IDS技术研究历史

1980年，James Aderson首先提出了入侵检测的概念，他将入侵尝试(Intrusion Attempt)或

威胁(Threat)定义为：潜在的、有预谋的、未经授权的访问信息、操作信息，致使系统不可

靠或无法使用的企图。他提出审计追踪可应用于监视入侵威胁。但这一设想的重要性当时并

未被理解。

1986年，为检测用户对数据库异常访问，在IBM主机上用Cobol开发的Discovery系统成为最早

的基于主机的IDS雏形之一。

1987年，Dorothy E.Dennying 提出了入侵检测系统的抽象模型，首次将入侵检测的概念作为

一种计算机系统安全防御问题的措施提出。

1988年，Morris Internet蠕虫事件使得Internet约5天无法正常使用，该事件导致了许多ID

S系统的开发研制。

1988年，Teresa Lunt等人进一步改进了Dennying提出的入侵检测模型，并创建了IDES(Intr

usion Detection Expert System)，它提出了与系统平台无关的实时检测思想。

1988年，为协助美国空军安全官员检测误用空军基地，使用Unisys大型主机开发了Haystack

系统。

1990年，Heberlein等人提出基于网络的入侵检测——NSM(Network Security Monitor)，NS

M可以通过在局域网上主动地监视网络信息流量来追踪可疑的行为。

1991年，NADIR(Network Anomaly Detection and Intrusion Reporter)与DIDS(Distribute

Intrusion Detection System)提出了收集和合并处理来自多个主机的审计信息从而用以检

测针对一系列主机的协同攻击。

1994年，Mark Crosbie 和Gene Spafford建议使用自治代理(Autonomous Agents)以便提高I

DS的可伸缩性、可维护性、效率和容错性。

1995年，IDES后续版本──NIDES(Next-Generation Intrusion Detection System)实现了可

以检测多个主机上的入侵。

1996年，GRIDS(Graph-based Intrusion Detection System)的设计和实现使得对大规模自动

或协同攻击的检测更为便利。Forrest 等人将免疫原理运用到分布式入侵检测领域。

1998年，Ross Anderson和Abida Khattak将信息检索技术引进到了入侵检测系统。