|
|
一、谶曰
]8 a- n! n! p4 Y" Z1 V8 V" g8 O" N+ }7 |3 \
, s2 q. Q9 s" N8 o0 r
大东:小白,你有没有听说过骗局大师啊?
7 L* p& N! K% ?2 L8 ^: G7 T0 d; Z* i: k
, Q, d3 G* X# h/ G7 [
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?: ~" L$ u6 x1 W& o
! n# Y% h, j5 w/ w; }7 ^/ j
2 G/ v( f. L1 n8 h( J/ e( r! T8 D大东:哎,我指的是1993年有名的那个骗局大师啦!
4 y. m Y/ c( F8 c " j" `0 H9 x8 C
! K6 U4 z2 {, L: {( O
: ~( ]9 M. i# f: S% m$ y
' o1 R; i* ^$ A# P3 l" s- w+ r6 G
小白:93年的骗局大师?没听说过啊!
5 d1 _9 O' ~5 N: P. r: x
) _4 D6 T3 e; F4 E
0 X3 H% S9 r0 j) g# z% u* Z大东:那可是被媒体评为10大黑客事件之一的主人公啊!
9 m. e& Y% z3 r d7 H, Y7 |2 F/ H, w8 g: I! ~' z. W
1 O& s( S. y! u6 B) k6 x( i4 w# ?
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!% G# a# e D8 G* k% U1 S$ \
. K0 v2 U& @7 W" O. i
* t7 J% i6 ]9 Z9 a/ \二、话说事件3 s( o/ ~2 N( L% n
5 e. @) D. [' `5 Y2 y* f4 Q大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。' A# U$ x# v) A6 {; e
6 g4 X6 F& ?# E; `
1 _4 M2 f+ ~0 h- d% d, m+ @小白:入侵检测系统?东哥,这个系统我有点陌生。
$ r$ ^6 K/ s2 E% v. n) i. K, ~+ a- l. `+ @
9 E# A o9 I9 C4 U/ v5 y. d5 Y
大东:哎,你对什么都陌生!* ^' |3 Q/ I' t% E2 G7 O3 ?
( U; n% v1 p- b$ z$ `. m
9 b) S7 q# F* u- p小白:东哥,你又揭我老底了!
' E" @7 b- f; P. z$ o3 t
; I$ G3 l9 y( g$ r# g! b6 T5 I* M5 w! h6 o, d, c
4 j4 Z# {+ [; B/ n; c+ v
$ e% e' e: H4 X/ l
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
+ w$ L2 k9 n5 `' r5 S2 q# u, D2 G& r/ F5 L! [9 G
9 a: w# c9 R- C5 G小白:那它与普通的网络安全防御技术有什么区别吗?
, ]8 _0 p; X A, b' B, A0 f8 {/ Z% b
2 x1 ? l+ m/ c( d4 B
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。7 n0 Z# R0 x$ }
' h! V/ {& F7 X; \+ \* {8 \' F
1 N' q' W! x( q" }) n
小白:入侵检测系统具体有哪些功能呢?5 Y! {$ `' o8 A; ]) B
! |2 r. {; L5 b4 u7 d; K
' U4 h& M, X. t$ s
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。9 i, X+ f( l( E, W# `% j) h
3 n3 g5 l# Z9 \& c' ~% k& q: F9 k- L$ w# t( X+ `0 }9 O0 H
三、大话始末
4 M: e% o! Y: o; D5 R: m6 y
( n) L9 `7 `1 W* s" H
: Q# t6 {+ C. ~2 s7 y小白:东哥,我还是不太懂……' I/ @& r9 S# ~; U ~" C% b0 k! O, `2 R
7 e) G+ l( E, W p+ K$ J5 D+ t+ K' a, ]8 n4 g
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
( W9 X' H( { i2 r; B( C+ E8 R* J
N, h7 N/ J/ t3 ^: N: u- r( P' Y1 j$ H! v
小白:那入侵检测系统岂不是有许多种?
7 x* o& p% r, k$ A5 M# K
* V4 Q/ v+ T5 S4 h6 M2 E7 q2 r0 B: j% x6 {$ |
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
/ T; x. p f( u& z) y8 \! K F' H4 a+ K y- R2 V6 _
# J; E1 @, K2 a% O" ~+ T4 J( f7 A7 n, Y
异常检测过程 图 | 百度7 q: p3 c+ n1 i W6 Z8 L2 R$ F
5 p9 c6 R V2 q" V2 c9 m" D
/ r; N) d" @/ k6 k$ }, R+ e' e; C. ^) \" t5 G; l$ ?0 P
小白:那误用检测呢?3 {1 T5 z; B0 @" r5 e
$ j! o8 g# p8 {0 m
( M W" N+ v9 x& j1 c7 k
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。1 `7 U& f4 t7 A
" }7 y* B9 u. _# N( |7 p( |
/ ~7 B" `( P* \! s
" ]6 }) N9 A% }; l6 x. g2 I) @: I2 |
误用检测过程 图 | 百度 4 ]- ^, S V4 l& c" k+ @
! a5 k& Z v4 b: _
5 o7 ~2 S' h, y) o7 O+ a x T小白:那这个入侵检测系统岂不是“百毒不侵”了?3 D: N: [" Z. a7 Z
2 ^: a. ~% b8 w3 M5 o. }9 u/ {, P4 o. z w+ A: U4 [
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
6 ^: c6 I8 N* Y. |- {6 {) q4 k* e0 Z/ @4 P
( @( d6 X1 N. T+ D8 Q8 s/ u3 ~7 `2 @7 i四、小白内心说6 U& x; ~! x) S
, ~9 N' m: |7 u$ R: q% K" E
) {2 Z& S7 ~& ]6 V/ {
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。3 W! L4 C8 A- ~
0 h# G# W0 @3 U' d/ v) Q, ^
/ g3 ]3 x- {. c7 g$ |: e7 _小白:东哥,那我们到底该如何防范啊?
6 c5 n2 X" ^" \! H; o* y
( d3 T$ ?1 S2 u4 R; [5 i$ P- {/ D
* M8 _7 L& D& {( |: B# R大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。/ y6 s- k3 Q& Q
+ U" p4 R; w M5 X4 @! ]7 V
6 o9 ?5 w4 r6 q3 S2 _; P小白:哪4个原因呢?/ g' I) o; l3 K& v# D$ e
+ O& q+ _" c0 u$ m* D+ C4 \: n% ^( i6 k- R5 A7 J- T) V
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。4 ^; p% ]+ ]# w
) {8 E R0 Y6 S) F0 L( z) O5 I7 K+ @; I
小白:东哥,我又长知识啦!
4 Q, }% b$ d* y# i; k) X3 v5 A% X1 Q, e2 l' d9 }7 s" j! H
3 S" m% D2 q* ?8 j6 ^大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。. [6 l5 D7 E: \% b6 t/ f" S: c
( t* t7 ]" { l9 m/ E* `3 b/ e, s* T8 n* `
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。; g" t2 v# Y# h j) \- _7 {3 |
9 e8 Y/ P: k. M, p r% r! \4 ~* {+ r0 X# K' @! N) f
2 f: g- B, d* D
; Z S0 n$ w0 J( g3 e' Y来源:中国科学院计算技术研究所
& |) {8 w- W+ q8 A% ~0 e
' g, D( C+ A5 V: v) Z
5 ~' ~1 Y4 d, X温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」2 l O: Z# Q# J& f& B6 q
6 c" n, [% f. [
9 w+ g5 \1 q* ~
& ^, K+ | U* l* p* q" m/ a; `& E( Z5 s* ~
 - p- K- E- r2 I# B+ i" T( P
- [8 Z' w. j( R$ ^
来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1- l% V. j" A/ f+ o0 @, n s, j
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
