入侵检测系统的发展历史

本文由heisjay贡献pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。戚技术人侵检测系统的发展厉史华中科技大学摘DIS涂保东要:从大量史料中整理出入侵检测系统(}n七ru]s的历史进程:,。。eciDteto。nyssetm,IDS)研究与开发的历史,为人们了解把握JDs目前研究与开发的热点提供参考}Ds关键词入侵检测系统发展历史网络安全很早以来人们就认识到用户的行为进行适当监控络恶意的和错误的操作应对网以阻止etmDl(田入侵检测专家系统)nnte「e。’‘被Deteet!on网odel“正式发表。Denn旧g用在早期的{tA网(AR尸)上监控保障网络数据reo用户的验证信息这是第一个基于规,在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者:与运行的安全。入侵检测思想在二十tetn多年前就已萌穿随着I的蓬勃发展近几年来旧S得到了较深入的研则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的,使用系统的模式与正常用户的使用模式不同,因此可以通过监控系统的跟系统漏洞和恶意行为进行检测为构踪记录来识别入侵者的异常使用模式从而检测出入侵者违反系统安全性的o情形Den旧g的模型是许多旧S原型。究和广泛的应用1980年4月JamgesPAndes「。on发‘’建入侵检测系统提供了一个通用的框品同P架随后S日完成了与sA四AR的合为其提交了第一款实用的旧S产1985表著名的研究报告rT卜eatCompanute「eeur、t丫的基础。Monn!tor一dSurvel日neea1988。年5月renee,加州大学戴维斯分L.ve「more第一个正式阐述了入侵检测的概念,年美国国防部计算机安全校的La(LLNL*实验室pA从1972年开始Jm就一直在关注和研究计算机系统和多用oeonde「son)可中心(NCSC正式颁布了《信任的ortd计算机系统评估标准》(ToseCm一Puter)承接了美国空军的一项名为asHyt日Ck的课题为美国空军基地的计户网络的安全问题.在这篇为美国空.S丫stemEValut旧nCr{terla军所作的研究报告中、他将计算机系丁CS任C)。丁CS任C为预防非法入侵定义引、算机安全开发了一套新型的旧s系统该系统通过与已知攻击模式进行匹配比较来分析审计数据sc存在入侵行为洲。yta1988k统可能遭遇的风险和威胁分为外部渗透内部渗透和不法行为三种并提出了利用审计包含关键内容的跟踪数据!了四类七个安全级另」由低到高分别以此判断是否是D、C1CZ已2、巳3、1A规系统是第一个。定CZ以上级别的操作系统必须具备审计功能并记录日志布对操作系统、.采用误用检测技术的旧S口来监视入侵活动的思想理论基础1983}ns。t}tute,。。他的研究成下CS任C标准的发果为开发基于主机型旧S提供了最初的年SRIn(Stafood日esea「eh发展起到了很大的推动作用安全发展史上的一个里程碑1986数据库等方面的安全是信息。年10月SRI/CSL的Te「sautLn等人从分析用户(及系统设备与程序等)的行为特征出发进一步改进,e.geDnn的入侵检测模型于190年4,斯坦福研究所)的Doroth丫ENeumonn年,为保障大型计算机数据四月开发出一个新的系统可以同时监。en。.ng和Peteran共同主持了一arfa「e库系统的安全系统这是最早。丁eeTnr开发出用Ve个受美国海军下属海空作战系统指挥于检测用户异常操作行为的口SCo即控网络中不同站点上的用户1988rr年1月Mos蠕虫感染了tnIe部(s日oCmmnd题,paeedNaV日{四sS丫tems资助的研究课为他们的大型计算机开发入侵检A胃A田,PS雏形之一顺便提及也是在这年美国illDgt公司在Ient上安装了全球第atnre,,的基于主机的旧Sntre上近万台计算机。、tn造成Ierent持续两天停机事件发生之后网络安全引起了军方企业和学术界的高度重视,测系统他们确定的检测目标正是从。一个商用防火墙系统防火墙技术开促使人们投入更多的资金和精。,分析审计跟踪数据和构建基于用户行为描述文件开始‘始得到飞速的发展1987。一年后(!984年),年2月作为对前几年研究,力去研究与开发旧So9189年日astck项目的开发人员ysC创建了一家商业公司取名为日a丫t8,他们研制出了一个实时入侵检测系统s.neenxs模型{ntruoDet屯旧EPertS丫一与开发工作的总结De门nD。「。th丫任欠y,ng的著名论文AnJnt厂。旧n一u实验室将他们的新技术商品化他们r18计算机安全加关技术入侵检刚诵r与漏洞扫描专辑美国空军密码支援5’Dt的JS产品名为S。}ker意思是入侵拥有强oPtr1991年9月,r行为的阻击者(pattern’‘ts。}ker采用模式匹配「中心(A厂oreeCryPtologieSUP一tag的旧S产品取名NeRne意为网络tR。门ger是网络实时入侵检测巡警Ne“。。Mateh.ng)检钡技术l。Cene)tr开发出安全测定自动系Seeurlt劲的数据搜索能力St}kse系列产品。成为第一款在市场上销售成功的旧S工具是基于主机}DS的一大进步1989oa统(AutmtedetsS丫mAsM)l。丫Measurement系统的第一款商业化产品NtRoneg针对企业而设计以其高性能和高价,。e用于监控美国空军内格闻名1994S是基于网络的入侵检测软件。年。MeAfeeAssoe,a:es公司为网络入侵检测系部网络安全统提供了硬件与软件相结合的第一种A引M中经受实践考验最多的产品之一年4月l(5,Inte「entseeuo.tv创立,总部设在美国著名的加利福尼Me解决方案1992。seytte「enmtS)5公司创立并发布了亚州硅谷A十ee以开发V,russean系和R年haSR】CSL/n的下eresaLuntInSCanne。正式第一版这是一个列杀毒软件而迅速成为业界最著名的反病毒安全厂商1990.Jagann“t领导一个项目组对早开发旧ESexte一已从1992年开始就以共享软件的形式发布的功能强大的互联网安全漏洞检测期的,旧ES作重大修改(NDeteet!onss丫的下旧n校的L年5月加州大学戴维斯分丁H匕ej。等人提出了基于iere一代新产品NIDES{n2t「us旧。nerat软件。tem)。1993。年网络的入侵检测概念即将网络数据,D月发布了N}Es的aa)p卜测试版1994年6月Ha丫staek实验室推出了第一款针对Web服务器的1996流作为审计数据的来源通过主动监。年版9。月发布了刚DSE视网络信息流量来追踪可疑的行为ee{在日匕e}。领导下开发的闪S网r(NetWO「tZ的最终测试Bea采用分布式入侵检测技术INDESWebst日IkerPro。1996年。NFRe(NFRSeur{ty]n.e)能够从多个主机收集和合并处理审计公司成立NF以开放其旧sR早期版本kSe。。r.t丫Mo川tor)系统是第信息统计分析算法有大幅增强基于规则的专家系统更加完善1992。』的源代码而闻名Itn在一定程度上促进。一个基于网络的旧导为入侵检测系统的发展翻开了新的一页1991。D了]S的研究和推广r(PudNFR的旧S产品有比较完年10月g,普渡大学Spafford、er,ue「s,onUDeteCt.onAppl,anee年2月lre,。在美国空军国家tUn,vers‘yt)的Euene和Gene善的定制功能协议分析1996。可以进行攻击特征和,安全局和能源部共同资助下Hyas实验室和HbeeDeteCt,onls式入侵检测系统(D一trbutedCakK、m联手开发出T。;、Pw成为UN}X下等人开展了对分布l门trus旧门。最著名的文件系统完整性检查的软件e工具T,pw,r应用数字签名技术对指r定文件进行监控可检测其被改动增加、年1月加州大学戴维斯分0「ofrtn校的SaInt「USlond等研究人员提出了基于ases丫‘mDIDs)的研究,o一S。,、图表的入侵检测系统(GrDeteet,onss丫p卜匕一as。d将基于主机和基于网络的检测方法集成在一起采用分层结构体系包括数事件主体上下文威胁安全状态等6层整个系统包括三个部分删除的详细情况。。,rTpw,re早期的temGrlDs。)原据、、、、、免费版本一直是全球系统管理员最受欢迎的工具之一1992理并完成了原型的设计和实现该系统能够将多台机器的行为通过图表直观地表示出来可用于对大规模自动或协同攻击的检测。。:年,11,月,加州大学的orrasKoh「。J传感器管理器和中央数据处理器传感器和管理器从局域网各检测点分别采集数据并将数据送至中央数据处I理器作全局处理DOS成为入侵检测系统发展历史上的又一个里程碑。。、,11gun在PheKmmeerr和工作基础上的前期us丁A丁Tool{PPR,}ea「d开发出。1996年1月2。515}Sec公司宣布推出』实时入侵检测系统T厂。nsltlon(r,孰。et。网络安全软件Re。盯e一个实时的7Ana5l丫15]foUNIX)1991eat年t,SAICt,ona(se旧neeAppl,一他们提出的状态转换分析法使用系统状态与状态转换的表达式描述和检测已知的入侵手段1994COAST攻击识别工具入侵检测市场大约到19正开始启动并产生利润e出日.年才真,旧ns{nernajCo甲orat}on科学Mlsuse使用反映系统状。在这年3月安全产品市场的领头羊旧S公司正式推a。应用国际公司)开发了一款基于主机态转换的图表直观地记载渗透细节lsreeure的商业版本.Re“。aa}Selse日re的旧s产品CMDS(CoDemputor年3月,普渡大学计算机系ar10foWlndow,sNT40Reeeurete。Ct,ons丫stem计算机误用检测系实验室的,MkC厂osb旧和Gene将基于主机和基于网络的入侵检测技术结合起来采用分布式安全体系结。统)CMDS应用在U刚X系统的服务器。Psr甜od研究了遗传算法在入侵检侧中他们使用遗传算法构建的智au上对网络数据流进行审计追踪分析的应用构并找出其中的可疑活动后来其大股东术分。sAcl公能代理(tonomousAgents)程序能够由多个检测引擎监控不同的网络并向中央管理控制台报告引擎与控。司通过购买005网络公司的股票成为。DS005n{识别入侵行为而且这些A引网项。geots具有。公司因此m获得C网。S公司。技学习”用户操作习惯的初步智能制台之间的通信可以采用12匕,tRsA8「e进行加密和认证Realsee。可以对某些品牌的防火墙置、不久公司将其{05开发部拆co1949年目的开发人员组uop,路由器进行重新配。组建成t「us.on建成商业公司Whe}Gr他们推出增强安全防护效果日}saeCerUe以.0239计算机安全tg碗技术其高性能简洁性和低价格迅速成为国际市场占有率最高的旧s。C丫e「c匕op使用NetRange「的检测引擎和「DDoS)e。。2000年2月以后o、,全球许多著、攻击模式库ne被认为是闪e泪ag。的局名网站如Yaho日丫u、CNN、F日lAmazo。o、1997年5月wo「MeAfeeAssoe.。te:域网管理员版C丫ebrC叩公司与50.NetkGene厂al公司(以研制,十「怕类探测器闻名)o「k合并成立了美Assoe旧tesro的智能传感器件跟踪入侵的管理服务器(sens由监视入侵)和记录可疑事。B即、S旧攻击DDoS等都相继遭受DDS攻击引发了对旧S系统的。。新一轮研究热潮1998国网络联盟(冈etwNAIIn:,(网anagementServe「,)组成Senso「}自)公司1997年6月A:d剑桥大学计算机实Ab.da长hott欲动地记录入侵细节并用标准的助ffre文件格式将这些证据保存起来由Ssnlffe「n;「oee年12月Maty日sh推出门t了S。「第一版并免费发布其源代码。Snot