入侵检测基本系统的发展历史.doc

1、 本文由heisjay贡献 pdf文档可能在WAP端浏览体验不佳。提议您优先选择TXT，或下载源文件到本机查看。 戚 技术 人 侵检 测 系统 发展厉 史 华 中科技 大 学 摘 D I S 涂保 东 要 : 从 大 量 史 料 中整 理 出 入 侵 检 测 系 统 ( n 七r u s 历 史 进 程 : , 。 e c i D te t o 。 n y s s e t m , ID S ) 研 究 和开 发 历 史 , 为 人 们 了解 把握 JD s 目 前研 究和 开 发 热 点 提 供 参 考 D s 关键 词 入 侵 检 测 系统 发展历 史 网 络安 全 很早 以 来 人 们 就

2、 认 识 到 用 户 行 为进 行 适 当监 控 络 恶 意 和 错 误 操 作 应对 网 以阻 止 e t m D l ( 田 入 侵 检测专 家 系 统 ) n n te e 。 被 De te e t !o n 网o d e l “ 正 式 发表 。 De n n 旧g 用 在早 期 t A 网 (A R 尸 ) 上 监 控 保 障网 络 数 据 r e o 用 户 验 证 信 息 这 是 第一 个 基 于 规 , 在该 文 中提 出 了 入侵 检测 系 统 抽 象 模 型 模 型 基 于 这 样一 个 假 设 入 侵 者 : 和 运 行 安 全 。 入 侵检测 思 想 在 二 十 t

3、e t n 多年 前 就 已 萌 穿 随 着 I 蓬 勃 发 展 近 几 年 来 旧 S 得 到 了较 深 入 研 则 专 家 系 统模 型 采 用 和 系统 平 台 和 应 用 环 境 无 关 设 计 针 对 已 知 , 使 用 系 统 模 式 和 正 常 用 户 使 用 模 式不 同 , 因 此 可 以 经过监 控 系 统 跟 系统 漏 洞 和 恶 意 行 为 进 行检 测 为构 踪 记 录来 识 别入 侵 者异 常使 用 模 式 从 而 检 测 出 入 侵 者违 反 系 统安 全 性 o 情 形 D e n 旧 g 模型 是 许 多 旧 S 原 型 。 究和 广 泛 应 用 1 98 0

4、 年 4 月Ja m g e s P A n de s 。o n 发 建入 侵 检 测 系 统提供 了 一 个 通 用 框 品 同 P 架 随 后 S 日 完成 了 和 s A 四 A R 合 为 其提 交 了 第一 款 实用 旧 S 产 19 8 5 表著名 研究 汇报 r T 卜e a t C omp a n u te e e u r 、 t 丫 基础 。 Mo n n !t o r 一 d Su r v e l日 n e e a 1 98 8 。 年5 月 r e n e e , 加 州 大学 戴 维 斯 分 L . v e m o r e 第 一 个 正 式 阐 述 了入 侵 检 测

5、概 念 , 年 美 国 国 防 部 计 算机 安全 校L a (L L N L * 试验 室 p A 从 1 9 7 2 年开 始 J m 就 一直 在 关 注 和研 究 计 算 机 系 统 和 多 用 o e o n d e s o n ) 可 中 心 ( N C S C 正 式 颁布 了 信任 o r t d 计算 机 系 统 评 估 标 准( T o s e C m 一 Put e r ) 承接 了 美 国 空 军 一 项 名 为 a s Hy t 日C k 课 题 为 美 国 空 军 基 地 计 户 网 络 安 全 问题 . 在 这 篇 为 美国 空 . S 丫s t e m EV a

6、 lu t 旧n Cr t e r l a 军 所 作 研 究 报 告 中 、 她 将计 算 机 系 丁C S 任 C ) 。 丁C S 任C 为 预 防 非 法 入侵 定 义 引 、 算机 安全 开 发 了 一 套 新 型 旧s 系 统 该 系 统经过 和 已 知 攻击 模 式 进行 匹 配 比较 来 分 析 审 计数据 s c 存在入侵 行 为 洲。y t a 1 98 8 k 统 可 能 遭 遇 风险 和威胁分 为 外 部 渗 透 内部 渗 透和不 法 行 为 三 种 并提 出 了 利 用 审计 包 含 关 键 内容 跟 踪数 据 ! 了 四 类 七 个安 全 级 另 由低 到高 分 别

7、 以此 判 断 是 否 是 D 、 C1 CZ 已2 、 巳 3 、 1 A 规 系统是 第 一 个 。 定 C Z 以 上 级 别 操 作 系 统 必 须 具 备 审 计 功 能 并记 录 日 志 布 对 操作 系 统 、 . 采取 误 用 检 测技 术 旧S 口 来 监 视入 侵 活 动 思 想 理论基础 19 8 3 n s 。 t t u t e , 。 。 她 研 究 成 下C S 任 C 标 准 发 果 为 开 发 基 于 主 机 型 旧 S 提 供 了 最 初 年 S RI n (S t a f o o d 日e s e a e h 发 展 起 到 了 很 大 推 动 作 用 安

8、 全 发 展史 上 一 个里 程 碑 1 98 6 数 据库等 方 面 安 全 是信 息 。 年 1 0 月 S RI/ C S L T e s a u t L n 等 人从 分 析 用 户 ( 及 系统 设 备 和 程 序 等 ) 行 为 特 征 出 发 进 一 步 改 进 , e . g e D n n 入 侵 检 测 模 型 于19 0 年4 , 斯 坦福 研 究 所 ) D o r o t h 丫 E Ne u m on n 年 , 为 保 障 大 型 计 算机数据 四 月 开 发 出一 个新 系 统 可 以 同时 监 。 e n 。. n g 和P e t e r a n 共 同 主

9、持 了一 a rf a e 库 系 统 安 全 系 统 这 是 最早 。 丁 e e T n r 开发 出用 V e 个受 美 国 海 军 下属 海 空 作 战 系 统 指挥 于 检 测 用 户异 常 操 作 行 为 口 S C o 即 控 网络 中 不 同 站 点 上 用 户 19 88 r r 年 1 月 M o s 蠕虫 感染 了 t n I e 部 (s 日 o C mm n d 题 , pa e e d Na V 日 四 s S 丫 te m s 资助 研 究 课 为 她们 大 型 计算 机 开 发入 侵 检 A胃A田 , P S 雏形 之 一 顺 便 提 及 也 是 在这 年 美

10、国 i l l D g t 公 司 在 I e n t 上 安 装 了全 球 第 a t n r e , , 基 于 主 机 旧 S n t r e 上 近 万 台计 算机 。 、 t n 造成 I e r e n t 连续 两 天 停机 事 件 发 生 之 后 网 络 安 全 引 起 了 军 方 企 业 和 学术 界 高 度 重视 , 测 系统 她 们 确 定 检 测 目 标 正 是 从 。 一 个 商 用 防 火 墙系 统 防火 墙 技术 开 促 使 人 们 投 入 更 多资 金 和 精 。 , 分 析 审 计 跟踪 数据 和 构 建 基 于 用 户行 为 描 述 文件 开 始 始 得 到

11、 飞 速 发 展 19 8 7 。 一 年后 ( ! 98 4 年 ) , 年2 月 作 为 对 前 几 年研 究 , 力去 研究 和 开 发 旧 S o 9 1 8 9 年 日a s t c k 项 目 开 发 人 员 y s C 创建 了 一 家 商 业 公 司 取名为 日a 丫 t 8 , 她们 研 制 出 了 一 个 实时入侵检 测 系 统 s . n e e n x s 模 型 n t r u o D e t 屯旧 E P e r t S 丫 一 和 开 发工 作 总 结 D e 门n D 。 。 t h 丫 任 欠 y ,n g 著 名 论 文 A n J n t 厂 。旧 n 一

12、 u 试验 室 将她 们 新 技 术商 品 化 她 们 r 18 计算机 安 全 加关 技术 入侵检刚 诵 r 和 漏 洞 扫 描 专辑 美国 空 军 密码支 援 5 D t J S 产 品 名为 S 。 ke r 意思 是 入侵 拥有 强 o P t r 199 1 年9 月 ,r 行为 阻 击 者 (p a tt e rn t s 。k e r 采 用模 式 匹 配 中心 ( A 厂o r e e C r y P t o lo g ie S U P一 t a g 旧 S 产 品 取名 N e R n e 意为 网 络 t R 。门g e r 是 网 络实 时入 侵 检 测 巡警 N e “

13、 。 。 Ma t e h .n g ) 检钡 技 术 l 。 Ce n e ) t r 开 发 出 安全 测 定 自动 系 Se e u r lt 劲 数据搜 索能 力 S t k s e 系 列产 品 。 成为 第 一 款在市 场 上 销 售成功 旧S 工 具 是基 于 主 机 D S 一 大 进 步 1 98 9 o a 统 (A u t m t e d e t s S丫 m As M) l 。 丫 Me as u r e m e n t 系统 第 一 款 商 业 化 产 品 N t R o n e g 针 对 企 业 而 设计 以 其 高 性能 和 高 价 , 。 e 用 于 监 控

14、美国 空 军 内 格 著名 19 9 4 S 是 基 于 网 络 入 侵检 测 软 件 。 年 。 M e A fe e A s s o e ,a : e s 企业 为 网 络入 侵检 测 系 部 网 络 安全 统 提 供 了 硬 件 和 软 件相 结合 第一个 A 引M 中经 受 实 践 考验 最多产 品 之 一 年4 月 l ( 5 , In t e e n t s e e u o .t v 创建 , 总 部设 在 美 国著 名 加 利 福 尼 Me 解 决方 案 19 9 2 。 s e y t t e e n m t S ) 5 公 司创 立 并 公布 了 亚 州 硅谷 A十 e e

15、以 开发 V , r u s s e a n 系 和R 年 ha S R】 CS L / n 下e re sa Lu n t In S Ca n n e 。 正 式 第 一版 这 是一个 列杀 毒 软 件 而 快速 成 为 业 界 最著 名 反 病 毒 安全 厂 商 19 90 . J a ga n n “t 领 导 一 个项 目组 对 早 开 发 旧E S e x t e 一已 从 1 9 9 2 年 开始 就 以共 享 软 件 形 式 发 布 功 能 强 大 互 联 网 安全 漏 洞 检 测 期 , 旧ES 作 重 大 修改 (N De te e t !o n s s 丫 下 旧n 校L

16、年 5 月 加 州 大 学 戴维 斯 分 丁 H 匕e j 。 等 人 提 出 了基 于 i e r e 一 代 新 产 品 N ID ES n 2 t u s 旧 。 n e ra t 软件 。 te m ) 。 19 9 3 。 年 网 络 入侵 检 测 概 念 立即 网 络 数 据 , D 月 发 布 了 N Es a a )p 卜 测 试版 1 99 4 年 6 月 H a 丫s t a e k 试验 室 推 出 了第一 款针对 W e b 服务器 19 9 6 流 作 为 审 计 数 据 来 源 通 过 主 动监 。 年 版 9 。 月 公布 了 刚D S E 视 网 络 信息 流

17、量 来 追 踪 可 疑 行 为 e e 在 日 匕e 。 领 导 下 开 发 闪 S 网 r (Ne t W O t Z 最终 测 试 Be a 采 用 分 布 式 入 侵 检 测 技术 I N DE S W e bs t 日 Ik e r Pro 。 19 9 6 年 。 NFR e ( NFR S e u r t y n . e ) 能 够从 多个 主 机 收 集和 合 并处 理 审计 公 司 成立 N F 以 开放 其 旧 s R 早 期版 本 k Se 。r . t 丫 Mo 川t o r ) 系统 是 第 信 息 统 计 分 析 算 法 有 大 幅增 强 基 于 规 则 专 家 系

18、统 更 加 完善 1 99 2 。 源代 码 而 闻 名 I t n 在 一 定 程 度 上 促进 。 一 个 基 于 网 络 旧 导 为 入侵 检 测 系 统 发展 翻 开 了新 一 页 19 9 1 。 D 了 S 研究和 推 广 r (P u d NF R 旧S 产 品 有 比较 完 年 10 月 g , 普渡 大 学 S pa ffo r d 、e r , u e s ,o n U De t e C t .o n A pp l ,a n e e 年2 月 l r e ,。 在美 国 空 军 国家 t U n , v e r s y t ) Eu e n e 和 G e n e 善 定

19、制功 能 协议 分析 19 9 6 。 可 以 进 行攻 击特 征 和 , 安 全 局 和 能源 部共 同 资 助 下 H y a s 试验 室 和 H b e e De te C t , o n l s 式入 侵 检测系统 ( D 一 t r b u t e d C a k K、 m 联 手 开发 出 T 。 ; 、 P w 成 为 U NX 下 等 人 开 展 了对分 布 l 门t r u s 旧 门 。 最 著 名 文 件 系 统 完 整性 检 查 软 件 e 工 具 T , p w , r 应 用 数字 签 名 技术 对 指 r 定 文件 进行 监 控 可 检测其 被 改 动 增 加

20、、 年 1 月 加 州 大学 戴 维 斯 分 0 o fr t n 校S a In t U S l o n d 等研究 人 员 提 出 了 基 于 a s e s 丫m D ID s ) 研 究 , o 一S 。 , 、 图 表入 侵 检 测 系统 ( G r De t e e t ,o n s s 丫 p卜 匕 一 a s 。d 将 基 于 主 机和 基于 网 络 检 测方 法集 成 在 一 起 采 用 分 层结构 体 系 包含 数 事件 主 体 上 下 文 威 胁 安全 状 态 等 6 层 整 个 系 统包 括 三 个 部 分 删 除 详 细 情 况 。 。 , r T pw ,r e 早

21、 期 te m G r lD s 。 ) 原 据 、 、 、 、 、 免 费 版 本 一 直是 全 球 系 统管 理 员 最 受 欢迎 工 具 之 一 1992 理 并 完成 了 原 型 设 计 和 实 现 该 系 统 能够将 多 台机 器 行 为 经过 图 表 直 观 地表 示 出 来 可 用 于 对 大 规 模 自 动 或 协 同 攻 击 检测 。 。 : 年 , 11 , 月 , 加州大 学 o r r a s Ko h 。 J 传 感 器 管 理 器和 中 央数 据 处 理 器 传 感 器 和 管 理 器 从 局 域 网 各 检 测点分 别 采 集 数据 并 将 数 据 送 至 中 央

22、 数 据 处 I 理器作 全 局 处 理 D O S 成 为 入侵检 测 系 统发 展 历 史 上 又 一 个 里 程 碑 。 。 、 , 11 g u n 在P h e K mme e r r 和 工 作 基础 上 前 期 u s 丁A 丁 To o l P P R , e a d 开发 出 。 19 9 6 年1 月 2 。 5 1 5 S e c 企业 宣 布推 出 实 时 入 侵 检测 系 统 T 厂。n s l tl o n ( r , 孰 。 e t 。 网 络 安 全软 件 R e 。 盯e 一 个实 时 7 An a 5 l丫 15 fo U N IX ) 1 99 1 e a

23、 t 年 t , S A IC t ,o n a (s e 旧n e e A p p l ,一 她们 提 出 状 态 转 换分 析 法 使 用 系 统 状 态 和 状 态转 换 表 达 式 描述 和检 测 已 知 入 侵 手 段 1 9 94 CO A S T 攻击识 别 工 具 入 侵检 测 市 场 大约 到 1 9 正 开 始 启 动 并产 生利 润 e 出日 . 年才 真 , 旧n s n e rn a j C o 甲o r a t o n 科学 M ls u s e 使 用 反应 系 统 状 。 在这 年 3 月 安全 产 品 市 场 领 头羊 旧S 公 司 正 式 推 a 。 应 用

24、 国 际 公 司 ) 开发 了 一 款 基 于 主 机 态 转 换 图 表直观地 记 载 渗 透 细 节 ls r e e u re 商 业 版 本 . Re “ 。 a a S e ls e 日r e 旧s 产 品 C M D S (C o D e m pu t o r 年3 月 , 普渡 大 学计 算 机 系 a r 1 0 fo W ln d o w , s NT 4 0 Re e e u re te 。 C t ,o n s 丫 s t e m 计算机 误 用 检 测 系 试验 室 , M k C 厂o s b旧 和G e n e 将 基 于 主 机 和 基 于 网 络 入 侵 检 测

25、 技 术结合 起来 采 用 分 布 式 安全 体 系 结 。 统) CM D S 应 用 在 U 刚 X 系 统 服务 器 。 P s r 甜o d 研 究 了 遗传 算法在 入侵 检侧 中 她 们 使 用 遗 传算 法构 建 智 a u 上 对 网 络 数据流 进 行 审计 追 踪分 析 应 用 构 并找 出其 中 可 疑 活 动 以后 其 大股东 术 分 。 s A c l 公 能代理 ( ton o m o u s A ge n ts ) 程 序 能够 由 多 个检 测引 擎 监 控 不 同 网 络 并 向 中 央 管 理 控制 台 汇报 引 擎 和 控 。 司 通 过购 买 0 0 5

26、 网 络 公 司 股 票成 为 。D S 0 0 5 n 识 别 入侵 行 为 而 且这些 A 引网 项 。g e o t s 含有 。 公 司 所以 m 取得 C 网。S 企业 。 技 学习 ” 用 户操 作 习 惯 初步 智能 制 台 之 间通 信 可 以 采 用 1 2 匕, t R s A 8 e 进 行加 密 和 认证 Re a ls e e 。 可 以 对某 些 品 牌 防 火 墙 置 、 很快 公 司 将其 0 5 开 发 部 拆 c o 19 4 9 年 目 开 发 人 员组 u o p , 路 由 器进 行 重 新配 。 组建 成 t u s . o n 建成 商业 公 司

27、Whe G r 她 们推 出 增 强 安 全防护 效 果 日 s a e C e r U e 以 . 0 2 3 9 计算机 安 全 t g 碗 技术 其高 性 能 简 洁性 和低 价 格 快速 成 为 国 际 市 场 拥有率 最 高 旧 s 。 C 丫 e c 匕 o p 使用 Ne tR a n ge 检 测 引擎 和 DDo S ) e 。 。 20 0 0 年 2 月 以后 o 、 , 全球许 多著 、 攻 击 模 式库 n e 被 认 为 是 闪e 泪 a g 。 局 名 网站 如 Y a h o 日丫 u 、 C NN 、 F日l Am a z o 。 o 、 1 99 7 年5

28、月 w o M e A fe e Ass o e . 。t e : 域 网 管理 员 版 C丫 e b r C叩 公 司和 5 0 . Ne t k G e n e 厂a l 公 司 ( 以研 制 , 十 怕 类探测 器 闻 名 ) o k 合 并 成 立 了美 A s s o e 旧t e s r o 智 能 传 感 器 件 跟 踪 入 侵 管 理 服 务 器 (s e n s 由监 视入 侵 ) 和统计可疑 事 。 B即 、 S旧 攻击 D Do S 等 全部相 继 遭 受 D D S 攻击 引 发 了 对 旧 S 系 统 。 。 新 一 轮研 究 热 潮 19 98 国 网 络联 盟 (

29、冈e t w NA I In : , (网a n a g e m e n t Se rv e , ) 组成 Se n s o 自 ) 企业 1997 年6 月 A: d 剑 桥 大 学计 算 机实 A b .da 长h o t t 欲 动 地 记 录 入 侵 细 节 并 用 标准 助 f f r e 文 件 格 式 将 这 些 证 据 保 存 起来 由 S s n lffe n ; o e e 年 1 2 月 Ma t y 日 s h 推 出 门 t 了 S 。 第 一 版 并 免 费 发 布其 源 代 码 。 Sno t r 是 基 于 网络 旧 S 。 验室 和 将 信 息 检 索技 术

30、整 合 到 入侵 检 测 中 立 索 引 信息 , Ro s s e rs o n 解码 器 e e (D e o d e Se 。 ov e r ) 或 技术 Sn o t r 早 期 版 本 功 能 较 弱 , 采 用 误 用检 测 经 , 下f a n 协 议分 析 器 识 别 . 即使 和 o 过 众 多研 究 和 开 发 人 员 大 量 修 正 和 她们 采 用 方 法 是 对 审 计 跟踪 数 据 建 s 使 用 贝 叶斯 ( 日即 e 旧。 ) Ne t b 相 比 当初 C 丫 e r C p 缺 乏 一 些 企 业 应 用 特征 如 没 有 路 径备 g , R e 改 进

31、功 能 逐 渐完善 目 前 已 成 为应 用 最 广 泛 旧S 之 一 2 0 0 0 年 2 月 C A (C o m P u t e s o C 日t e s 。 推 理 等 统 计 算法 以 优 化 搜 索 过 程 放过 任何 一 个 异 常 状态 和 操 作 有 效地 检测 出入侵 攻 击 n 19 9 7 年 8 月 S h u h 一 尸y g i g V r , 。 不 份 功效 等 但仍 然 受 到 市场 欢迎 成为 R e 。 S As 一 更 卜和 c e e 。 D 主 要竞争 者 之 一 刺激 了 I S 。 , In t e r n a t , o n a l) 公 司 公布抵 御 黑 wa l te e t 产 品 市 场 销 售 Sh e 客 攻 击 新 工具 S 哥 伦 比亚 大学 e s 引 。n 一3 (后 更 。 1 9 9 8 年 和 1 S o 月 O 引 g o r 一 o r ,e ( a 尸tte rn n e 提 出一 个 基 于 定 向 匹 配 d ) 技 术 入侵 检 钡 模 ( lo y t :u s o n .