X$ @* F; r* a
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。% s, j) I! O' L u
1 q3 G& v5 e, m# `8 i2 }$ p. ^5 R2 V+ a9 w* d
小白:东哥,那我们到底该如何防范啊?
6 |; x$ q% y2 x4 r# Y3 u3 J7 U1 N$ [8 x/ k( K1 r$ C* M
# J5 j1 @ T6 D2 j( ~6 R9 ?
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。) t |7 B$ d z& |$ A. d
7 u; s) V( H- w) P! g5 c s; w, }' }
, R8 ^+ ^/ J8 W' m; X9 r8 Y/ V" j小白:哪4个原因呢?, D/ _' r5 z6 ~# U9 ~
8 {3 U i: T" ?' _/ ^
1 o- }; [; i" r' P/ ?大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。. s* a( |1 u2 z0 {" L/ n0 d- E
; {$ Z+ U% | K* f7 q# P+ a7 h( f
4 A+ W0 L7 |$ p小白:东哥,我又长知识啦!
% o1 E. m" K) X( D- Q2 z* S2 _) q' W- [8 x. V1 \
$ p. c3 c# C8 s- K3 u
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。2 J: E5 G( q# i9 Y. O) x- ~( q
6 T' r( J( F U) c3 Z* n
- C0 v% y" ?5 X& f
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
/ H# n F+ l0 y3 }, S" C1 \- [4 n6 d7 U( B, Z( @+ v
4 U( ~: X8 e3 M% _5 E; d
- x& A" f) F4 g5 [ }- b 8 O3 b( p/ O3 X9 J2 Y
来源:中国科学院计算技术研究所% B% ]' W+ r: A0 D* h8 d6 @/ X
1 A P, T+ j( L* l
?( [- s2 E/ [) O9 S: D. D温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
. i! m3 e! P# s1 P9 q! T/ Z0 E
k7 h5 O1 H) s) k
* O) l7 i" ^& b$ M5 w$ y( y
6 f" G! E$ U" V % a5 [/ y- j9 g
7 r! G$ c. U, p: P, A来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
: ~" w% d5 [; ^$ n免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
