|
|
一、谶曰9 x3 ` d+ {: f: n" K. k0 f6 S" ^2 h2 ?
. c' x) V+ N* ~" }
5 z" z( j7 J& n; n大东:小白,你有没有听说过骗局大师啊?
/ _9 n5 o) a- a, s6 `3 T" v3 t1 m7 Q3 t3 q" o1 ]
# x. Z: s. u8 V2 k& S% E3 f小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?0 e( k' U6 }- O- g9 o" f" b& c
# q* |, _) R! v2 b5 D. W
' R9 V% O# C- J8 ~ Y
大东:哎,我指的是1993年有名的那个骗局大师啦!% ~6 T$ }) m5 F2 H# I. [) O7 M) F4 g
) @; L. E% i2 b& V# l$ N- N/ ?; f
+ J; O5 O$ h& n$ H
, ~$ m' Z. U$ R3 w
2 W' n2 E, B: v* H3 e" D4 m' G小白:93年的骗局大师?没听说过啊!( s2 t" q2 Z+ D8 Y
( c+ x& G& F) T- t6 g6 `" P4 O9 W0 s
$ A% K7 {/ W* n/ U% V
大东:那可是被媒体评为10大黑客事件之一的主人公啊!! C' T7 e/ Z# G/ d, }
: p6 B0 n2 {$ R, D2 K4 A$ k: n/ l5 }
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
7 |" L& T$ E% h0 \: h2 F6 o. A% A* X Y ?0 _/ ~: w5 t4 N
8 m6 F; O% G2 l5 c. p! B
二、话说事件2 y0 a9 E* d: m! h3 L$ l
0 E) s0 W, \$ v- b) ]$ q大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
0 r# ]6 c1 e$ J, Q5 P" f# @( m, |, Y4 A
& W t& x# q. C/ D6 ?7 W小白:入侵检测系统?东哥,这个系统我有点陌生。+ s) h, o' K, i1 L. E; P
& q- K5 U* p: Q5 `2 J6 F, Q
, g8 Z" l# u; H/ ?! ]' q) L
大东:哎,你对什么都陌生!
7 D" f* i9 v; [% G4 H$ v) Z, C8 F1 J$ c j8 ?5 c5 s
1 F' a4 J, v0 R a$ f
小白:东哥,你又揭我老底了!4 ]' j! n5 r& O0 c
; ?& R) R# c! V: f% \) D& b; p* p
+ `3 P+ a* n7 t2 z$ E# k& A2 j3 [& X, T
8 L9 z( g7 X7 |2 b大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。+ J& w ?) t: s
! U+ K& I1 t6 c5 T; o
1 o0 q# J0 ?, u9 ^" w小白:那它与普通的网络安全防御技术有什么区别吗?# n1 V4 B2 G, w3 S, f
& r1 g5 G# y1 n7 s# b
( }# l( s5 P* p$ d& d6 }& @
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。& ~" O; Y" ^! W1 R# p
9 L9 g; J4 g0 k: M# G7 ^' H" G
0 I8 J7 x. o0 F2 f. r% f! W
小白:入侵检测系统具体有哪些功能呢?
0 Y6 t% s: y. Q2 ~/ E# j' Y5 c# ~' X' `: ?
. M% D2 }0 |6 p' g3 L/ D
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。5 b* z3 P4 T; A( y
5 {; H: g6 o; N/ g; b; K
( B. D. W( g% v+ _4 w6 V
三、大话始末
/ B q( ?* z1 M2 e9 g
' a, S; Y4 l6 F) ?* u/ K& `+ C9 d6 v: {! v9 V8 E! H7 x( t: T6 c& r
小白:东哥,我还是不太懂……' I" W- Z# {9 e4 Y. R4 y
& o; I& t1 y- f; B4 m/ Y
* J! b; {+ m! Y大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
& L6 h2 j* S) I8 i0 ~2 }4 N
: [' R' M- v; n6 b1 y5 a6 }3 f, j; u1 v4 U( Y- X; S" e% |/ _+ R4 E; F
小白:那入侵检测系统岂不是有许多种?+ X$ w# S; a1 R2 x1 q: M
: \* ]: j5 T- R# Y i
5 O. a5 x' d$ r: o: {( P大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。: k( d. e0 @3 v, T. a
- H! @7 l+ L5 L+ a2 {
( p U4 t- R; ^
& I) s% ~" F1 j* Q+ h异常检测过程 图 | 百度- s: M5 S. h1 g3 m+ b/ a2 g6 ]
4 v8 z: [6 I; I, H$ [! D x, Y$ [- X, P. W$ y6 k8 m+ \( r
! o' R* b% x1 y6 d5 k! t小白:那误用检测呢?
( P1 r, \) U5 H' g. o0 e/ r, x# L1 W
: u6 q6 T! N7 c2 k大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
( D3 S! G- J, Y- t- f0 I# W( L0 N g0 G8 s* i4 I
* N: M, \. r: m! w' W
6 ^5 S7 Z+ D4 L误用检测过程 图 | 百度 2 K0 V& W& Y* s/ L+ o9 _
- s g7 Y* \# D" n1 S5 O- B2 [5 f
) h* T. W) `( w; U9 u0 T4 X小白:那这个入侵检测系统岂不是“百毒不侵”了?- F) S' k8 `+ @# i) [
* U+ W) o6 T$ j2 S( d0 \, H& K8 N9 l2 b9 L, ?7 w/ h
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。" z( v/ [- c" O' i1 X
! M: J; N" ?) F8 I- @6 \$ r4 }- e, p
四、小白内心说( A. p3 e9 i6 B4 f( Q! Z8 |7 s
% P l& c* A9 C/ J
6 J, d( m5 v' R1 E& ^5 L大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
. Z* \* q% J, U0 l& L6 G5 `9 P
( }: Q8 F1 L1 [. e8 F" `6 ?: g$ G6 D2 E$ i5 r6 X
小白:东哥,那我们到底该如何防范啊? 6 H, O3 {9 w& w+ c4 Z
1 ?0 I$ I& l4 T6 k. s, n2 }3 }9 Q
+ |3 D# r; w$ `/ H
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。
5 }5 G \$ u- a2 ~: h8 ?+ `2 r: T. _, B
9 p- e/ }, k. A小白:哪4个原因呢?5 e& p. O/ B- F* {* `8 a! z
4 I0 u) Q' L$ ^' x! h1 o0 l+ t! B: @9 P
: D& ?" d9 I* @# ~. N大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。3 u$ t# I$ ^7 C
5 M7 ^0 x9 W( Q5 W
3 I. ~: ~2 {* X5 W小白:东哥,我又长知识啦! 6 v I; F j) b* P0 }7 R& ?/ A
. j- i& K! u! a% h+ V! r
7 x7 V/ z7 U( J! _: e; A6 a大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。
, ?- r, t/ W$ z. v0 L9 B/ N! S% D6 ]6 U: u4 m8 C( Q3 V
$ \6 B R: i- m: b' K9 A7 U3 S1 `0 m0 i
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。3 z6 e1 Z3 [: x4 `; l* L
# u& A3 c( h6 F" X' ^: U% I
8 c/ r/ j1 f7 Q3 x. k x2 X0 R
# ?6 d8 i4 C7 L% A
0 y8 E! E7 [. r0 g! p来源:中国科学院计算技术研究所
- R' M S) G" J1 v
1 U3 p. ]' z: y! [3 @
1 a& h4 v' q% u k& G温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
. a- B- h0 c/ d+ W2 E; Y; P! a N" f; R+ \* }; K& N8 ^7 |9 i7 {
2 r6 \/ X# L, C; r0 E+ |0 x% A, Z3 H- x/ i5 U
, y) ^0 e0 _: }$ R; h$ e " U& R3 f) q, h6 P" S
& ^, p: ^5 v. @5 b- a
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
$ D9 i* y3 j. D$ d免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
