当前位置:文档之家 › 入侵检测系统的发展历史

入侵检测系统的发展历史

  • 格式:doc
  • 大小:74.00 KB
  • 文档页数:65

下载文档原格式

  / 65

合集下载

入侵检测系统的发展历史

入侵检测系统的发展历史

入侵检测系统的发展历史
入侵检测系统(Intrusion Detection System,IDS)是一种系统,
用于监测和响应网络中可疑的入侵行为。

它是一种传感器,可以感知网络
内发生的入侵活动,并进行分析和响应。

入侵检测技术比较新,它们提供
了一种可用的手段来检测网络的不正当活动,从而有助于确保网络安全性。

在1970年代,入侵检测系统才刚刚被发明。

当时,一种名为“信息
安全显示器(ISD)”的系统被用于检测和报告网络入侵事件。

该系统通
过审查和分析系统日志文件来发现潜在的安全问题,并向安全管理者报告
不正常的行为。

然而,该系统有一些显著的缺陷,例如它无法监控网络内
部的入侵,也无法检测越权行为等。

1980年代,IDS发展迅速,开始面临更多的实时入侵检测和反应任务。

为了改进ISD,在1980年代中期,第一代IDS,称为“安全审计系统(SAS)”,诞生了。

它允许实时审查系统日志和活动审计,并能够实时
扫描受攻击的系统中的恶意软件,从而使系统更加安全。

1990年代,随着恶意软件和网络攻击技术的不断发展,IDS必须以更
高效的方式检测更多类型的入侵行为。

在此期间,第二代IDS系统(Second Generation IDS,SGIDS)取代了第一代IDS。

入侵检测系统及其发展研究

入侵检测系统及其发展研究
信l l J 息 科 学

Hale Waihona Puke 入侵检测系统及其发展研究
朱 嘉 平
( 凯明信息, 上海 2 0 3 ) 0 2 7
摘 要: 简要介绍 了入侵检测 系统及其发展趋 势。 关键词: 入侵检测 系统 ; 防御 ; 发展
1 入侵险测系统简介 e t n S s m, I S 。 i e 存在以下—些问题 :1 误报 以 3. .1 及漏报率过高 : 大 v n o y t N P ) 1 入侵检测系统简史。18 年。 m s n 量的报警信息中存在误报的情况,同时由于攻击 . 1 90 J e A — a 3 D 3 I S以及 IS的 比较分 析 。2 o P 0 3年 dr n e o 最早提出了入侵检测的概念,他将入侵定 手段的不断更新,入侵检测系统并不—定能够报 G r e公司副总裁 R ca t n o 发表的—份 s a nr t i r Si nn hd e 义为 : ‘ ‘ 潜在的、 有预谋的、 未经授权的访问及操作 出网络中所有攻击行为 ; 1 海量信 息 3’ . 2 挑战系统 名为 认 侵检测已寿终正寝,入侵防御将万古长 信息, 致使系统不可靠或无法使用的企 图。” 能力: 由于网络 中数据流量的不断增长 , 入侵检测 青》 的报告在信息安全界掀起了不小的波澜 , 然而 18 年 ,l Sa f dR sac ntue的 系统产品能否对之进行高效的处理成为其效能的 时至今 日,我们可以看到无论从产品的开发以及 9 6 SY(tno eerhIstt) r i D rh . enn 发表论文 <nIrs nD — oo yE D nig t A t i e nuo 个关键节点 ; 1 不能及时地对攻击行为进行 市场反映, 33 . 都还没有到了 IS P 取代 IS D 的地步, 人 t tnM dl 首次给出了 ^ e i oe , co } 侵检测的抽象模型, 阻断:传统的入侵检测系统只能够通过抓包来对 们谈论的更多的是究竟哪一个更适合 自己的需 被认为是入 侵检测系统的开山之作。 网络数据进行分析 , 并将可疑情况通报给系统管 求 , 甚至把两款产品综合起来部署在自己的网络 1 8 ,R 的 T rs u t 98年 S I eeaL n 等人进一步改 理员 , 不能主 系统中, 以取得更强的安全效应。 进了 D n i 提 出的 ^ en g n 侵检测模型 , 并提出了入 3 2入侵防御系统 ( t s nPee t nSs I r i rvn o y— nuo i I DS和 IS各有其侧重点 , S强调 的是对 P I D 侵检测专家 系统( t s n D t tn E pr Ss t n IS。由于入侵检测系统在实际应用中存在 网络流量的监控和分析, I r i e c o x e v— e , P ) nu o ei t r 通常 IS D 都是以旁路的 tn IE ) e ,D S , r 这是—个实时入侵检测系统 , 被认为 着诸多的缺陷, 人侵防御系统开始进 ^^ 们的视 形式连接在网络上 ;而 IS P 强调的是一种主动的 是^ 侵检测研究中最有影响的—个系统。 野。 入侵防御系统至今并没有—个明确的定 义 有 发现及阻隔功能,它通常必须串接在网络的关键 , 2 世纪 8 年代后期 , 0 0 商业化的人侵检测系 些 ^ 认为 IS就是在线的 I S有些 人 P D; 认为 IS就 节点上,因此它也会带来 I S P D 所不可能产生的一 统开始出现。 是防火墙和 IS D 的组合 ;还有一种观点认为 I 些 问题, P S 例如单点故障以及网络瓶颈, I S 同时 D 所 1 侵检测系统的定义。 侵检测系统就是 就是新—代的 I S 2^ ^ D 。总的来说, 我们可以认为, S 固有的误报及漏报问题在 IS I P P 身上也同样存在。 因此, 不能简单 地认为 IS P 会取代 I S 它们 D。 能够通过从各网络 资源及其他系统节点收集信 就是能够检测到入侵的行为 ,并且主动的对之进 息, 并对这些信息进行分析 , 从而发现系统 中可能 行阻断的系统 。 根据部署方式 , 入侵防御系统能够 分别满足了用户不同的安全需求 , 这两种技术必 存在的安全问题 , 帮助信息系统及时应对处理各 分为以下两种类型:.1主机入侵 防护系统 ( ot 将在以后相当长—段时间内 3 . 2 Hs 互相共存 , 共同构成 种攻击事件的—种安全系统。 bsd It s n Peet n S s m H P )3 . 信息安全体系中的重要—环。 ae nr i rvn o yt uo i e , IS :22 l 3入侵检测系统的分类。1.基于主机的 网 31 络入侵防护系统( e o ae t s n P 一 N t r b d n ui i w k s Ir o e 入侵 检测系 统 ( o ae n ui e co H s bsdIt sn Dt tn t r o ei Ss m H D )H D yt , I S 。 I S通常都安装在它所要监控的 ( g 4 e I  ̄ 4页) 地标准》G J3 _0 中的城市 其原因主要是二者并不是孤立的, - (Bl79) 存在相互重复 主机上, 用于记录重要 的系统文件属性 , 扫描各类 示 以及当地的国民经济 计算的情况, 需要通过修正系数对结果进行修正。 日 志文件, 在发现异常行为时通知系统管理员 , 甚 发展规划 根据已 有经验, 确定修正系数为 0 5 . ,则该地州 8 00 3 0. 公顷。 1 规划 至像防火墙监控所有进出主机的数据包。1 .基 3 2 本文以云南省某地州为例, 据该地州国民经 2 1 年建设用地修正规模为 15 0 4 于网络的入侵检测系统( ew r ae nrs n 济发展“ N tokb sd It i uo 十一五” 规划及 期的建设用地需求往往不是—个 固定的预测值 , D tc o ytm, I ) I S通常位于网络重 果 , 1 年全州城市 化率 达 3%,城镇人 口为 因此将建设用地修正值作为下限,预测值作为上 eet nS s i e NDS。N D 2 0 0 2 要节点,利用运行在混杂模式下的网络适配器来 l2 4 1 . 万人。 6 城镇 ^ 均建设用地指标根据 2 0 年 限, 05 形成—个弹性的需求区间, 这样更能体现需求 实时监控和分析网络中的所有流量。 现状并参考 G J3 -0 确定为人均 8 平方米。 的合理性。 B 179 , 0 2^ 侵检测系统的体系结构及作用 经计算 ,预测该 地州 2 1 年城镇 建设用地 为 00 建设用地需求量预测对制定科学的发展规 划有着重要的作用 , 经研究得出该地州 2 1 年建 00 Z 入侵检测系统 的体系结构 。根据 C D 9 1 . 公 顷 。 1 IF 01 0 2 ( olo t s nD tcinFa w r)标准 , C nI n I r i eet rme ok l n uo l o 根据 固 定资产投资增 长对建设用地带动 的 设用地规模在 1 50 4 1 82 2 3 0. - 5 8. 公顷之间。 前 1 5 目 国内有关研究引入 了投资拉动土地增长系 建设用地预测研究较多的是在数量上 的变化 , 对 入侵检测系统被划分成 4 个相对独立的功能模 分析 , 块: 事件产生器 、 事件分析器、 响应单元和事件数 数的概念。 所谓投资拉动土地增长系数, 是指在一 空间布局上的变化研究较少,因此 将来对建设用 将转向空问布局和扩展模式 E 。 据库。2 .事件产生器从整个计算环境中获取事 定区域范围内, .1 1 每投入 1 亿元的全社会固定资产 地研究方向 需相应增加的城镇建设用地面积, 通常用 T 参 考文 献 件, 它不负责处理事件 , 向系统的其他部分提 投资 , 而是 供事件; 1 Z 2事件分析器分析得到的数据, 并产生 表示 , 单位为公顷, 亿元。根据该地州 19- 0 5 『 道持, 9 82 0 】 伟 刘力, 贾辉等威 镇建设用 地预测方法新 西南师范大学学报 ,04 2 0. 分析结果 ; 1 . 2 3响应单元对分析结果进行相应的 年 固定资产累计投资额及建设用地增长情况 , 计 探切. 前投资带动土地增长的系数为 :- [ 邵建英 , I 2 " 】 王珂等. 城镇建设用地预测方法研究U l 反击行为 ; 1 事件数据库存放各种中间和最终 算 出该地州 目 2- 4 数据。 13 公顷, 元 。 值可以看出, 73 f 从 乙 该地州土地利用 江西农业大学学报 。0 6 20. 2 ^ 2 侵检测系统的作用。 入侵I测系统并不 经济效应较差,也在一定程度上反映了其土地利 圈姜海, 佥 曲福田. 用地需求预测的理论与方法 建设 中国士地科学,0 5 2 o. 能帮助我们解决所有网络安全相关的问题 , 一般

入侵检测系统发展简述

入侵检测系统发展简述

入侵检测系统发展简述作者:马骏来源:《电脑知识与技术》2008年第34期摘要:入侵检测系统是目前信息安全系统中的一个重要组成部分,该文简述了其二十多年的主要发展历程,对其使用的技术以及未来的发展方向进行了简要介绍。

关键词:入侵检测;入侵检测系统;IDES;DIDS中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1942-02Review on the Development of Intrusion Detection SystemMA Jun(School of Electronics and Information,Jiangsu University of Science and Technology,Zhenjiang 212003,China)Abstract: Intrusion detection system is one of the critical compositions in information assurance system. In this paper we give a review of the development of the intrusion system in that 20 years. We also take a brief introduction on the intrusion detection techniques and the development in the future.Key words: intrusion detection; intrusion detection system;IDES;DIDS1 引言在当前的信息时代,随着互联网技术的高速发展,计算模式由传统的以单机为主的模式向基于网络的分布式模式转化,而由此引发的网络入侵的风险性也随之大大增加,网络安全与信息安全问题成为了人们高度重视的问题。

IDS的模型、分类、趋势

IDS的模型、分类、趋势

引言【比特网专家特稿】近年来随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。

近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。

由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。

1.入侵检测系统(IDS)概念1980年,James P.Anderson第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。

即其之后,1986年Dorothy E.Denning提出实时异常检测的概念并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor)。

自此之后,入侵检测系统才真正发展起来。

Anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。

而入侵检测的定义为:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。

执行入侵检测任务的程序即是入侵检测系统。

入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。

入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。

入侵检测一般分为三个步骤:信息收集、数据分析、响应。

入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;2 .入侵检测系统模型美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型,该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。

网络安全中的入侵检测技术综述

网络安全中的入侵检测技术综述

网络安全中的入侵检测技术综述网络安全是当前社会发展的重要方向之一,而网络入侵成为了网络安全的一个重要问题。

随着互联网的普及和发展,网络入侵手段也日益复杂多样化。

为了保护网络的安全,提高网络系统的防御能力,入侵检测技术应运而生。

本文将对网络安全中的入侵检测技术进行综述。

一、入侵检测技术的发展历程网络入侵检测技术起源于20世纪80年代,那时主要是基于对网络流量的分析进行入侵检测。

随着技术的进步,入侵检测技术从最初的基于规则的检测方法逐渐发展到了基于特征、行为和机器学习等方法。

目前,入侵检测技术已经成为了网络安全体系中不可缺少的一部分。

二、入侵检测技术的分类根据入侵检测技术的不同方式和目标,可以将其分为两大类,即基于签名的入侵检测和基于行为的入侵检测。

基于签名的入侵检测主要通过事先确定的规则和模式来识别已知的入侵行为,而基于行为的入侵检测则通过监测系统的行为特征来发现异常和潜在的入侵行为。

三、基于签名的入侵检测技术基于签名的入侵检测技术是一种传统的检测方法,其核心思想是通过与已知的入侵特征进行比对,寻找与之匹配的特征。

这种方法具有检测准确率高的优点,但对于未知的入侵行为无法进行有效的检测。

常用的基于签名的入侵检测系统有Snort、Suricata等。

四、基于行为的入侵检测技术基于行为的入侵检测技术研究的是系统和用户的行为特征,通过建立正常行为模型和异常行为模型来检测入侵行为。

这种方法适用于未知入侵和变异性入侵的检测,但在实际应用中存在误报率高的问题。

常用的基于行为的入侵检测系统有Bro、Snort、Suricata等。

五、机器学习在入侵检测中的应用机器学习在入侵检测中发挥了重要作用,通过训练算法和模型,能够对网络流量数据进行分析和预测。

在现实场景中,机器学习的应用能够提高入侵检测的准确率和实时性。

常用的机器学习算法包括决策树、支持向量机和神经网络等。

六、入侵检测技术的挑战与未来发展网络环境的复杂性和入侵手段的多样化给入侵检测技术带来了许多挑战。

网络安全发展历程2023简版

网络安全发展历程2023简版

网络安全发展历程网络安全发展历程1. 网络安全的定义和意义网络安全是指保护计算机网络及其相关设备、数据和程序免受未经授权的访问、破坏、窃取、篡改、滥用和破坏的一系列技术和管理措施。

网络安全的重要性在于保护个人隐私、企业机密和国家安全。

2. 网络安全的起源网络安全问题的根源可以追溯到上世纪60年代末。

当时,互联网刚开始发展,计算机网络系统非常脆弱,缺乏有效的安全防护措施。

因此,黑客活动和网络攻击频繁发生。

3. 阶段一:密码学时代(1960年 - 1990年)在网络安全发展的早期阶段,主要采用密码学来保护网络通信和数据的安全。

密码学是一门研究加密算法和解密算法的学科,通过使用加密算法对数据进行加密,以确保只有授权的用户能够解密和访问数据。

在这个时期,加密算法逐渐发展成为网络安全的核心技术。

4. 阶段二:防火墙时代(1990年 - 2000年)随着互联网的普及和网络技术的发展,网络攻击的方式和手段也日益复杂。

为了应对这种情况,防火墙成为了一种重要的网络安全技术。

防火墙用于监控并控制网络流量,以阻止未经授权的访问和恶意攻击。

防火墙通过规则和策略来过滤和阻挡网络流量,从而提高网络的安全性。

5. 阶段三:入侵检测系统时代(2000年 - 2010年)随着互联网的进一步发展和网络攻击技术的不断演进,防火墙等传统安全技术逐渐显得力不从心。

为了能够及时发现并应对网络攻击,入侵检测系统(IDS)开始发挥重要作用。

入侵检测系统是一种用于检测和识别网络中的异常行为和攻击的安全工具。

它通过分析网络流量和系统日志,来判断是否存在恶意行为,并及时发出警报。

6. 阶段四:综合安全解决方案时代(2010年至今)随着云计算、物联网等新兴技术的快速发展,网络安全面临着新的挑战和威胁。

传统的安全技术和解决方案已经无法满足当前复杂多变的安全需求。

因此,综合安全解决方案成为了当前的主流趋势。

综合安全解决方案将多种安全技术和方法相结合,包括加密技术、网络监控、入侵检测、访问控制等,以提供更全面和有效的安全防护。

入侵检测系统

IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以 完全取代防火墙。
入侵检测系统的组成
IETF(互联网工程任务组—The Internet Engineering Task Force)将一个入侵检测系统分为四个组件: • 事件产生器(Event generators):目的是从整个计算环境中获得 事件,并向系统的其他部分提供此事件。 • 事件分析器(Event analyzers):分析得到的数据,并产生分析 结果。 • 响应单元(Response units ):对分析结果作出作出反应的功能 单元,它可以作出切断连接、改变文件属性等强烈反应,也可以 只是简单的报警。 • 事件数据库(Event databases ):存放各种中间和最终数据的 地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测系统的简介
入侵检测系统的特点:ຫໍສະໝຸດ • • • 不需要人工干预即可不间断地运行 有容错功能 不需要占用大量的系统资源 能够发现异于正常行为的操作 能够适应系统行为的长期变化 判断准确 灵活定制 保持领先 IDS对数据的检测; 对IDS自身攻击的防护。 由于当代网络发展迅速,网络传输速率大大加快,这造成了IDS工作 的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对 对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技 术的不完善,IDS的高虚警率也是它的一大问题。
IDS的缺点:
6.1.3 入侵行为误判 入侵行为的误判分为正误判、负误判和失控误判三种类型。 • 正误判:把一个合法操作判断为异常行为;


负误判:把一个攻击行为判断为非攻击行为并允许它通过检测;
失控误判:是攻击者修改了IDS系统的操作,使他总是出现负误判;

入侵检测技术

–安装在被保护的网段(通常是共享网络,交换环境中交 换机需支持端口映射)中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应
10
7.2 入侵检测的原理与技术
网络数据
读取网络数据 网络报文数据
协议分析
比较数据
事件数据库
上报事件
图7-1 网络IDS工作模型
11
7.2 入侵检测的原理与技术
网络IDS优势
22
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、 一组用户、主机,甚至是系统中的某个关键的程序和文件等) 的正常行为特征轮廓;检测时,如果系统中的审计数据与已建 立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行 为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。
事件数据库
图7-4 控制中心的工作流程
21
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
入侵检测主要通过专家系统、模式匹配、协议分析 或状态转换等方法来确定入侵行为。入侵检测技术有:
➢静态配置分析技术 ➢异常检测技术 ➢误用检测技术
1.静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸 如系统文件的内容或系统表,来检查系统是否已经或者 可能会遭到破坏。静态是指检查系统的静态特征(系统配 置信息),而不是系统中的活动。
6
7.1 入侵检测系统概述
7
7.1 入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛

入侵和入侵检测技术发展综述

入侵和入侵检测技术发展综述卢涛1,马力2 1.西安电子科技大学 2.西安邮电学院摘要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。

本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程。

文章以历史和实践的观点,透视入侵和入侵检测技术相互制约,相互促进的演进过程。

关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史1引言自从计算机问世以来,安全问题就一直存在。

特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。

提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。

适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。

在这种需求背景下,入侵检测系统(IDS)应运而生。

入侵检测系统(IDS)是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起,通过分析被检测系统的审计数据或直接从网络捕获数据,发现违背安全策略或危及系统安全的行为和活动。

本文主要讨论入侵和入侵检测技术从20世纪70年代初到今天的发展历程。

这个概念出自James P.Anderson在1972年的一项报告,随后的30多年中,概念本身几乎没有改变。

2入侵行为的概念、分类和演化从最早期的计算机安全开始,人们就密切关注恶意使用者破坏保护机制的可能性。

早期系统多为多用户批处理系统。

这个时期,主要的威胁来自系统的合法使用者,他们企图得到未经授权的材料。

到了20世纪70年代,分时系统和其他的多用户系统已成气候,Willis H Ware主持的计算机安全防御科学特别工作小组提供了一项报告,为处理多级数据的计算机系统的发展奠定了基础。

IDS技术


取安全响应行动(终止入侵连接、调整网络设备配
置,如防火墙、执行特定的用户响应程序)。
(3)Server
Sensor(服务器代理,安装在
各个服务器上):对主机的核心级事件、系 统日志以及网络活动实现实时入侵检测;具 有包拦截、智能报警以及阻塞通信的能力,
能够在入侵到达操作系统或应用之前主动阻
止入侵;自动重新配置网络引擎和选择防火 墙阻止黑客的进一步攻击。
IDS技术
入侵检测技术
简介 发展历史 分类 通用模型 过程 部署实例
简介
入侵检测系统( IDS )可以被定义为对计算机和网络资源 的恶意使用行为进行识别和相应处理的系统。包括系统外 部的入侵和内部用户的非授权行为,是为保证计算机系统的 安全而设计与配置的一种能够及时发现并报告系统中未授
算机误用,他给威胁进行了分类,第一次详细
阐述了入侵检测的概念。
1984年到1986年乔治敦大学的DorothyDenning 和SRI公司计算机科学实验室的 PeterNeumann 研究出了一个实时入侵检测系统模型 —— IDES
(Intrusion Detection Expert Systems入侵检测
信息分析
收集到的有关系统、网络、数据及用户活动的 状态和行为等信息,被送到检测引擎,检测引 擎驻留在传感器中,一般通过三种技术手段进 行分析:模式匹配、统计分析和完整性分析。
当检测到某种误用模式时,产生一个告警并发
送给控制台。
结果处理
控制台按照告警产生预先定义的响应采取 相应措施,可以是重新配置路由器或防火 墙、终止进程、切断连接、改变文件属性, 也可以只是简单的告警。
专家系统),是第一个在一个应用中运用了统计 和基于规则两种技术的系统,是入侵检测研究中 最有影响的一个系统。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

本文由heisjay贡献pdf文档可能在WAP端浏览体验不佳。

建议您优先选择TXT,或下载源文件到本机查看。

戚技术人侵检测系统的发展厉史华中科技大学摘DIS涂保东要:从大量史料中整理出入侵检测系统(}n七ru]s的历史进程:,。

eciDteto。

nyssetm,IDS)研究与开发的历史,为人们了解把握目前研究与开发的热点提供参考}Ds关键词入侵检测系统发展历史网络安全很早以来人们就认识到用户的行为进行适当监控络恶意的和错误的操作应对网以阻止etmDl(田入侵检测专家系统)nnte「e。

’‘被Deteet!on网odel“正式发表。

De旧g用在早期的{tA网(AR尸)上监控保障网络数据reo用户的验证信息这是第一个基于规,在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者:与运行的安全。

入侵检测思想在二十tetn多年前就已萌穿随着I的蓬勃发展近几年来旧S得到了较深入的研则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的,使用系统的模式与正常用户的使用模式不同,因此可以通过监控系统的跟系统漏洞和恶意行为进行检测为构踪记录来识别入侵者的异常使用模式从而检测出入侵者违反系统安全性的o情形Den旧g的模型是许多旧S原型。

究和广泛的应用1980年4月JamgesPAndes「。

on发‘’建入侵检测系统提供了一个通用的框品同P架随后S日完成了与sA四AR的合为其提交了第一款实用的旧S产1985表著名的研究报告rT卜eatCompanute「eeur、t丫的基础。

Monn!tor一dSurvel日neea1988。

年5月renee,加州大学戴维斯分L.ve「more第一个正式阐述了入侵检测的概念,年美国国防部计算机安全校的La(LLNL*实验室pA从1972年开始Jm就一直在关注和研究计算机系统和多用oeonde「son)可中心(NCSC正式颁布了《信任的ortd计算机系统评估标准》(ToseCm一Puter)承接了美国空军的一项名为asHyt日Ck的课题为美国空军基地的计户网络的安全问题.在这篇为美国空.S丫stemEValut旧nCr{terla军所作的研究报告中、他将计算机系丁CS任C)。

丁CS任C为预防非法入侵定义引、算机安全开发了一套新型的旧s系统该系统通过与已知攻击模式进行匹配比较来分析审计数据sc存在入侵行为洲。

yta1988k统可能遭遇的风险和威胁分为外部渗透内部渗透和不法行为三种并提出了利用审计包含关键内容的跟踪数据!了四类七个安全级另」由低到高分别以此判断是否是D、C1CZ已2、巳3、1A系统是第一个。

定CZ以上级别的操作系统必须具备审计功能并记录日志布对操作系统、.采用误用检测技术的旧S口来监视入侵活动的思想理论基础1983}ns。

t}tute,。

他的研究成下CS任C标准的发果为开发基于主机型旧S提供了最初的年SRIn(Stafood日esea「eh发展起到了很大的推动作用安全发展史上的一个里程碑数据库等方面的安全是信息。

年10月SRI/CSL的Te「sautLn等人从分析用户(及系统设备与程序等)的行为特征出发进一步改进,e.geDnn的入侵检测模型于190年4,斯坦福研究所)的Doroth丫ENeumonn年,为保障大型计算机数据四月开发出一个新的系统可以同时监。

en。

.ng和Peteran共同主持了一arfa「e库系统的安全系统这是最早。

丁eeTnr开发出用Ve个受美国海军下属海空作战系统指挥于检测用户异常操作行为的口SCo即控网络中不同站点上的用户1988rr年1月Mos蠕虫感染了tnIe部(s日oCmmnd题,paeedNaV日{四sS丫tems资助的研究课为他们的大型计算机开发入侵检A胃A田,PS雏形之一顺便提及也是在这年美国illDgt公司在Ient上安装了全球第atnre ,,的基于主机的旧Sntre上近万台计算机。

、tn造成Ierent持续两天停机事件发生之后网络安全引起了军方企业和学术界的高度重视,测系统他们确定的检测目标正是从。

一个商用防火墙系统防火墙技术开促使人们投入更多的资金和精。

,分析审计跟踪数据和构建基于用户行为描述文件开始始得到飞速的发展1987。

一年后(!984年),年2月作为对前几年研究,力去研究与开发旧So9189年日astck项目的开发人员ysC创建了一家商业公司取名为日a丫t8,他们研制出了一个实时入侵检测系统s.neenxs模型{ntruoDet屯旧EPertS丫一与开发工作的总结De门nD。

「。

th丫任欠y,ng的著名论文AJnt厂。

旧n一u实验室将他们的新技术商品化他们r18计算机安全加关技术入侵检刚诵r与漏洞扫描专辑美国空军密码支援5’Dt的JS产品名为S。

}ker意思是入侵拥有强oPtr1991年9月,r行为的阻击者(pattern’‘ts。

}ker采用模式匹配「中心(A厂oreeCryPtologieSUP一tag的旧S产品取名NeRne意为网络tR。

门ger是网络实时入侵检测巡警Ne “。

Mateh.ng)检钡技术l。

Cene)tr开发出安全测定自动系Seeurlt劲的数据搜索能力系列产品。

成为第一款在市场上销售成功的旧S工具是基于主机}DS的一大进步1989oa统(AutmtedetsS丫mAsM)l。

丫Measurement系统的第一款商业化产品NtRoneg针对企业而设计以其高性能和高价,。

e用于监控美国空军内格闻名1994S是基于网络的入侵检测软件。

年。

MeAfeeA公司为网络入侵检测系部网络安全统提供了硬件与软件相结合的第一种A引M中经受实践考验最多的产品之一年4月l(5,Inte「entseeuo.tv创立,总部设在美国著名的加利福尼Me解决方案1992。

seytte「enmS)5公司创立并发布了亚州硅谷A十ee以开发V,russean系和R年haSR】CSL/n的下eresaLuntInSCanne。

正式第一版这是一个列杀毒软件而迅速成为业界最著名的反病毒安全厂商1990Jagann“t领导一个项目组对早开发旧ESexte一已从1992年开始就以共享软件的形式发布的功能强大的互联网安全漏洞检测期的,旧ES作重大修改(NDeteet!onss丫的下旧n校的L年5月加州大学戴维斯分丁H匕ej。

等人提出了基于iere 一代新产品NIDES{n2t「us旧。

nerat软件。

te。

1993。

年网络的入侵检测概念即将网络数据,D月发布了N}Es的aa)p卜测试版1994年6月Ha丫staek实验室推出了第一款针对Web服务器的1996流作为审计数据的来源通过主动监。

年版9。

月发布了刚DSE视网络信息流量来追踪可疑的行为ee{在日匕e}。

领导下开发的闪S网r (NetWO「tZ的最终测试Bea采用分布式入侵检测技术INDESWebst日IkerPro。

1996年。

NFRe(NFRSeur{ty]n.e)能够从多个主机收集和合并处理审计公司成立NF以开放其旧sR早期版本kSe。

r.t丫Mo川tor)系统是第信息统计分析算法有大幅增强基于规则的专家系统更加完善1992。

』的源代码而闻名Itn在一定程度上促进。

一个基于网络的旧导为入侵检测系统的发展翻开了新的一页1991。

D了]S的研究和推广r(PudNFR的旧S产品有比较完年10月g,普渡大学Spafford、erue「s,onU DeteCt.on Appl,anee年2月lre,。

在美国空军国家tUn,vers‘yt )的Euene和Gene善的定制功能协议分析1996可以进行攻击特征和,安全局和能源部共同资助下Hyas实验室和HbeeDeteCt,onls式入侵检测系统(D一trbutedCakK、m联手开发出T。

;、Pw成为UN}X下等人开展了对分布l门trus旧门。

最著名的文件系统完整性检查的软件e工具T,pw,r应用数字签名技术对指r定文件进行监控可检测其被改动增加、年1月加州大学戴维斯分0「ofrtn校的SaInt「USlond等研究人员提出了基于ases丫‘mDIDs)的研究,o一S。

,、图表的入侵检测系统(GrDeteet,onss丫p卜匕一as。

d将基于主机和基于网络的检测方法集成在一起采用分层结构体系包括数事件主体上下文威胁安全状态等6层整个系统包括三个部分删除的详细情况。

,rTpw,re早期的temGrlDs。

)原据、、、、、免费版本一直是全球系统管理员最受欢迎的工具之一1992理并完成了原型的设计和实现该系统能够将多台机器的行为通过图表直观地表示出来可用于对大规模自动或协同攻击的检测。

:年,11,月,加州大学的orrasKoh「。

J传感器管理器和中央数据处理器传感器和管理器从局域网各检测点分别采集数据并将数据送至中央数据处I理器作全局处理DOS成为入侵检测系统发展历史上的又一个里程碑。

、,11gun在PheKmmeerr和工作基础上的前期us丁A丁Tool{PPR,}ea「d开发出。

1996年1月2。

515}Se公司宣布推出』实时入侵检测系统T厂。

nsltlon(r,孰。

et。

网络安全软件Re 。

盯e一个实时的7Ana5l丫15]foUNIX)1991年t,SAICt,ona(se旧neeAppl,一他们提出的状态转换分析法使用系统状态与状态转换的表达式描述和检测已知的入侵手段1994COAST攻击识别工具入侵检测市场大约到19正开始启动并产生利润e出日.年才真,旧ns{nernajCo甲o科学Mlsuse使用反映系统状。

在这年3月安全产品市场的领头羊旧S公司正式推a。

应用国际公司)开发了一款基于主机态转换的图表直观地记载渗透细节lsreeure的商业版本.Re“。

aa}Selse日re的旧s产品CMDS(CoDemputor年3月,普渡大学计算机系ar10foWlndow,sNT40Reeeurete。

Ct,ons丫stem计算机误用检测系实验室的,MkC厂os和Gene将基于主机和基于网络的入侵检测技术结合起来采用分布式安全体系结。

统)CMDS应用在U刚X系统的服务器。

Psr甜od研究了遗传算法在入侵检侧中他们使用遗传算法构建的智au上对网络数据流进行审计追踪分析的应用构并找出其中的可疑活动后来其大股东术分。

sAcl公能代理(omousAgents)程序能够由多个检测引擎监控不同的网络并向中央管理控制台报告引擎与控。

司通过购买005网络公司的股票成为。

DS005n{识别入侵行为而且这些A引网项。

geots具有。

公司因此m获得C网。

S公司。

技学习”用户操作习惯的初步智能制台之间的通信可以采用12匕,tRsA8「e进行加密和认证Realsee。

可以对某些品牌的防火墙置、不久公司将其{05开发部拆co1949年目的开发人员组uop,路由器进行重新配。