入侵检测系统的发展历史bikf.docx-淘文阁

资源描述

《入侵检测系统的发展历史bikf.docx》由会员分享，可在线阅读，更多相关《入侵检测系统的发展历史bikf.docx（80页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、本文由heisjay贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。戚技技术人人侵检检测系统的发发展厉史华华中科科技大大学摘摘 DD I S 涂涂保东东要要 : 从大大量史料料中整整理出入入侵检测测系统 ( nn 七rr u ss 的历历史进程程 : , 。 ee c i DD tee t o 。 nn yy s ss ee t mm , IID SS ) 研究与与开发发的历史史 , 为为人们了了解把把握 JJD ss 目目前研研究与与开发的的热点点提

2、供参参考 D ss 关关键词词入入侵检测测系统统发发展历史网网络安安全很很早以以来人们们就认识识到用户户的行行为进进行适当当监控控络恶恶意的和错误误的操操作应应对网网以阻阻止 ee t m DD l ( 田田入入侵检测专专家系统统 ) nn n te ee 。被被 DDe tte ee t !o n 网网o dd ee ll “ 正正式发表。 DDe nn n 旧旧g 用用在早早期的 tt AA 网 (A R 尸尸 ) 上监监控保保障网网络数据据 rr e oo 用用户

3、的验证信信息这这是第一个基基于规 , 在在该文文中提提出了入入侵检检测系系统的抽象模模型模型型基于这这样一一个假设设入侵者者 : 与与运行的的安全全。入入侵检检测思思想在二二十 tt e tt n 多年前就就已萌穿穿随着 II 的蓬蓬勃发展展近几年年来旧 SS 得到了了较深深入的研研则则的专家家系统模型采采用与系系统平平台和应应用环境境无关的的设计计针对已已知的 , 使使用系统统的模模式与正正

4、常用户户的使使用模式式不同同 , 因因此可以以通过过监控控系统的的跟系系统漏漏洞和恶恶意行为为进行检测为为构踪踪记录来识别别入侵侵者的的异常常使用用模式从从而检测测出入侵侵者违违反系统统安全全性的 oo 情形 DD e n 旧旧 g 的模模型是是许多旧旧 S 原型型。究究和广广泛的应用 11 988 0 年年 44 月月Ja m gg ee s PP AA nn dde ss 。oo n 发发建建入侵侵检测系系统提提供了了一个通通用的框品

5、同同 P 架随随后 S 日日完成成了与 ss A 四 AA R 的合为其其提交交了第一款实实用的的旧 S 产产 119 88 5 表表著名的研究究报告告 rr T 卜e a tt CC ommp aa n uu tee ee e u rr 、 t 丫丫的的基础。 MMo nn n !t o rr 一 dd SSu rr v e ll日 nn e e aa 11 988 8 。年年5 月月 rr e n ee e , 加加州大学戴维维斯分 LL . v e m o rr e 第第一个正正式阐述述了入入侵检测测的概概念 ,

6、年年美美国国防防部计算算机安安全校校的L a (L LL N L * 实实验室室 pp A 从 11 9 7 22 年开开始 J mm 就一直在关关注和研究计计算机系系统和多多用 oo ee o nn dd e s o nn ) 可中心心 ( N CC S C 正正式颁布了信任的 oo r t dd 计算算机系统统评估标标准( T o ss e C mm 一 PPut ee r ) 承接接了美国国空军的的一项项名为 aa s Hy tt 日CC k 的的课题为为美国空空军基地地

7、的计计户户网络的的安全全问题题 . 在在这篇为为美国国空 . SS 丫ss tt e mm EEV aa llu tt 旧旧n CCr t ee r l aa 军军所作的的研究究报告中中、他他将计计算机系系丁丁C SS 任 C ) 。丁丁C SS 任CC 为为预防非非法入侵定义义引引、算算机安安全开开发了一一套新型型的旧s 系统统该系统统通过与已已知攻击模式式进行行匹配比比较来来分析审审计数数据 ss c 存在入入侵行行为洲。yy t a 11 988 8 k

8、统统可能遭遭遇的风险险和威威胁分为外外部渗透透内部部渗透和不不法行为为三种并并提出出了了利用审审计包包含关键键内容容的跟踪踪数据据 ! 了四类类七个安全级级另由由低到到高分分别以以此判判断是否否是是 DD 、 CC1 CCZ 已已2 、巳巳 3 、 11 A 规规系系统是第一一个。定定 C Z 以以上级别别的操操作系统统必须具具备审计计功能并并记录录日志布布对操作系统统、 . 采采用误误用检测测技术术的旧旧S 口口

9、来来监视入侵活活动的的思想理理论基础础 119 88 3 n s 。 tt tt u t ee , 。。他他的研研究成下下C SS 任 C 标标准的发果果为开发发基于主主机型旧旧 S 提供供了最初初的年年 SS RII nn (SS t a ff o o dd 日日e ss e a e hh 发发展起到到了很大大的推推动作用用安全发发展史史上的一个里程碑碑 11 988 6 数数据库库等方方面的安安全是信息。年年 1 0 月月 S RI/ C S LL 的 T ee s aa

10、 u t LL n 等人人从分分析用户户 ( 及系系统设设备与程程序等 ) 的行行为特征征出发进进一步改改进 , ee . g e DD n n 的的入侵侵检测模模型于于19 0 年年4 , 斯斯坦福福研究所所 ) 的 DD o r oo t h 丫丫 E NNe uu m oon nn 年年 , 为为保障大大型计算算机数据据四四月月开发出出一个个新的的系统可可以同时监。 ee n 。. n gg 和和P ee t e rr aa n 共共同主持了一 aa rff a ee 库库系

11、统的的安全全系系统这是是最早早。丁丁 ee e T nn rr 开开发出出用 VV e 个个受美美国海军军下属属海空作作战系统统指挥挥于于检测用用户异异常操作作行为的的口 S CC o 即即控控网络络中不同同站点上上的用户户 199 888 r r 年年 1 月 MM o s 蠕蠕虫感感染了了 tt n I ee 部部 (ss 日 o CC mmm n d 题题 , ppa ee e dd NNa VV 日四四 ss SS 丫 te mm ss 资资助的的研究究课为他他们的的大型计

12、计算机机开发入侵检检 AA胃A田田 , PP S 雏雏形之之一顺便便提及也也是在这年美美国 i ll l D gg t 公司司在 I ee n t 上上安装了了全球球第 a tt n r ee , , 的的基于于主机的的旧 SS nn t r ee 上上近万台台计算算机。、 tt n 造成 I ee r ee n tt 持持续两两天停机事件件发生之之后网络络安全引引起了军军方企业业和学术界的的高度度重重视 , 测测系统统他他们确定定的检检测目标标正是从

13、从。一一个商用用防火墙墙系统统防防火墙墙技术术开促促使人们们投入更更多的的资金金和精。 , 分分析审计计跟踪踪数据据和构建建基于用用户行行为描述述文件件开始始始得到飞飞速的的发展 119 88 7 。一一年后后 ( ! 998 44 年 ) , 年年2 月月作作为对前前几年研究 , 力力去研研究与与开发旧旧 S o 99 1 8 99 年日a s tt c k 项项目的开开发人员员 y ss C 创建了一一家商业业公司取取名为日a 丫

14、tt 8 , 他他们研研制出了了一个实实时入侵侵检测测系统 ss . n ee e n xx s 模型型 nn t r uu o D ee t 屯旧 E PP e r tt S 丫一一与与开发工作的的总结结 DD ee 门nn DD 。。 t hh 丫任任欠欠 yy ,n gg 的的著名名论文 AA nn JJ nn tt 厂。旧 n 一一 u 实实验室室将他他们的新技术术商品品化他们们 rr 118 计计算机安全全加加关技技术入入侵检刚刚诵诵 rr 与与漏洞扫扫描专辑美美国空空军密码支支援

15、55 DD t 的 JJ S 产品品名为为 S 。 kee r 意意思是是入入侵拥拥有强强 oo P tt r 1199 1 年年9 月月 ,r 行行为的的阻击击者 (p aa ttt e rn tt s 。k ee r 采采用模模式匹配配中中心 ( A 厂厂o rr e ee CC r y PP t o llo gg iee SS U P一 tt a g 的的旧 S 产产品取名 N ee R n ee 意为为网络 tt R 。门gg e r 是是网络实时入侵检检测巡警 N ee “ 。。 MMa tt e h .n gg ) 检钡钡技

16、术 ll 。 CCe nn e ) tt r 开开发出安安全测测定自动系 SSe ee u r llt 劲劲的数数据搜索能力 SS t k s ee 系系列产产品。成成为第第一款在市市场上销销售成成功的的旧SS 工具是是基于于主机 D SS 的一一大进步步 11 988 9 oo a 统 (A uu t m tt e d ee t s SS丫 mm Ass M) l 。丫丫 Mee aas uu r e mm ee n tt 系系统的的第一款款商业化化产品 NN t R oo n e gg 针对企企业而

17、设设计以以其高性性能和和高价 , 。 ee 用用于监控控美国国空军内内格格闻名名 119 99 4 S 是是基于网网络的入侵检测软软件。年年。 MM e A ffe ee AA ss s o ee ,aa : e ss 公公司为为网络入侵检测系系部网络络安全全统提供供了硬件件与软件件相结结合的的第一一种 AA 引MM 中中经受受实践考考验最最多的产产品之一一年年4 月月 ll ( 55 , IIn tt ee e nn tt ss ee e u oo .tt vv 创创立 ,

18、总总部设设在美国国著名名的加利利福尼 MMe 解解决方方案 119 99 2 。 ss e y tt tt ee e nn mm tt SS ) 5 公公司创创立并并发布布了亚亚州硅谷 AA十 ee e 以以开发发 V , rr u s ss ee a n 系系和RR 年年 hha SS R】 CS L / nn 的的下ee rre ssa LLu nn t IIn SS Caa nn n e 。正正式第一一版这这是一一个列列杀毒毒软件而而迅速速成为业业界最著名的的反反病毒安安全厂厂商 119 99

19、0 . JJ a ga nn n “t 领领导一个个项目目组对对早开发发旧EE S ee x t ee 一已已从从 1 9 99 2 年开开始就就以共共享软件件的形形式发布布的功能能强大的的互联网网安全全漏洞检检测期期的 , 旧旧ES 作作重大修修改 (N DDe tte ee t !o n ss s 丫的的下旧旧n 校校的L 年年 5 月加加州大学学戴维维斯分丁丁 H 匕e j 。等人人提出了了基于于 i e rr e 一一代新产产品 N IID EES n 22 tt uu

20、s 旧。 nn e ra t 软软件。 tte mm ) 。 119 99 3 。年年网网络的入侵侵检测概概念即即将网网络数据据 , DD 月发布布了 N Ess 的 a aa )pp 卜测测试版版 11 999 4 年年 6 月 HH a 丫s t aa e k 实实验室室推出了了第一款针对对 W e bb 服务务器的 119 99 6 流流作为审审计数据据的来来源通通过主动动监。年年版 99 。月月发布布了刚刚D SS E 视视网络信信息流流量来追追踪可疑疑的行为为 e e 在

21、日匕匕e 。领导导下开发发的闪 SS 网 r (Ne t WW OO tt Z 的最终终测试 BBe aa 采用分分布式入入侵检测测技术术 II N DE S WW ee bbs tt 日 Ik e rr PPro 。 119 99 6 年年。 NNFR ee ( NFRR S e uu r t yy n . ee ) 能能够从从多个个主机收收集和和合并处理审审计公公司成立 NN F 以开开放其其旧 s RR 早早期版版本 kk See 。rr . t 丫丫 Moo 川tt o rr ) 系统统是第信信息统

22、计计分析算算法有大大幅增增强基于于规规则的专专家系统统更加完完善 11 999 2 。的的源代代码而闻闻名 II t nn 在在一定程程度上促促进。一一个基于于网络的的旧导为为入侵侵检测系系统的发发展翻翻开了新的一一页 119 99 1 。 DD 了 SS 的研究和和推广 rr (PP u d NNF RR 的的旧SS 产品有有比较较完年年 110 月月 gg , 普普渡大大学 SS paa fffo rr d 、ee r , uu e s ,o n UU D

23、De tt ee C tt .o nn AA ppp l ,a nn e e 年年2 月月 ll r ee ,。在在美国国空军国国家 tt UU nn , v ee r s y tt ) 的 EEu ee n e 和和 GG ee n e 善善的定制制功能能协协议分分析 119 99 6 。可可以进行行攻击击特征征和 , 安安全局和和能源源部共共同资助助下 H yy a s 实实验室室和 H bb e e DDe tte CC t , oo n ll s 式入侵检检测系统统 ( D 一一 t r bb u t ee d CC a k

24、 KK、 mm 联联手开发出 TT 。 ; 、 P ww 成成为 U NNX 下等等人开展展了对对分布布 ll 门tt r u ss 旧门。最最著名的的文件系系统完整整性检检查的软件 ee 工具 TT , p ww , r 应应用数字签名名技术术对指 rr 定文件进行监控控可检测其其被改动动增加加、年年 1 月加加州大学戴维维斯分 00 o ffr tt n 校的SS a IIn tt UU S l oo n dd 等等研究人员员提出了了基于 aa ss e s 丫丫m D

25、D IDD s ) 的研研究 , oo 一SS 。 , 、图图表的的入侵侵检测系系统 ( G r DDe tt e ee t ,o n ss s 丫 pp卜匕匕一 a ss 。dd 将将基于主主机和和基于于网络的的检测测方法法集成成在一起起采用分分层结结构体体系包括数事事件主主体上下下文威胁胁安全全状态等等 6 层整整个系统统包括括三个部部分删删除的详细情情况。。 , r T ppw ,r ee 早早期的的 tte mm GG r lD s 。 ) 原据据、、、、

26、、免免费版本本一直是全球球系统管理员员最受欢欢迎的的工具具之一 119922 理理并完成了原原型的设设计和实实现该系系统能够将将多台机器的的行为通通过图图表直观观地表表示出来来可用于于对大规规模自动动或协同同攻击的的检测。。 : 年年 , 111 , 月月 , 加加州大学的 oo r r aa s KKo hh 。 JJ 传传感器管管理器和中央央数据据处理器器传感感器和管管理器从从局域网网各检测测点分别采采

27、集数据并将将数据送送至中央央数据处处 II 理器器作全全局处理理 D O SS 成为入入侵检测系系统发发展历史史上的又又一个里里程碑。。、 , 111 gg uu n 在在P hh ee K mmme e rr r 和和工作基基础上上的前前期 uu s 丁A 丁 TTo oo ll PP PP RR , e aa dd 开开发出出。 119 99 6 年年1 月月 2 。 55 1 5 S ee cc 公公司宣宣布推推出实实时入侵侵检测测系统 TT 厂。nn ss l tl o nn (

28、 rr , 孰孰。 ee t 。网网络安全全软件件 R e 。盯盯e 一一个实实时的 77 AAn aa 55 l丫丫 115 foo UU N IX ) 11 999 1 ee a t 年年 tt , SS A IC tt ,oo n a (s ee 旧旧n ee e AA p p ll ,一一他他们提提出的状态转转换分分析法使使用系统统状态与与状态转换的的表达式式描述述和检检测测已知的的入侵侵手段 11 9 94 CCO AA S T 攻攻击识别工工具入侵侵检测测市场大大约到到 1 9

29、正正开始启启动并产生利润 ee 出日日 . 年年才真真 , 旧旧n ss n ee rnn a jj C o 甲甲o rr a t o nn 科科学 MM lls uu s e 使使用反映系统统状。在在这年年 3 月安安全产产品市场场的领头头羊旧旧S 公公司正式式推 aa 。应应用国际际公司 ) 开发发了一款款基于主主机态态转换的的图表直观观地记记载渗透透细节 lls rr ee e u rre 的的商业业版本 . RRe “ 。 aa a S ee lss ee 日rr e 的的

30、旧ss 产品 CC M D SS (CC o DD ee mm puu t o rr 年年3 月月 , 普普渡大大学计计算机系系 aa r 11 0 fo WW lnn d o ww , ss NNT 44 0 RRe ee e u rre tte 。 CC t ,o n ss 丫 ss tt ee mm 计计算机误用用检测系系实实验室室的 , MM kk CC 厂oo s bb旧和和G ee n e 将将基于主主机和基基于网络络的入入侵检测测技术术结合起来采采用分布布式安全体系系结。统统) CCM DD S

31、应应用在 UU 刚 X 系系统的服务务器。 PP s rr 甜oo d 研研究了遗遗传算算法在入侵检侧中他他们使用用遗传算法构建的的智 aa u 上上对网络络数据据流进进行审计追踪踪分析析的的应用用构构并并找出出其中中的可可疑活动动后来来其其大股股东术术分分。 ss A c ll 公公能能代理 ( tton oo mm oo u s AA gee nn tss ) 程序能能够由由多个检测引擎监监控不同同的网络络并向中中央管理理控制制台报告引擎擎

32、与控。司司通过购买 00 0 5 网网络公司司的股股票成成为。DD S 0 00 5 nn 识识别入侵行为为而而且这这些 AA 引网网项。gg e o tt s 具具有。公公司因此 mm 获获得 CC 网。SS 公公司。技技学学习 ” 用用户操操作习惯惯的初初步智智能制制台之间间的通信可可以采用用 1 2 匕匕, tt R s AA 8 ee 进行加密和和认证证 Ree a ls e ee 。可以以对某某些些品牌的的防火火墙置、不不久公公司将其 0 5 开开发部拆拆 cc o 119 44 9 年年目目的开发发人员组 u oo pp , 路路由器进行重重新配配。组组建成成 tt uu s . oo n 建建成商商业公公司司 Whhe G r

展开阅读全文