入侵检测系统的发展历史

’‘

被

De te

e t !o n

网o d

e

l

“

正式发表

。

De

n n

旧g

用在早期的{

t

A 网 (A R 尸 ) 上监控

保障网络数据

r e

o

用户的验证信息

这是第一个基于规

在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者

:

与运行的安全

。

入侵检测思想在二十

t e

t n 多年前就已萌穿随着 I 的蓬勃发展近几年来旧 S 得到了较深入的研

则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的

,

使用系统的模式与正常用户的使用模

式不同

,

因此可以通过监控系统的跟

系统漏洞和恶意行为进行检测

为构

踪记录来识别入侵者的异常使用模式

从而检测出入侵者违反系统安全性的 o 情形 D e n 旧 g 的模型是许多旧 S 原型

。

究和广泛的应用

1 98 0

年

4

月Ja m

g

e s

P

A

n

de s

「。o n

发

‘’

建入侵检测系统提供了一个通

用的框品同 P 架随后 S 日完成了与s A 四 A R 的合为其提交了第一款实用的旧 S 产

19 8 5

表著名的研究报告

r T 卜e a t

C omp

a n

u te 「

e e u r 、 t 丫

的基础

。

Mo

n n !t o r 一

d

Su

r v e l日 n e e a

1 98 8

。

年5 月

r e n e e

,

加州大学戴维斯分

L

. v e 「 m o r e

第一个正式阐述了入侵检测的概念

,

年

美国国防部计算机安全

校的L a

(L L N L

*

实验室

p A 从 1 9 7 2 年开始 J m 就一直在关注和研究计算机系统和多用

o

e o

n

d e 「s o n

) 可中心 ( N C S C 正式颁布了《信任的 o r t d 计算机系统评估标准》( T o s e C m 一

Put

e r

) 承接了美国空军的一项名为 a s Hy

t 日C k

的课题为美国空军基地的计

户网络的安全问题

.

在这篇为美国空

.

S 丫s

t e

m

EV

a

lu

t

旧n

Cr

{t e r l a

军所作的研究报告中

、

他将计算机系

丁C S 任 C

)

。

丁C S 任C

为预防非法入侵定义

引

、

算机安全开发了一套新型的旧s 系统该系统通过与已知攻击模式进行匹配

比较来分析审计数据

s c 存在入侵行为洲。y t a

1 98 8 k

统可能遭遇的风险和威胁分为外部渗

透内部渗透和不法行为三种并提出

了利用审计包含关键内容的跟踪数据

! 了四类七个安全级另」由低到高分别

以此判断是否

是

D

、

C1

CZ

已2

、

巳 3

、

1 A

规

系统是第一个

。

定 C Z 以上级别的操作系统必须具备审计功能并记录日志

布对操作系统

、 .

采用误用检测技术的旧S

口

来监视入侵活动的思想

理论基础

19 8 3 }n s 。

t }t u t

e

, 。

。

他的研究成

下C S 任 C

标准的发

果为开发基于主机型旧 S 提供了最初的

年

S RI

n (S t a f o o d

日e

s e a 「 e

h

发展起到了很大的推动作用安全发展史上的一个里程碑

1 98 6

数据库等方面的安全是信息

。

年 1 0 月 S RI/ C S L 的 T e 「 s a u t L n 等人从分析用户 ( 及系统设备与

程序等 ) 的行为特征出发进一步改进

,

e

. g e D n n 的入侵检测模型

于19 0 年4

,

斯坦福研究所 ) 的 D o r o t h 丫 E Ne u m

on n

年

,

为保障大型计算机数据

四

月开发出一个新的系统

可以同时监

。

e n 。. n

g

和P e t e r

a n

共同主持了一