|
|
一、谶曰! j% L; Z2 x% j4 e; G
. t' P& H+ w2 C/ G+ j8 |4 q" }- V2 p$ x
7 i0 Z; R' A. n
大东:小白,你有没有听说过骗局大师啊?% y1 Q4 W. \8 {" m( k
! c1 T% ^3 O; \8 @& P9 }
; x# f9 k3 p M' M* K! V5 I. ^3 c小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?) {6 n' W$ |) s9 h
5 _( I' |- O3 V0 n
; {2 F8 F) n; O- n+ y' e o大东:哎,我指的是1993年有名的那个骗局大师啦!2 Z% z { [0 k( U+ q" u
. Q; v+ ~0 h" U2 O6 U, y
# c/ @& G. Z5 o: W1 D: L3 y( |: d, x+ o
4 {, m% e$ L' H) @
小白:93年的骗局大师?没听说过啊!
4 H, y7 B, y/ {1 u. B
# l, V9 p4 y, z# G0 b- D, B# b2 A9 G4 ~+ s4 b/ @
大东:那可是被媒体评为10大黑客事件之一的主人公啊!+ J! b5 T) [7 ]+ T9 R/ C% o
' Y$ U. M' c9 f
J0 Q# _4 `& U" ], X小白:哇,原来这么有名啊!东哥,快给我讲讲吧!* J" N% `! P% }2 ? t, ]* I0 ~* M
' r8 o* f* u! {% s) o) n
9 R1 Q3 n+ ^$ t8 R0 D. n
二、话说事件% H2 \$ Z& E/ |9 K
+ Z5 _ U* g: W
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
3 P1 l' @: |9 p" x% @( @. n5 f4 I9 F1 c
6 M% ]" g. I( c; Z小白:入侵检测系统?东哥,这个系统我有点陌生。% ^( Z9 h' f$ c
! _/ ?" J* _; I. l1 ~4 a: G
& N7 I* i( x; M1 ^ a/ b
大东:哎,你对什么都陌生!/ S$ [" ^' Q6 T: a3 `
H: j9 n0 ^% Z) d% f* p
$ `: \" D, T" s" | V% a) L O7 H
小白:东哥,你又揭我老底了!! r0 q% ]! U2 {/ o4 ~
$ W8 o! F! {: u& A& h V9 ^
5 h5 F9 C& V7 R# P% n! Z8 V( ~) i0 I- n) Z r3 w: ^3 e& R6 `) }
! l" r; k+ Y& j% c5 C" X大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
: h9 m2 m9 Z) g
A# e! Z" }- b) \/ E2 y- b& g; q1 W) C0 o9 B$ N, m+ Q
小白:那它与普通的网络安全防御技术有什么区别吗?- V1 X# s; n6 j8 h5 o0 S5 l# }" |
: m; u3 D7 s- Q8 Q1 g
# J2 O, H: Y" ?; w$ ]/ d& d5 ?- ]大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。. h7 u. w6 Q; H. g# J* K
+ R2 @$ Z( R9 O" X, e* _9 L+ Q: D5 \2 `% {5 |3 M( a
小白:入侵检测系统具体有哪些功能呢?* N# x& F( W6 D* h3 t4 ]: c
+ n$ l3 k1 K8 J, K( X
* ^9 }$ O& ?% A+ h; u4 W大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
/ }" z2 p3 M& V8 `4 C0 ~1 _- e/ A$ H! V, S. W- h. Z8 z+ Z% i$ R
! Y# e8 h: }) u4 y/ g. S8 v8 {
三、大话始末3 j" m7 e8 `/ D9 M' [
* }& `- g [( \) @" n: Z% P# c/ C; W. T
小白:东哥,我还是不太懂……
( y* p7 P- M* O. B9 [+ t: G8 _" d# ^" ~
7 ] L; \- v1 T, v, }
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
/ O* J( M9 ~/ l
: b% B$ i% U5 O- Y" O; ` |) r7 v' C: G6 v0 O& Z0 Y
小白:那入侵检测系统岂不是有许多种?$ q6 f: t" K- \* z1 x- m; u) A0 ^! q
5 u. w R6 N1 @, C# X
2 R; J, B( B; ^
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。' f+ r) C* P: ?1 R, Z
: e. |% r# [. `
& `7 F4 W7 Q7 n* W1 d
4 r9 r4 l" ~1 u. A. V0 V异常检测过程 图 | 百度0 ^. w+ ]/ L. m5 Y& `3 G
9 K# G% B0 Y. Y ^5 L
b2 f5 w- Z- x9 x/ w8 G
& o4 K4 d) B- J' y+ F小白:那误用检测呢?
% ?9 X- Q: `7 V
T- l+ d+ v6 J' {- Z3 u! Z
6 G: _0 e) x! z0 G( N5 D7 q" A4 v' e大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。: K" A: U& p/ @/ x+ D4 X P% Y
4 Z& B6 L2 Y" x6 e* g
& s+ A) X" `0 h- B3 _4 @6 w5 x+ i: k5 X3 ~7 M7 R) e
误用检测过程 图 | 百度
6 w4 p4 ~# s9 F" i% P( z& E- d$ K5 Z
; e6 w" ^2 U- g, d; j' j$ u
( e% j/ g) u/ k5 s# p/ H7 t小白:那这个入侵检测系统岂不是“百毒不侵”了?: {8 V- F3 T" n8 p0 D; B( \& y
* `1 k- C, h/ e# K' r! W: V9 ~" y) N' F8 N
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。; J/ U4 a: ^* g8 I9 s6 @
8 m! W2 F4 b. y P
3 L, r& w. p9 \' O四、小白内心说: W: @6 e7 N. P+ k" b t
a7 K7 H4 E* E L4 u% s
5 X2 T6 h: _* S3 A3 U' g4 e( V% S& ^$ c* I
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。* s& q6 f& \$ A, b% e
+ d8 N5 f/ e% d( P
/ q. X0 J# X5 _( ]# L
小白:东哥,那我们到底该如何防范啊?
5 A4 x: d4 O" n. `( z: J; \
* d9 K5 J6 m, Q& W8 W# h; J5 ~9 k5 O7 A
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。3 ^* d+ N; c# u0 E/ Z
/ _7 Q) ]& Q/ D! d1 l( O3 v! ~8 X# g, j/ |
小白:哪4个原因呢? j0 V* J( ]9 Y4 F9 O6 x6 z
3 F/ y0 z+ i, A/ `6 _9 [
l3 m' A5 J; ]; m9 [
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
: _8 X2 g! T6 y3 x6 |3 b
$ F8 z) A9 D0 ]% e8 Z# o0 T/ Y: @8 b C# g6 N; @
小白:东哥,我又长知识啦!
0 _+ H# S f5 V! S; _# J' Y% b1 ]1 r5 e* r
. @+ V! m" J* j& @0 W
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。0 [- U8 H4 |* k4 B: K
! j a/ v& S0 L* _7 k% H
2 f' F1 m, L j7 H5 V: k小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。1 ~+ K9 M- Q* M& k k
% S% Z" @- I' _; n# o8 X8 f9 M* T! s3 N
% {9 Y4 R6 p' K. ^: C' w
/ H; c; ^3 R" m( O g: K来源:中国科学院计算技术研究所- H$ Y0 `' ~6 ?
, f( q) x3 S) b3 Q" Y/ d
9 R! v. `+ k q% [. }% H
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
, X6 m$ D6 {* k) R# B/ N( g8 d" H a- s4 |
- S3 W9 a6 r" D' d
9 M( ]3 m/ G" f+ x6 Q
- H3 s1 A8 @) G4 L( E: S# _' @
" i# i5 Y0 T% i# ]3 }
, \" ^3 R B* [8 Z8 B# g4 T来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
, b- v; B* o6 @ U7 H; }* F- ~免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
