IDS简介

 

 

从实验室原型研究到推出商业化产品、走向市场并获得广泛认同,入侵检测系统(IDS)已经走过了二十多年的风雨坎坷路。
  

概念的诞生
  
  19804月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种(如图1所示),还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。

  

   
  模型的发展

  
  从1984年到1986年,乔治敦大学的Dorothy DenningSRI/CSLSRI公司计算机科学实验室)的Peter Neumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。该模型由六个部分组成:主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。
  

  1988年,SRI/CSLTeresa Lunt等人改进了Denning的入侵检测模型,并开发出了一个IDES。该系统包括一个异常检测器和一个专家系统,分别用于统计异常模型的建立和基

于规则的特征分析检测(如图2所示)。
   
  百花齐放的春天

  1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSMNetwork Security Monitor)。该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS
  

  1988年的莫里斯蠕虫事件发生之后,网络安全才真正引起了军方、学术界和企业的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室,开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起,其总体结构如图3所示。
  

  DIDS是分布式入侵检测系统历史上的一个里程碑式的产品,它的检测模型采用了分层结构,包括数据、事件、主体、上下文、威胁、安全状态等6层。

  从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。目前,SRI/CSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值