koito-生发水
本文由
heisjay
贡献
pdf
文档可能在
WAP
端浏览体验不佳。建议您优先选择
TXT
,或
下载源文件到本机查看。
戚
技术
人侵检测系统的发展厉史
华中科技大学
摘
DIS
涂保东
要
:
从大量史料中整理出入侵检测系统
(}n
七
ru]s
的历史进程
:
,
。
。
eciDteto
。
n
ys
s
et
m
,
IDS
)
研究与开发的历史
,
为人们了解
把握
JDs
目前研究与开发的热点提供参考
}Ds
关键词
入侵检测系统
发展历史
网络安全
很早以来人们就认识到用户的行为进行适当监控络
恶意的和错误的操作
应对网以阻止
etm
Dl(
田
入侵检测专家系统
)
nnte
「
e
。
’
‘
被
Dete
et!on
网
od
e
l
“
正式发表
。
De
nn
旧
g
用在早期的
{
t
< br>A
网
(AR
尸
< br>)
上监控
保障网络数据
re
o
用户的验证信息
这是第一个基于规
,
在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者
:
与运行的安全
。
入侵检测思想在二十
te
tn
多年前就已萌穿随着
I
的蓬勃发展近几年来旧
S
得到了较深入的研
则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的
,
使用系统的模式与正常用户的使用模
式不同
,
因此可以通过监控系统的跟
系统漏洞和恶意行为进行检测
为构
踪记录来识别入侵者的异常使用模式
从而检测出入侵者违反系统安全性的
o
情形
Den
旧
g
的模型是许多旧
S
原型
。
究和广泛的应用
1980
年
4
月
Jam
g
es
P
A
n
des
「。
on
发
‘’
建入侵检测系统提供了一个通用
的框品同
P
架随后
S
< br>日完成了与
sA
四
AR
的合为其提交了
第一款实用的旧
S
产
1985
表著名的研究报告
rT
卜
eat
Comp
an
ute
「
e
eur
、
t
丫
的基础
。
Mo
nn!tor
一
d
Su
rvel
日
neea
1988
。
年
5
月
renee
,
加州大学戴维斯分
L
.ve
「
more
第一个正式阐述了入侵检测的概念
,
年
美国国防部计算机安全
校的
La
(LLNL
*
实验室
pA
从
1972
年开始
Jm
就一直在关注和研究计算机系统和多用
o
eo
n
de
「
son
)
可中心
(NCSC
正式颁布了《信
任的
ortd
计算机系统评估标准》
(
ToseCm
一
Put
er
)
承接了美国空军的一项名为
asHy
t
日
Ck
的课题为美国空军基地的计
户网络的安全问题
.
在这篇为美国空
.
S
丫
s
te
m
EV
a
lu
t
旧
n
Cr
{terla
军所作的研究报告中
、
他将计算机系
丁
CS
任
C
)
。
丁
CS
任
C
为预防非法入侵定义
引
、
p>
算机安全开发了一套新型的旧
s
系统该系统
通过与已知攻击模式进行匹配
比较来分析审计数据
sc
存在入侵行为洲。
yta
1988k
统可能遭遇的风险和威胁分为外部渗
透内部渗透和不法行为三种并提出
了利用审计包含关键内容的跟踪数据
!
了四类七个安全级另」由低到高分别
以此判断是否
是
D
、
C1
CZ
已
2
、
巳
3
、
1A
规
系统是第一个
。
定
CZ<
/p>
以上级别的操作系统必须具备审计功能并记录日志
布对操作系统
、
.
采用误用检测技术的旧
S
口
来监视入侵活动的思想
理论基础
1983}ns
。
t}tut
e
,
。
。
他的研究成
下
CS
任
C
标准的发
果为开发基于主机型旧
p>
S
提供了最初的
年
SRI
n(Stafood
日
e
sea
「
e
h
发展起到了很大的推动作用安全发展史上的一个里程碑
1986
数据库等方面的安全是信息
。
年
10<
/p>
月
SRI/CSL
的
Te
「
sautLn
等人从分析用
户
(
及系统设备与程序等
)
的行为特征出发进一
步改进
,
e
.geDnn
的入侵检测模型
于
190
年
4
,
斯坦福研究所
)
< br>的
Doroth
丫
E
Neum
onn
年
,
为保障大型计算机数据
四
月开发出一个新的系统
可以同时监
。
en
。
.n
g
和
Peter
an
共同主持了一
arfa
「
e
库系统的安全
系统这是最早
。
丁
eeTn
r
开发出用
Ve
个受美国海军下属海空作战系统指挥
于检测用户异常操作行为的口
SCo
即
控网络中不同站点上的用户
1988rr
年
1
月
Mos
蠕虫感染了
tnI
e
部
(s
日
oCmmnd
题
,
paee
d
NaV
日
{
四
s
S
丫
te
m
s
资助的研究课为他们的大型计算机开发入侵检
A
胃
A
田
,
PS
雏形之一顺便提及也
是在这年美国
illDgt
公司在
Ie
nt
上安装了全球第
atnre
,,
的基于主机的旧
S
ntre
上近万台计算机
。
、
tn
造成
I
er
en
t
持续两天停机事件发生之后网络安全引起了军方企业和学术界的高度
重视
,
测系统
他们确定的检测目标正是从
。
一个商用防火墙系统
防火墙技术开
促使人们投入更多的资金和精
。
,
分析审计跟踪数据和构建基于用户行为描述文件开始
‘
始得到飞速的发展
1987
。
一年后
(
!984
年
)
,
年
2
月
作为对前几年研究
,
力去研究与开发旧
So9189
年日
astck
项目的开发人员
y
sC
创建了一家商业公司取名为日
a
丫
t8
,
他们研制出了一个实时入
侵检测系统
模型
{ntruoDet<
/p>
屯旧
EPertS
丫一
< br>
与开发工作的总结
D
e
门
n
D
。
「。
t
h
丫
任
欠
y
,n
g
的著名论文
A
n
J
n
t
厂。旧
n
一
u
实验室将他们的新技术商品化他们
r
18
计算机安全
加关
技术
入侵检刚
诵
r
与漏洞扫描专辑
美国空军密码支援
5
’
Dt
的<
/p>
JS
产品名为
S
。
}ker
意思是
入侵拥有强
oP
tr
1991
年
9
月
,r
行为的阻击者
(p
attern
’
‘
ts
。
}ker
采用模式匹配
「
中心
(A
厂
ore
e
CryPtologie
SUP
一
t
ag
的旧
S
产品取名
< br>NeRne
意为网络
tR
。门<
/p>
ger
是网络实时入侵检测巡警
Ne
“
。
。
Ma
)
检钡技术
l
。
Cene)tr
开发出安全测定自动系
Se
eurlt
劲的数据搜索能力
St}kse
系列产品
。
成为第一款在市场上销售成功的旧
S
工具是基于主机
}DS
的一大进步
1989
o
a
统
(AutmtedetsS
丫
p>
mAsM)l
。
丫
Me
asure
m
en
t
系统的第一款商业化产品
NtRoneg
针对企业而设计以其
高性能和高价
,
。
e
用于监控美国空军内
格闻名
1994S
是基于网络的入侵检测软件
。
年
。
MeAfe
e
A
ssoe,a:es
公司
为网络入侵检测系部网络安全统
提供了硬件与软件相结合的第一种
A
引
M
中经受实践考验最多的产品之一
年
4
月
l(
5
,
Int
e
「
en
t
s
eeuo.t
v
创立
,
总部设在美国著名的加利福尼
Me
解决方案
1992
。
seyt
t
e
「
en
m
t
S
)5
公司创立
并发布了
亚州硅谷
A
十
ee
以开发
V,russ
ean
系和
R
年
ha
SR
】
CSL/
n
的下
e
resa
Lu
nt
In
SCa
nne
。
正式第一版这是一个
列杀毒软件而迅速成为业界最著名的
反病毒安全厂商
1990
.
Jaga
nn
“
t
领导一个项目组对早开发旧
ES
ext
e
一已
从<
/p>
1992
年开始就以共享软件的形式发
布的功能强大的互联网安全漏洞检测
期的
,
旧
ES
作重大修改
(N
Dete
et!onss
丫
的下
旧
n
校的
L
年
5
月加州大学戴维斯分丁
H
匕
ej
。等人提出了基于
iere
一代新产品
NIDES
{n2
p>
t
「
us
旧。
p>
nerat
软件
。
te
m)
。
1993
。
年
网络的入侵检测概念
即将网络数据
,
< br>D
月发布了
N}Es
的
a
a)p
卜
测试版
1994
< br>年
6
月
Ha
丫
staek
实验室推出了第一款针对
Web
服务器的
1996
流作为审计数据的来源
通过主动监
。
年版
9
。
月发布了
刚
DSE
视网络信息流量来追踪可疑
的行为
ee{
在日匕
e}
。领导下开发的闪
S
网
r
(NetW
O
「
tZ<
/p>
的最终测试
Bea
采用分布式入侵检测技
术
INDES
W
e
bs
t
日
Iker
Pro
。
1996
年
。
NFR
e(NFRSeur
{t
y
]n
.
e
)
能够从多个主机收集和合并处理审计
公司成立
NF
以开放其旧
sR
早期版本
kSe
。
。
r.t
丫
Mo
川
to
r
)
系统是第
信息统计分析算法有大幅增强基于
规则的专家系统更加完善
1992
。
』
的源代码而闻名
It
n
在一定程度上促进
。
一个基于网络的旧导为入侵检测系统的发展翻开了新的一页
1991
。
D
了
]S
的研究和推广
r(Pud
NFR
的
旧
S
产品有比较完
年
10
月
g
,
普渡大学
Spafford
、
er
,
ue
「
s,onU
Det
eC
t
.on
Appl,a
nee
年
2
月
lr
e,
。
在美国空军
国家
t
U
n,vers
‘
yt
)
的
Eu
ene
和
G
ene
善的定制功能
协议分析
1996
。
可以进行攻击特征和
,
安全局和能源部共同资助下
Hyas
实验室和
p>
Hbee
DeteCt,on
ls
p>
式入侵检测系统
(D
一
trbuted
Cak
K
、
m
联手开发出
T
。
;
、
P
w
成为
UN}X
下
等人开展了对分布
l
门
trus
旧门
。
最著名的文件系统完整性检查的软
件
e
工具
T,pw,r
应用数字签名技术对指
r
定文件进行监控
可检测其被改动增
加
、
年
1
p>
月加州大学戴维斯分
0
「
ofr
tn
校的
Sa
In
t
「
USlon
d
等研究人员提出了基于
a
ses
丫‘
m
DIDs
)
的研究
,
o
一
S
。
p>
,
、
图表的入侵检测系统
(Gr
Dete
et,onss
丫
p
卜匕一
a
s
。
d
将基
于主机和基于网络的检测方法集成在一起采用分层结构体系包括数事件主体上下文威胁
安
全状态等
6
层整个系统包括三个部分
删除的详细情况
。
。
,rTpw
,re
早期的
te
m
GrlDs
。
)
原
据
、
、
、
、
、
免费版本一直是全球系统管理员最受欢迎的工具之一
1992
理并完成了原型的设计和实现该系统能够将多台机器
的行为通过图表直观地表示出来可用于
对大规模自动或协同攻击的检测
< br>
。
。
:
年
,
11
,
月
,
加州大学的
orras
Koh
「。
J
传感器管理器和中央数据处理器传
感器和管理器从局域网各检测点分别采集数据并将数据送至中央数据处
< br>
I
理器作全局处理
DOS
p>
成为入侵检测系统发展历史上的又一个里程碑
。
。
、
,
11g
un
在
Ph
eK
mmeerr
和工作基础上的前期
us
丁
A
丁<
/p>
To
o
l{P
P
R
,
}e
a
「
d
开发出
。
1996
年
1
月
2
。
515
}Se
c
公司宣布推出
』
实时入侵检测系统
T
厂。
n
sltlon
(
r
,
孰
。
et
。
网络安全软件
Re
。
盯
e
一个实时的
7
An
a
5l
丫
15
]fo
UNIX
)
1991
eat
年
t
,
SAIC
t,ona
(s
e
旧
n
ee
Appl,
一
他们提出的状态转换分析法使用系统状态与状态转换的表达式描述和检
测已知的入侵手段
1994
COAST
攻击识别工具入侵检测市场大约到
19
正开始启动并产生利润
e
出日
.
年才真
,
旧
n
s
{n
erna
jCo
甲
o
rat}on
科学
M
lsuse
使用反映系统状
。
在这年
3
月安全产品市场的领头羊旧
S
公司正式
推
a
。
应用国际公司
)
开发了一款基于主机<
/p>
态转换的图表直观地记载渗透细节
ls
r
eeure
的商业版本
.
Re
“
。
aa
}Sels
e
日
re
的
旧
s
产品
CMDS(Co
D
e
mputo
r
年
3
月
,
普渡大学计算机系
ar
10fo
Wlndow
,
s
NT40
Re
eeure
te
。
Ct,on
s
丫
s
t
e
m
计算机误用检测系
实验室的
,
M
k
C
厂
os
b
旧
和
G
ene
将基于主机和基于网络的入侵检测技
术结合起来
采用分布式安全体系结
。
统
)
CMDS
应用在
U
< br>刚
X
系统的服务器
。
Ps
r
甜
od
研究了遗传算法在入侵检侧中他们使用遗传算法构建的智
au
上对网络数据流进行审计追踪分析
的应用
构
并找出其中的可疑活动后来
其大股东
术
分
。
sAcl
公
能代理
(
ton
o
m
ous
Age
nts
)
程序能够
由多个检测引擎监控不同的网络并向中央管理控制台报告引擎与控
。
司通过购买
005
网络公司的股票成为
。
DS005
n{
识别入侵行为
而且这些
A
引网项
。
geots
具有
。
公司因此
m
获得
C
网。
S
公司
。
技
学习
”