一、谶曰' B( a. r0 V4 p0 }* O
' [ b. M. y& |# i
2 X! U% O" ^# t: f
大东:小白,你有没有听说过骗局大师啊?
. V1 B f8 q- v
6 X4 v$ x9 W, c+ a& w. V* [- ?: P. m0 }, j j. d& V
小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
* }( N2 G! b. U; g4 P' \0 |% q) b/ j, r: d) X2 C+ ^' D
9 B" b; |! }4 A: N& Y8 A; _- o- A/ h
大东:哎,我指的是1993年有名的那个骗局大师啦!
- L% J( h- \- X$ T
; P, J" }' \+ `6 w( e0 ]3 l& j
W/ g4 F9 H: i- R3 j5 \+ O. k5 L. D7 q: y1 c4 y1 q
3 U4 l. B+ W' Z6 m6 T& j' l( k
小白:93年的骗局大师?没听说过啊!
8 x' S5 ]- z4 ~% v/ `& S: U8 b- E! t' ]
5 T1 B" P+ ^9 g7 h) A, l7 f大东:那可是被媒体评为10大黑客事件之一的主人公啊!
7 Q5 z" `' f( U s& ~2 `/ I
1 ?- c( m! X/ Z
* \5 u1 q C% x/ s1 N% u小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
" h; k- u# v& @4 D- m
$ e5 k* M) K* _+ ^- h
5 `4 k, {7 B& w! Y; j; }' s二、话说事件
' f- D* o0 Y5 ~, R! w/ m1 O% k) h, y2 K. K
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。4 T! w! r- l/ }4 R2 R/ g" a
0 o6 Q1 `2 R; K1 ]. ?# T
: c2 {. q# b* c4 f小白:入侵检测系统?东哥,这个系统我有点陌生。
8 \) O- c S$ ~' p& Z7 K! x
, Y2 n: M. M( ^0 o
& n* V: p' A5 i9 q大东:哎,你对什么都陌生!
. Q5 \6 {% t* n9 i; ~* C3 V% |
1 z* l% T8 |" x7 P7 W小白:东哥,你又揭我老底了!
! S- q) `8 b+ \$ j0 H# k; v 7 \. b% \* T8 Q" k4 v
4 W6 H# I: X- v2 D
2 H) q+ ]( w9 g% h8 N: v6 K6 Q6 _! |( y5 N* O$ V
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。* k* `! y3 c* Y0 t9 F5 B5 b5 G6 i
Z9 |" M T" C2 K4 {7 @# T6 q
. v0 q8 ]: x! ]9 R3 w! J小白:那它与普通的网络安全防御技术有什么区别吗?$ N& x; E" j" p* G5 K, _
( i: d* Y! R! J8 l% D% z' R; _& X
- t) U P+ G* r大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
& j i& U( O) R* d0 S$ L7 u x e0 q9 `5 \) w
; l5 @. R; Y& z& {; v/ z0 X0 g
小白:入侵检测系统具体有哪些功能呢?8 t6 H( J1 M$ ?5 z( t
7 ~& Q" h/ z9 [7 g0 S
! n$ R4 b7 Q) P8 [( f% f大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
4 [1 e( P& ?/ w6 |, [6 N" j
9 g; \+ b0 a! [" ^
; I+ ~9 k$ _8 h, R, S( W t三、大话始末
8 p7 a( B$ u; H9 p# b: y! P' }, N, a# u1 Y# p
! S3 x& @3 s+ ~% `8 H5 X
小白:东哥,我还是不太懂……
% \7 q f& C" G: F# R$ s; u2 F' s
! k$ L4 }+ a7 h% X
9 E! j2 K/ }5 r7 {9 u大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
) Y+ W) f6 E/ _$ Q( M4 p$ m
- z9 d6 Y" T1 m" K9 t' l4 }8 A! R. J& o {$ \* Z# C
小白:那入侵检测系统岂不是有许多种?+ X, M4 ]' l" B$ T4 [& x3 d
) z3 I( k5 Y" r6 H% M& ]
8 T. A6 G4 o3 o+ z: G大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
- }. q n, g; ^2 @) b( ^, S! f4 S% Y1 D3 N2 m( p0 |6 B
3 W4 q* n, e- z/ t0 q
9 N! Z* d% I6 D/ J- r; S异常检测过程 图 | 百度
, ~5 n! z$ \8 S& T ; \: [7 ?& U. n# g5 |
: X h) b: L& p# u \2 r/ \ |, o
! O9 z( L7 m$ e- f小白:那误用检测呢?! G$ K* e' s' t% u9 o
1 k7 r3 B$ l# Y; z- `" {
/ t2 p3 b4 Q% I1 }大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
9 ~) ?- G4 w# g* T6 z& r
- Q. F3 Z, X1 L! `/ Z( c9 a+ G
! Q) o0 x1 a2 F5 F# \, U0 k误用检测过程 图 | 百度 9 c3 T% w5 B9 U, |, P
& D9 E5 a5 a( {5 O' X( e
" G$ s& t+ _! u
小白:那这个入侵检测系统岂不是“百毒不侵”了?
4 s2 ]2 q- s( w- i
6 q5 t6 ~. b( q& i, f5 G* I- Q4 A! f. ~# w
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。" A7 d5 \, M( s8 r6 I! ~& |( N0 [
2 t- C, Y$ ^5 J# K: ~) h$ Z
: S, G+ A; H/ _ G: O四、小白内心说
/ `3 |& P) H8 \6 v7 a
5 h- s: I; q& ]7 X. x' `
" z8 q- W2 c) g: t7 J% [9 U& T大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。9 o. c( N5 i5 d% e! X9 D* O
( b/ D" G* n4 _6 ~
9 M/ F* ?; }1 y- g! `8 g, Q
小白:东哥,那我们到底该如何防范啊? - M3 Q8 p- ?4 r( ]6 j% p9 p$ U' Y. \
0 ]) b8 O1 K4 s- d! l
/ A5 d. u3 I+ r* }8 ]' p# R; k
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。/ J$ a( ~6 L5 p! z
- X- F* C* Y9 u2 p; S: ?7 z% [) q ], o6 Z l1 _
小白:哪4个原因呢?
5 n2 c; k) i0 u+ n6 l
2 D& ?' \9 \! j' A0 z p# L% z' a- C7 m2 F
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。+ ~* a+ N& U0 a4 r5 K
9 w/ X; @$ M5 U$ M/ z; I5 r
8 P3 [$ ` f! U1 R9 H3 l8 S
小白:东哥,我又长知识啦! 1 ?5 [9 l0 j1 v6 H$ d' p+ ~& W
! {4 c1 p. r: O" c" X4 N! V' g5 ^$ d3 ^5 s$ u! {7 L7 e( u9 h
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。3 w( l) m5 [; {: Q2 ?! B) {& n
: n% l. K+ p3 M+ f, U) Z
1 J( |5 a5 F* y" I' c小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。/ F) x2 L5 X3 `8 {# i" g
# K5 C, H0 L8 N* c1 D) U
! U* W+ W3 C2 @( g3 t, E
, k; e3 n7 b; X- J6 @& t2 k / ` U1 ~* g8 z! d! p5 s. V
来源:中国科学院计算技术研究所6 O; k2 }' d1 ~ S3 x
. D g$ N- T, m, i$ Z6 [& L- x( a- C! {2 o/ j- N! ?* g
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」4 @5 L4 q% ~0 | [- D, ]* u% ~# ]3 }9 E. H
* I! `6 p! r3 F
% u6 j9 T- w4 Q" h m+ X5 ]& A
: y- c6 H' K( D# W/ G; R
6 e3 I# n; }. d% t
7 n5 c( i- o" F2 o# a
8 j% z( h7 |. B- H来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1$ E. v1 R& _" n! ^% J/ l* O- v
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
