科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道IDS 二十年风雨历程

IDS 二十年风雨历程

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

从实验室原型研究到推出商业化产品、走向市场并获得广泛认同,入侵检测系统已经走过了二十多年的风雨坎坷路。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品,它的检测模型采用了分层结构,包括数据、事件、主体、上下文、威胁、安全状态等6层。

作者:中国IT实验室 2007年9月13日

关键字: IDS IPS IDS/IPS 入侵检测 入侵防御

  • 评论
  • 分享微博
  • 分享邮件

从实验室原型研究到推出商业化产品、走向市场并获得广泛认同,入侵检测系统(IDS)已经走过了二十多年的风雨坎坷路。

概念的诞生

1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种(如图1所示),还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。

模型的发展

从1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL(SRI公司计算机科学实验室)的Peter Neumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。该模型由六个部分组成:主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。

1988年,SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型,并开发出了一个IDES。该系统包括一个异常检测器和一个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检测(如图2所示)。

百花齐放的春天

1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)。该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。

1988年的莫里斯蠕虫事件发生之后,网络安全才真正引起了军方、学术界和企业的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室,开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起,其总体结构如图3所示。

  

DIDS是分布式入侵检测系统历史上的一个里程碑式的产品,它的检测模型采用了分层结构,包括数据、事件、主体、上下文、威胁、安全状态等6层。

从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。目前,SRI/CSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。

  

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章