1.引言
入侵检测(Intrusion Detection)是指通过对计算机网络或者计算机系统中的行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,以便发现计算机或者网络系统中是否存在违反安全策略的行为或遭到攻击的迹象。其作用含有威慑、检测、响应、损失情况评估、攻击预测和起诉支持。
入侵检测系统(Intrusion Detection System)是入侵检测对网络传输自动进行检测和分析的软件或硬件系统,能够帮助系统识别入侵、攻击和异常数据流量,从而避免病毒、黑客的攻击。基于网络的入侵检测方法有:统计方法、神经网络、数据挖掘、免疫学方法等,以及一些新提出的基于网络的分析入侵检测方法。这也要求入侵检测技术不断改进更新,近年来,入侵检测技术有新的发展趋势:网络检测点由点向面发展,即一个主要的发展趋势是采用分布式系统,在网络上放置多个检测器,共享信息,并通过信息的分发交流,协同工作,提高系统响应的实时性。
2.入侵检测发展史
入侵检测的发展可分为五个阶段:①第一阶段,提出入侵检测的概念。②第二阶段,提出入侵检测系统的抽象模型。③第三阶段,根据入侵检测的抽象模型创建了第一个入侵检测系统IDES(Intrusion Detection Expert System)。④第四阶段,开发出了第一个真正意义上的入侵检测系统NSM(Network Security Monitor)。⑤第五阶段,广泛推广和应用入侵检测系统,接着近年来在入侵检测系统上后续的创新研究。
由1980年James P .Anderson提出的一份技术报告中,在报告中首次详细的提出了入侵检测的概念。
1987年Dorothy Denning提出了入侵检测系统的抽象模型IDES