|
|
一、谶曰
% }2 G& H' M# S d- _
9 h) }6 S4 h' A7 P2 k5 } 0 }( A( ], ?7 k9 a/ ?
大东:小白,你有没有听说过骗局大师啊?( g$ v0 i9 ~) u( s n/ b0 X
0 c, O3 J* b4 [0 f a. w; g) y2 D. k+ v3 ?/ F& H
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
( H$ a* s4 U3 G$ F6 {* Y! z$ m, n9 L
7 K/ b+ T# o: v9 a$ i- U4 J$ p8 b: r# l q6 ]7 S* I/ f! ~1 b0 s" k
大东:哎,我指的是1993年有名的那个骗局大师啦!+ M8 y% O D" C- T
' {# {( J& F5 W* ~ R5 \/ t5 s7 B& p" M5 g
& H5 s! t4 J! s- x4 h
8 a; l8 }. u% S* Q1 z0 B
小白:93年的骗局大师?没听说过啊!; {0 j5 E0 C) r# Y. H2 i7 D
1 H. [7 a% z' ]( K# p1 R( C1 i
! S- f% P. I+ f$ {+ Y: r
大东:那可是被媒体评为10大黑客事件之一的主人公啊!
% s* j4 l' ?9 m: `( ]: J" M+ l9 U/ e7 s7 l2 m$ [) M6 x2 u
3 @5 k, n: ?0 S8 v
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
- A* p6 H" }# o# X% L% W
* O! R' u- b7 M+ M/ _) X* h g2 V+ ?7 |& B+ t
二、话说事件& T( z* g& Q: Z4 B4 |
: V8 n1 J/ K3 L9 H" F3 e: ^
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
4 |: H; f G4 T0 E5 x5 Q) Q$ K9 H* _! u! E2 S9 P3 y
5 {8 N0 Z6 _9 ^: M5 \小白:入侵检测系统?东哥,这个系统我有点陌生。
# I; ^; P/ `! u/ Y" a5 V% E8 U8 {' l8 K% k
# n& X* }! }- c大东:哎,你对什么都陌生!
8 z3 l0 }, k3 T7 }( x; A" Z% T% }# J1 h& u$ g4 q0 ?2 R' P
1 F+ F8 a7 ]2 f( [+ L" x
小白:东哥,你又揭我老底了!$ h' A5 X6 V% b8 c" T
" Y. O$ g% B% v% V) ?( U1 Z- d- }
2 N4 X! v6 G" q! G
) Q! I% u# x, Y. g. A
& Y& d0 O' ^0 z( a6 t大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
$ K, G! [( T$ s: b8 P% i
$ i0 u! X7 f, I7 |- j; ]
' V& s3 X! f/ n0 U' u1 |9 {. ]! X" `小白:那它与普通的网络安全防御技术有什么区别吗?; T1 [7 J5 J. |; v6 n
3 K; T/ T' I+ g* E! i; w- S
5 V; V, E8 F2 y# H9 y大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
$ {& p' t* p, g8 P0 l) y3 o+ X1 ? V! s
* ^" |: z/ Q O6 V6 t6 G# W小白:入侵检测系统具体有哪些功能呢?+ i9 L- Q5 _. h% P* r% z
, `3 ^4 v4 F6 f- ?/ p/ y4 o
4 W* Z5 F# g% Y5 e. j大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
% Q* m( L0 e4 B8 l' g5 ?8 H% h" D% d) t; b7 O2 N4 S
( J; G/ x4 Z5 q. L! A! T5 _三、大话始末
3 `1 ^" Y& L2 F
, v0 B4 N6 s# M) D3 r! | t0 O0 Z" n$ b, }7 D0 P
小白:东哥,我还是不太懂……( Y3 m, X$ l7 }: o+ c3 i: ]2 P) j
5 e; r) f# x+ ? ]. [, J5 A6 e: P. c& w
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
* Q- ?6 l0 W, ~7 ^" \2 B" {/ \) a, Z" P2 u' r5 k- J* e
$ m! ]: D- N. X* g" m3 x( g7 }
小白:那入侵检测系统岂不是有许多种?$ \+ ?" x) s. U5 `# A( n
! ]. Z% q+ o7 r* _ L# _
- Q* T; R$ [! g! f) L5 s大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。9 F O) v# ~8 m% k/ l6 c: R Q
. z4 r$ B+ `2 F9 x3 e+ N7 u( S+ V$ \
3 V( ]$ T9 _, k& v3 }5 S
异常检测过程 图 | 百度
" s, P0 [% s' F) t
9 @/ E4 J2 R, z) {& r) R- E! V# F7 d: S# K6 x( k0 _# b p
3 r7 x# R0 o. Y
小白:那误用检测呢?! G, N( n/ G) q. d8 S U1 u# L
+ d; m; k* `1 f, Q1 W5 K( f$ z6 r4 W' W Y$ E4 B0 {: K) T
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
0 a2 v/ ^1 g. _/ H! P
1 n: R0 h4 G( j% L! g$ b
1 J, v5 f7 I9 r' ]# ~- Q; V) ]: I# t) W& x
误用检测过程 图 | 百度 ! o% L( D3 G$ @) Q! C+ w0 V5 |) r0 _
) o8 O- N# b- L7 y( a
6 p( h: t3 w' \+ a
小白:那这个入侵检测系统岂不是“百毒不侵”了?/ {7 B& k& X# e# o
0 l! e! s, t6 f# a+ j% G
1 K# `1 N& M; `2 g大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。, r$ J2 K/ F0 o: o8 I0 R9 V
F( W& |8 R) F+ _" ]& }& d
6 q: }6 {; n' e, D+ d四、小白内心说$ N2 M+ X; g( g* `2 c0 Q
$ ?2 r5 S3 S( M
/ @3 }/ d, d' u( q# g" p o大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
4 S4 k3 b+ A# o/ ]8 M+ \/ q
0 \' K" C6 C* E; Y) [' l- e
5 }+ ~5 M' D+ P. B小白:东哥,那我们到底该如何防范啊? + T: F% A+ l1 T
" D1 g: }$ o, R# A$ u4 Z# p( z: o
8 H% _1 C2 z: L2 z: _大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。. |( y" A" l; {/ W% q% p2 \. p" a
! W0 r- c# x% _+ X4 Z6 v1 h! C2 f' v; k _
小白:哪4个原因呢?
* ~8 |1 O6 z4 F2 R5 I! r3 X# r. y, a1 d" X
. b) e" q, w+ w! O0 s. G5 A
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
. I& v! E; K, ^3 R
1 k1 f2 k8 g' h0 H% q' T! E. O ]) K
小白:东哥,我又长知识啦!
m: y+ S9 H. Q- a9 U3 G* D8 P; C# R% |5 O- d/ u6 X
1 A; D. f+ ?, p- i. h大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
/ d; o, b( S# P3 m. K
1 U; z1 h7 _7 ?% w! j2 C* h
$ v! {9 k% C3 k& c小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。9 J$ r) l2 w+ W4 {$ G* R+ g
5 u' F9 s+ Z4 K) h& b7 K/ S
4 Q# W( `) G, I0 l! q7 ]& j
4 x( l }8 q. T4 Z$ @ ( F! l. A1 c* }7 j6 H1 C) e+ h3 `
来源:中国科学院计算技术研究所% @$ K- A6 f$ e7 q5 T5 J% Q' a
8 ^9 H/ d; [3 o/ `8 W. G. U
* _. A: g" Y6 D0 z$ G温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
7 ^' B: |/ y* M" }0 i# z$ ]/ G: _ n: Y: g
5 r- m: {8 [. a/ A, m
( K2 @7 b1 V; t% q0 P& ^- o$ [: f3 A7 `+ @8 j k( X j
6 T7 X/ m3 ~5 n$ s4 ]! [% L) O
( G q, q% x2 S* b5 {& j6 f2 |4 U来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1% m# t8 j& y# e# h
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
