|
|
一、谶曰
: P, |( _' }: ?+ o7 Z6 ]5 a1 A9 ^) P8 O f& T2 ?9 R/ r+ W6 P
+ n+ C4 `8 k: c大东:小白,你有没有听说过骗局大师啊?2 T" ~9 p3 M) G$ K' ^/ e# M5 l
! Z' K! H7 x+ J; n3 }
+ _$ {, Z. b# h. f小白:骗局大师?emmmmmm……是《惊天魔盗团》里面的那种大师吗?
% s( E( D' w& |
. G' X1 X) T1 ]9 M( m
. [6 u* u% h# q6 F$ n) K+ ~0 \* Q大东:哎,我指的是1993年有名的那个骗局大师啦! p+ C, H; h- l8 l7 e5 {
4 j2 |7 J" |8 X4 _8 j5 Y4 Y" C+ Z
5 S& J3 Q3 ~- i* P( Z [ `$ y1 @
) d( [4 W/ v" `7 d& Y+ b
" O# g% n- @4 o% N& @小白:93年的骗局大师?没听说过啊!& x) A8 n. J1 r1 r( b2 n7 U% k
2 q! {& q. ^0 Y/ q* T; B) A1 n
1 S1 }* x% e2 c1 w0 \# i# N3 F大东:那可是被媒体评为10大黑客事件之一的主人公啊!
" m( _8 n0 A1 s3 v: x) P6 A' |, u+ z4 x
+ l& X0 _" B, N2 B* m7 f
小白:哇,原来这么有名啊!东哥,快给我讲讲吧!
- ?3 S0 E0 b/ G4 f, g3 ]( M" N5 B6 r) X
% i4 d. F3 i1 m& n: l1 y3 G2 h
二、话说事件3 g( m A" P. G* u4 h
# G1 z& N5 Y4 d2 {' }$ m7 D
大东:在1993年,有一个自称为骗局大师(MOD)的组织。这个组织建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。造成此次事故的主要原因就是入侵检测系统出现了漏洞。
# P0 U5 y6 ` c( r0 I
1 ]8 A; E8 b O v& s
- w7 v, Y0 }* z3 Q小白:入侵检测系统?东哥,这个系统我有点陌生。
7 E X+ X3 H8 h! s
! q( q D. c2 u! f% k" f
: _5 N D/ m' I- S大东:哎,你对什么都陌生!
9 x' ]' a5 y: _, S" L1 r: ]! w: X! T6 P8 y! m
+ i; }/ B. |( O6 `" h- Y小白:东哥,你又揭我老底了!4 D/ I8 i# K8 A% m( H
/ t, \4 G$ W' b* c
/ [$ d: k5 e4 [2 B: Z. O) Q7 M' N+ A* p' ~$ Y4 Q) |1 @& Q
5 q9 L, r/ W3 D% n
大东:入侵检测系统(intrusion Detection System ,IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。
% c* ~/ I; Z6 |+ b
$ K' `- ?. w6 |8 n/ {
- g$ z4 r. ^/ I% B$ x5 W小白:那它与普通的网络安全防御技术有什么区别吗?; I( t" A! j- j
% [% I9 r a: ^* y* S
* _9 [, H+ y1 W0 L+ n6 W* d
大东:它可是一位“主动出击”的选手!IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。3 J3 x$ [& W; r6 I- n" z* o, G
1 P) N5 y' q3 t, S! d
# t+ o4 k6 l! g& \! R8 Q2 k+ D' v- B小白:入侵检测系统具体有哪些功能呢?3 ?$ ]" h/ i; z
# t; ]8 u8 C7 {0 ?9 g' r% U
9 L) q/ u6 Z% k W) [ Y# W大东:具体说来,入侵检测系统主要有以下功能:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。. ^- B; f( Q7 E* h+ L; v; {) ?
+ M4 v8 {0 m) h9 g3 O2 t0 D+ u
, h ^1 u4 G: P4 G
三、大话始末% ]& }) a: A2 [2 M
* `8 W6 W: C; U* Z# {
5 [: `- f3 Y& L# t j小白:东哥,我还是不太懂……0 e7 F1 N: k4 d4 U' s1 c
) U% M2 ^7 T$ o G) q; q
) ?* E) N" {" @
大东:做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来入侵者,也针对内部的入侵行为。
2 m, l% }( B3 w+ s" B
! W: x! r; b5 U$ m( V: w. f+ A; t; U) b6 I% S ^$ y
小白:那入侵检测系统岂不是有许多种?6 L6 I' r$ g, ?# V2 j: v
. i/ ?7 g, m& D' M8 _3 v' U: }
+ X8 c: o8 A: M) J5 R
大东: 是的。例如按照检测分析方法分类有异常检测和误用检测。 基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为的日志信息总结出这些规律,而入侵和滥用行为规则通常和正常的行为存在严重的差异,通过检查这些差异就可以判断是否为入侵。
7 J/ b$ Z6 V# b4 r: T1 N9 Q
! f, d9 r# ]$ t) g: r' {( L6 g% F$ U% `/ W: r' c# B
% L6 c* T: r- \- c2 P4 a异常检测过程 图 | 百度
# [- ?0 H( o) G2 ^2 e5 i
' x# X3 U" M3 u7 y: k& P- v8 \+ R3 C- \3 |
7 p- m* _7 @( r4 d* D$ X. j0 M% s; r小白:那误用检测呢?1 T2 E5 H( w/ ?* {* ?1 S. {& q
6 A d3 n0 |3 t0 J" ^7 u
9 m+ i" U& Z8 `' y
大东:又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:系统先收集非正常操作的行为特征,创建入侵行为特征库,当新的请求发生时,系统将对其进行特征匹配,从而完成分类。
! ~8 P5 x Y; O( b! A% c8 c7 y% X6 S" O! `: t5 q3 f r0 |+ U
+ s5 q5 M4 ?9 x; r! u3 C3 X
( q" `, v Y/ o/ n5 ~ g+ v1 I
误用检测过程 图 | 百度 4 w% ^7 {% v5 ]- ` d# W
' u6 f4 L# [% M O5 q) G; @
; U7 t O2 v% r8 l; F% E. B ~
小白:那这个入侵检测系统岂不是“百毒不侵”了?
. n' |! _3 _ X7 t8 X: k- T: k N- Z! |& _" N3 ^
: Q, _7 {9 I& e1 @大东:不是这样的。例如,我们刚才提到的误用检测,它确实可以检测到许多甚至是全部已知的攻击行为。但是如果入侵特征与正常的用户行为能匹配时,系统会发生误报;或者没有特征能与某种新的攻击行为匹配时,系统会发生漏报。) F, o4 P. X. T, Z3 z/ {
6 n1 l6 w& l5 \# K- M# S) A k
( Q" N9 ~, w. g" o8 T. d9 B
四、小白内心说
2 r- p6 A' I* p0 C- x0 z
3 W A5 T. Q% B u1 y/ R' _9 X( ?, K' s% I
大东:正像其他系统一样,每一种IDS产品都或多或少地存在着一些漏洞,一旦这些漏洞被攻击者发现并成功利用,轻者可以让IDS系统停止工作,严重者甚至可以取得对系统的控制权。
& |# t. F, L; F# E* z1 c% c6 u$ c/ b* z- f, a* z
2 j+ l6 n+ r& B' B4 [' M小白:东哥,那我们到底该如何防范啊?
- b0 N/ x- [" o, X+ E
A$ d) }' x, }+ M! f$ e
8 a$ ?* I5 s' i w( `6 V9 _9 @# W) ~- g6 P大东:一般地,在建设了IDS之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看来,在安全防范还算健全的情况下,企业被攻击有4个原因。) A% S7 o% t% o# z/ ?- ? U+ \, A
+ E- {; u, @- t8 c# _ q8 Q* Z' ^
小白:哪4个原因呢?
) r/ b& S4 l& u; v- k
/ \5 E8 s$ a) G E! n2 [. s/ P a! | d5 m) C1 g j3 O
大东:(1)网络管理员能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握不足,对像IDS给出的报警信息缺乏深入的研究;(2)对IDS缺乏最基本的管理;(3)IDS漏报和误报,查不出哪里存在非法入侵;(4)对IDS期望值过高。
" l% E2 Q8 s. s& H6 E
5 X% @- K4 w& F- s! |: J% x0 p! i f, @
小白:东哥,我又长知识啦! % a$ u" O% N7 Q! [0 e
y# u8 u' }) {9 s) Y/ T+ }1 f5 v1 [' }0 G. Q) C" r4 R
大东:IDS具备的安全应急机制:(1)网络安全必须具有相对完善的预警、检测和必要的防御措施;(2)入侵检测系统的行为关联检测机制以及自定义检测功能;(3)入侵检测系统和防火墙形成动态防御。2 w4 L, b3 J4 I- P6 U. s$ w
) T" [! A0 D6 b# H* f; B1 {8 k0 a! @
小白:通过入侵检测,不仅能够知道攻击事件的发生、攻击的方式和手法,还可以指挥其他安全产品形成动态的防御系统,这就对网络的安全性建立了一个有效屏障。
( r D% L: b. G0 n: C) _ G
8 W, f9 _ |4 k- N& ^" x0 \ h- j" f! H
/ A+ J" y6 M3 \0 C! M- p2 Y5 r h2 G( c# T! Q7 Z1 P* Z* s9 Z
- A" A# ]0 L" M" A4 ?$ Y来源:中国科学院计算技术研究所, r1 \4 u$ o. ?* Z. ^( k) B
) B I' f$ |2 b8 {5 X+ n
# ]. L+ r6 r% l; _7 Z+ _" k. r温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
1 d0 ~. c& z! z6 b' A) A* w6 V% J) j
4 G, Y- ?$ e7 S( H4 F. I2 p0 w7 }' h9 E1 c, W" `
2 H& H$ e5 C5 s( q, k- \6 I0 @
( K0 f$ S7 Y) U$ N2 [0 N
! }2 m, s' B8 R$ Q5 a来源:http://mp.weixin.qq.com/s?src=11×tamp=1572067805&ver=1935&signature=UF152PNB9stgmlU2sWonNMSLAte-sFZ5QDkGdmbo6xwqODF2rZjnVAVAD3JyJG4BHaiAy6jkXjICCYGq32WRl7GBYjSXR7dd-euU6k1EYKDT77dsqvbn2OEOUc*-SVQs&new=1
& Y2 i' a, `: f$ D0 }7 U免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-10-26 13:58:13
