|
|
一、谶曰
- _5 g% x4 |: g6 w4 h, e
. Y& K" U: J0 Z
4 d( c5 _7 z& _) U大东:小白,你有没有听说过骗局大师啊?* T" ]( t, M: N. h
) w' `( m W4 G. l, _: N
2 H, h* Q g0 N& m+ U小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?; v% W: j; v; d/ Y0 n; i/ O
5 b3 ~! [6 `" W
% D9 O1 \: z5 |
大东:哎,我指的是1993年有名的那个骗局大师啦!
% w, f! X' d! C+ l" [' {! u
! b% E( w& q3 p0 g1 I& ]+ W, ^8 O# m! ?. w& F. g! i0 t/ \
; c% S [2 D2 d% Y7 l0 y
- t; k! @8 C! \小白:93年的骗局大师?没听说过啊!, y6 b) N! N" y2 K2 E
5 h7 _( l% f! w0 E5 `. ]9 e& F
- ^/ I/ x" m9 b9 B, g0 l: T% O- g大东:那可是被媒体评为10大黑客事件之一的主人公啊!7 z* w/ P6 `3 F. S' r) h" p$ r: S
8 I3 d0 \, Y# c! @
7 b; n3 u* o2 n. F, @小白:哇,原来这么有名啊!东哥,快给我讲讲吧!* `! ]0 x3 d8 J
4 g3 V7 |, A2 D+ W$ i) E2 Y: ^. K, T3 x0 u9 Z
二、话说事件) s$ l* p6 [9 s( g4 r
+ M# j* _' C# O大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
. R0 q$ s& Z& Z5 d4 A6 N; A
# L0 w3 ]3 {. h# h0 Y+ \/ v! \) y, L F2 s6 D
小白:入侵检测系统?东哥,这个系统我有点陌生。
9 Y( J, h6 W: Q/ w3 {" v; C: ^1 C8 S0 w5 D6 D0 x
: i1 N3 `, }. w+ U4 ~. Y. [大东:哎,你对什么都陌生!
" a% D) \ ~- R4 ]
+ a0 p( E" r3 A# X+ }
C% r2 U) e) u3 M7 o小白:东哥,你又揭我老底了!) ]5 n( D4 M* e4 a
+ W9 L+ C3 i" g7 b) g7 H- B
( a3 Y" _0 T( r) Q& }# A5 v, d: Z1 A4 I+ ~ m9 m
+ T) |$ o q* ]( ^2 d/ |- p6 m: F9 G, B
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
4 E9 c2 B3 z2 Z1 B; ^& j' {& E* `7 e: Z1 ^- _
9 k) }* W$ H) c/ e2 a小白:那它与普通的网络安全防御技术有什么区别吗?
5 ]$ V6 L& P$ ]# A8 H
2 u; f5 c: V- K y- r5 K. v; J' I: c4 A( x6 [+ l9 E7 r# r
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。* W! p) {* s: H" w1 T, n* w
+ B. [% p1 _) r' m/ G7 ]' F
& T1 t& Y) r& T- O9 _% F1 x小白:入侵检测系统具体有哪些功能呢?
; ]3 q' L) [( g7 {$ U+ W+ _2 t3 H& D* q7 w
6 {) V6 G* W2 R! e大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
5 s1 y% {' ]( O$ a `8 e" `
3 f4 s, B( ^ y3 R" S. H( L9 j F1 v" \. L2 _( R2 X
三、大话始末( E% n8 l) N1 L: F r
$ y: u, U3 S5 \: ~
! X6 B* R0 ^4 W0 a- r小白:东哥,我还是不太懂……: o1 n; c( e& N! x
$ M0 l) J9 C% C; U
% `9 e3 P) t! U大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。" O( {4 G ^" J1 |8 ?; x% ^/ G) H
0 _( E3 s9 ^1 J% J" g
+ U. P4 J: y! k* Y, Y" ?9 o小白:那入侵检测系统岂不是有许多种?7 `9 R: x8 e! r: r
! B2 T2 j' d) B% c ?' }# T3 {3 r& L
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。1 O& ~. @9 i, G9 K5 j9 E' X7 _& Q
, }. ^" A+ u1 u( h9 t2 E' N
5 z. u( H: h2 q2 [7 m
6 ]& O) e3 U) f( I6 f" H异常检测过程 图 | 百度7 P' e/ ~8 t5 c
% r; Q& K8 G4 ^2 a {& q
0 z7 O5 `( P0 [6 G; j( J- T3 ~# [3 X$ _7 {% n8 U
小白:那误用检测呢?7 K3 W O `% Q8 H2 A( F$ m" n7 M
1 b8 Y' N5 ]* K
. [( @- D* u' Z8 Y大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。: C: }+ n: r! c' U6 [0 N
! j% X; H0 w& o7 r' M* o: n* _4 R( x: V- U( _& U
$ f9 p8 o. e# E5 A2 ?误用检测过程 图 | 百度 8 m! S1 {! o$ o, o
n7 {3 f6 i' Z( L& r6 g
1 ^* B* a7 X7 A: r小白:那这个入侵检测系统岂不是“百毒不侵”了?5 J( _. I/ [* ^+ R9 D
: I+ H% `5 ?3 l( \. l/ G; ?# ^' K5 z: i8 m8 C* n" w
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
5 L0 l6 P5 i `8 X% R# l. b
% }, s9 [ P" e# Y$ U. k$ _9 Y5 }! k8 k' [- w; Z% E* K
四、小白内心说; h1 F; C4 t; ?: [
1 j" ^( h* K7 m" N# [! E# Q( Q, {
8 K- d$ A- r1 F
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
1 Z l5 P# i! q& p" X7 k9 U' H' E' }2 ~2 Z' `6 K) A8 ~
3 C s# O. j; `& O3 a4 u+ H; ~小白:东哥,那我们到底该如何防范啊? 3 ]) I k( ?+ x" ~+ P
# h: @* X, y8 G* ^$ k+ q" q, m3 K' |1 Z, V: w1 X+ n0 w8 }" R
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
7 K+ X: I2 z8 V K0 z1 e) a! m/ U3 K: }1 A+ @* p9 C
) [+ g3 V* B5 |& P
小白:哪4个原因呢?8 r5 e5 B& J& R+ O
' H7 F4 P9 {8 ]7 M( f" p$ G/ M' S3 L" M+ F$ w( a5 j
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。" A E( Y8 s# P( h
# A( C+ r' | y( i7 @( L
7 o' k7 Z9 Y$ h4 [( F( [" w
小白:东哥,我又长知识啦!
6 J0 X: A1 \" g' Y' ^( c0 N4 F1 q* T/ t; ^! u
/ L% C$ X. G3 Q% j4 r( I大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。, N, I9 v' p0 m5 _
: Q) i* f1 q& }+ X) ]& N
4 s& x1 g5 b- c8 A F; E* ?: T小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。" ]0 p4 l/ S# ^0 K1 t) s3 T' S
! j4 x: x- H' `) E7 c, D4 u( y8 i3 O* }
" M3 O, ]" R$ `7 w" V9 ?
: e8 P" B1 W* N2 |6 B) |( @/ c6 [
1 U2 N) U: B4 G; s- q
来源:中国科学院计算技术研究所
$ q/ l. g' D! Q" r6 x% V- t: i
0 V5 |, a( P, p' }) S7 ?6 C: P5 [5 i+ ^+ E
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
, H* Z: F. J: A' v8 m* q- U) q3 s/ I t$ H
5 @* W9 ?) p7 q( S6 G5 B& D# f
+ _" y4 c' }& o# w9 Y7 s8 I2 P
% N! ~4 u M$ b- F, {, [' n
* H( O4 e. g0 F" K3 Z( Q4 |2 ~
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=11 F. y( f; H2 F3 G8 @
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
