一、谶曰9 V( c# b P1 _! p
2 s8 X& i$ Y4 k3 S0 @9 `/ P9 d; B 0 ?' E, v0 u! n Q( }' ]
大东:小白,你有没有听说过骗局大师啊?& K" s" u- S; u" T% o
: e, W- \+ _# a& E8 R
3 H: p& Q9 e: V3 b+ L% E小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?3 P+ ^! {9 P0 C) D
7 {& _ L) P* o! n* l7 \
+ @- w& G' i, C" s) j; ~大东:哎,我指的是1993年有名的那个骗局大师啦!
: H4 {1 U! d, Y, n9 i! D5 k& Z
$ O( }( G3 k7 ~, ^0 z: q! w# \- a3 s% _5 E9 G( J
. v! H& M5 H+ B3 e9 l$ v/ M. D5 A
* n& M5 O1 p O( U6 `0 f
小白:93年的骗局大师?没听说过啊!
% e) m; F i1 i; [/ R9 _2 G% X. _0 u, f" E6 U' x. A# a6 r
. m8 M% U! d. L% i( K5 o% S大东:那可是被媒体评为10大黑客事件之一的主人公啊!
5 t5 T9 H, z; O+ O0 x4 e$ ?' v
2 h0 R" D, U9 c
6 r6 X% A' a0 a2 D$ M' n小白:哇,原来这么有名啊!东哥,快给我讲讲吧!( e+ Q: I* D, K* a6 h0 r; O" g
+ ]0 g1 n* U7 `; u( J
- j$ R; g0 w2 F4 c* _5 B) P
二、话说事件
: s7 _+ m$ H# ?0 y. Y1 S$ ]0 [* f: i" T
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
O/ k- @) }/ U0 k% ~% y! t3 C) n, Q4 E' w) I0 K5 _
- a c( t' _' O4 `" V& d, Y. f) i
小白:入侵检测系统?东哥,这个系统我有点陌生。$ m$ S; b, b7 s5 K* ^/ D0 L
' v- a4 l5 j2 J: I9 P
0 W" \2 s; y- ^% R3 o' n/ B
大东:哎,你对什么都陌生!
& E- C8 f/ t: T$ f3 D$ _ W4 A' `; ?8 Q4 U$ G: W0 U4 q3 w: t
]3 e" v" |" c- C4 @小白:东哥,你又揭我老底了!& f8 |: e* B7 L8 R
- ~! u! F1 J7 C5 N, A$ O. o
, h" D! w, |) u9 J& c" B8 n( E
" R7 ], T! j; k" S+ p _, ~, s
" V$ B9 E! w+ P# Y8 f1 H大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
- p# y, Y( ^* x# O. N+ z p9 I+ j: F0 w6 Q. _ p
" p- ~- n5 R6 f小白:那它与普通的网络安全防御技术有什么区别吗?0 }5 E9 `' o9 h$ r& j% v
B3 D$ l- d( w: s* Z Y5 b/ v, i& y5 ]! W3 O6 w
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
2 z8 S3 H0 g" s. g" `4 V1 X! m
9 r$ s% {0 }" i4 Z9 Q' x5 V7 \: w( h; X3 b8 m+ z T0 r/ a
小白:入侵检测系统具体有哪些功能呢?/ r) X; x# e) y. ^; a
! I+ _. @$ F" _- t" A9 m! t" v5 F8 ?* ?9 M/ P. K7 B
大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。
, h! ?3 I5 Z; F
) X& W/ w8 l" [7 f) D9 T1 Y- l& I- S, E2 V: z: G3 x3 } B
三、大话始末" R, x' W& L# E( [0 U
% B- G" U! R/ \9 G
) C& A R7 P3 t- M* b- S小白:东哥,我还是不太懂……: j! b+ \1 e0 [/ V& ]9 V
! Y( w: z' X, L' b' C
. S: B& L8 j h& w! M2 q5 C4 Q大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。8 Q' M3 ~) g: x
: h2 u3 I2 o! j& n9 \! C
8 b7 U9 V$ Z% t0 E. L, u小白:那入侵检测系统岂不是有许多种?0 w8 V) D8 F# s6 }7 o T. Y* }+ I
1 [. R( C$ M8 r7 y. R! z0 p
p0 v a7 {7 y大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。0 j! f( W) I" C; P
' G P% J' U+ Z _# ^" ?5 C
. \; W4 S. s) i/ e* Z
: Y' l$ x# F( c& u7 L5 `1 ?9 D/ u' q# b* M
异常检测过程 图 | 百度
; b: W8 L# H5 \) A ?
1 y( _' z! {& C2 {; T/ q. w0 @( Y% b% P& T
$ ]& z3 {& W8 e7 V( a
小白:那误用检测呢?, ]; O. w; v9 e% w
7 \2 u9 |& D9 L- t% X
2 ]8 n5 `% v) X7 {; B大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
8 x* d+ c8 Y o0 z7 v$ B
! V6 J6 s) S1 V/ {8 k) |& D5 |5 p5 r
% h* _& Z3 d* T" m, ]3 P! h/ |# I2 k误用检测过程 图 | 百度 ! d& u$ ?5 C# r3 J
, r$ b4 m& g6 R# [
+ k) ~: v8 `* \* ]
小白:那这个入侵检测系统岂不是“百毒不侵”了?
; E* c/ \2 Z+ e! O8 T, l
9 f: a! b; z3 K Q( f) m E) |7 w
大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。
l, Z M8 ]+ q- @ g
$ `3 F1 | M4 q+ \
/ O, O1 U8 y' L- l' u四、小白内心说
/ I9 `* ~& w9 B2 `8 m9 ]. I+ p/ e" |, l
1 H! L; e0 ^: h( t大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
3 f" B$ W: y0 [ d
- I& N4 }* X0 s. N: C6 X- I2 k
小白:东哥,那我们到底该如何防范啊? 2 ~# a) ^! |; |
" u( B$ T* p! Z/ t/ {4 z
# G& [9 b% x; Z# k, y( F
大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。/ d1 |& h8 r4 a7 X1 e
7 z& n4 d6 W9 _
- n; L+ u0 t/ h5 q# J7 n+ U5 U
小白:哪4个原因呢?
6 t9 G! x d0 m% O$ m
0 Y! ?( n1 U' ?
& M3 x4 E* P* ?0 ?* n大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。$ [4 e( `2 H# ~ }- `, Q
" v/ _2 F: | H$ A; V# u2 A$ Z5 ^0 J1 j* b5 w0 i" M
小白:东哥,我又长知识啦! ! t5 o8 E9 r" @5 B; |
0 }* y- m; U' h/ D3 _ p/ r
7 H, ?$ U- ^- q( D+ a# Z大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。, Z2 u6 Y; b" P7 X4 {( Q) w
7 t6 v% G$ m+ |0 l Q# R( V9 [7 r4 p
; m1 U, z" g+ a; N6 P4 w( I J( i小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。 y/ r2 m) {) _! @- v
9 i1 W' v* a* B- s' O9 F
# v+ Q+ v, N1 J) u
! R: W/ _: h9 I X: t0 M' r
3 ~' J$ D) O" q6 y$ U+ K来源:中国科学院计算技术研究所
: g, ]8 I. d/ Q A# V9 g) @% E6 _( P# H- G. j
2 e( D j9 h, B( t1 B温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」' g$ g- o% _+ N( K2 k
0 x( l! |0 W# T0 \* ?3 G; u
8 m0 e! F5 |* m6 [; _/ K" W
' R- t3 ]' j7 _/ T9 v! w* d
& f' E3 M5 w3 h) Y+ W* z+ C& W6 | 9 l; A9 V; G* P; G/ i/ W; a
- @3 N& e6 ]5 |. t5 I来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1( b5 O0 B0 W8 Y& e) y, n! d
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
