网络入侵检测系统的主动响应技术 昨天19:56:16 今天,新浪网的首页头条出现了一条令人惊讶的新闻《国外三大通讯社屏蔽反藏独信息》,据该新闻报道,千龙网记者使用路透社中文网的新闻搜索引擎,以“藏独”等热门关键词进行搜索,居然出现“该页面无法显示”,因此该记者认为,明西方媒体刻意放大了“藏独”的声音,弱化、甚至屏蔽反藏独信息。
诚然,早些时候西方部分媒体的某些不实报道令人愤怒,但是我们的媒体需要通过谎言来反击西方媒体的不实报道吗?记者声称在路透社网站搜索“藏独”会出现“该页面无法显示”(在Firefox浏览器下会出现“连接被重置,载入页面时到服务器的连接被重置”的提示),这实际上是不懂网络知识的外行产生的一种误解,这种误解在“Google搜索南京大屠杀的谣言背后”的那篇文章之中我也有提及。
这里面需要补一些网络技术知识,主要是关于入侵检测系统的知识,以下是我所学过的一本教材《信息安全技术教程》中的相关阐述。
入侵检测系统(Intrusion Detection System,简称IDS)是由硬件和软件组成的,用来检测系统或者网络以发现可能的入侵或攻击的系统。入侵检测系统通过定时的检测,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式,监视与安全有关的活动。
从系统结构上来看,入侵检测系统至少包括信息源、分析引擎和响应三个功能模块。信息源为分析引擎提供原始数据进行入侵分析;分析引擎执行实际的入侵或异常行为检测;分析引擎的结果提交给响应模块,响应模块采取必要和适当的措施,阻止进一步的入侵行为或回复受损害的系统。
……
入侵检测系统的响应可以分为主动响应(Active Response)和被动响应(Passive Response)。在主动响应中,系统自动地或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程;而在被动响应中,系统只报告和记录发生的事件。
对付入侵者可以通过某种方式来进行。例如,入侵检测系统可以断开与其之间的网络会话,如向攻击方的计算机发送TCP的RESET包,或者发送目标不可达(ICMP Destination Unreachable)包,系统也可以控制一个防火墙或者网关去拦阻来自入侵发起IP地址的数据包。
以上知识援引自中国人民公安大学出版社发行的《信息安全技术教程》(全国信息网络安全抓也技术人员继续教育培训教材)第六章“网络安全”,如果知道了这些网络安全知识,我们就能很清楚的知道“到底发生了什么事”。很明显,该文的记者在搜索“非法关键字”的时候自动触发了入侵检测系统,入侵检测系统以主动响应的方式发送了RESET包,导致了网络连接被重置,所以会出现“该页面无法显示”的情况,并非是因为“国外三大通讯社屏蔽反藏独信息”的原因。在中国第一大新闻网站的头版头条竟然出现这样一个颠倒黑白、指鹿为马的新闻,实在令人汗颜。