入侵检测系统的发展历史

1、 本文由heisjay贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 戚 技技术 人人 侵检检 测 系统 的 发发展厉 史 华华 中科科技 大大 学 摘摘 DD I S 涂涂保 东东 要要 : 从 大大 量 史 料料 中整整 理 出 入入 侵 检 测测 系 统 ( nn 七rr u ss 的历历 史 进 程程 : , 。 ee c i DD tee t o 。 nn yy s ss ee t mm , IID SS ) 研 究 与与开 发发 的 历 史史 , 为为 人 们 了了解 把把握 JJD ss 目目 前研研 究与与 开 发 的的热 点点 提

2、供 参参 考 D ss 关关键 词词 入入 侵 检 测测 系统统 发发展历 史 网网 络安安 全 很很早 以以 来 人 们们 就 认 识识 到 用 户户 的行行 为进进 行 适 当当监 控控 络 恶恶 意 的和 错 误误 的操操 作 应应对 网网 以阻阻 止 ee t m DD l ( 田田 入入 侵 检测专专 家 系 统统 ) nn n te ee 。 被被 DDe tte ee t !o n 网网o dd ee ll “ 正正 式 发表 。 DDe nn n 旧旧g 用用 在早早 期 的 tt AA 网 (A R 尸尸 ) 上 监监 控 保保 障网网 络 数 据据 rr e oo 用用 户

3、 的验 证 信信 息 这这 是 第一 个 基基 于 规 , 在在该 文文 中提提 出 了 入入侵 检检测 系系 统 的抽 象 模模 型 模 型型 基 于 这这 样一一 个 假 设设 入 侵 者者 : 与与 运 行 的的安 全全 。 入入 侵检检测 思思 想 在 二二 十 tt e tt n 多年 前 就就 已 萌 穿穿 随 着 II 的蓬蓬 勃 发 展展 近 几 年年 来 旧 SS 得 到 了了较 深深 入 的 研研 则则 的 专 家家 系 统模 型 采采 用 与 系系统 平平 台 和 应应 用 环 境境 无 关 的的设 计计 针 对 已已 知 的 , 使使 用 系 统统 的模模 式 与 正正

4、 常 用 户户 的使使 用 模 式式不 同同 , 因因 此 可 以以 通过过监 控控 系 统 的的跟 系系统 漏漏 洞 和 恶恶 意 行 为为 进 行检 测 为为构 踪踪 记 录来 识 别别入 侵侵 者的的异 常常使 用用 模 式 从从 而 检 测测 出 入 侵侵 者违违 反 系 统统安 全全 性 的 oo 情 形 DD e n 旧旧 g 的 模模型 是是 许 多 旧旧 S 原 型型 。 究究和 广广 泛 的应 用 11 988 0 年年 44 月月Ja m gg ee s PP AA nn dde ss 。oo n 发发 建建入 侵侵 检 测 系系 统提提供 了了 一 个 通通 用 的框 品

5、 同同 P 架 随随 后 S 日日 完成成 了 与 ss A 四 AA R 的合 为 其其提 交交 了 第一 款 实实用 的的 旧 S 产产 119 88 5 表表著名 的研究究 报告告 rr T 卜e a tt CC ommp aa n uu tee ee e u rr 、 t 丫丫 的的基础 。 MMo nn n !t o rr 一 dd SSu rr v e ll日 nn e e aa 11 988 8 。 年年5 月月 rr e n ee e , 加加 州 大学 戴 维维 斯 分 LL . v e m o rr e 第第 一 个 正正 式 阐 述述 了入入 侵 检 测测 的概概 念 ,

6、 年年 美美 国 国 防防 部 计 算算机 安安全 校校的L a (L LL N L * 实实验 室室 pp A 从 11 9 7 22 年开开 始 J mm 就 一直 在 关关 注 和研 究 计计 算 机 系系 统 和 多多 用 oo ee o nn dd e s o nn ) 可 中 心心 ( N CC S C 正正 式 颁布 了 信任 的 oo r t dd 计算算 机 系 统统 评 估 标标 准( T o ss e C mm 一 PPut ee r ) 承接接 了 美 国国 空 军 的的一 项项 名 为 aa s Hy tt 日CC k 的的 课 题 为为 美 国 空空 军 基 地地

7、的计计 户户 网 络 的的安 全全 问题题 . 在在 这 篇 为为 美国国 空 . SS 丫ss tt e mm EEV aa llu tt 旧旧n CCr t ee r l aa 军军 所 作 的的研 究究 报 告 中中 、 他他 将计计 算 机 系系 丁丁C SS 任 C ) 。 丁丁C SS 任CC 为为 预 防 非非 法 入侵 定 义义 引引 、 算算机 安安全 开开 发 了 一一 套 新 型型 的 旧s 系 统统 该 系 统统通过 与 已已 知 攻击 模 式式 进行行 匹 配 比比较 来来 分 析 审审 计数数据 ss c 存在入入侵 行行 为 洲。yy t a 11 988 8 k

8、 统统 可 能 遭遭 遇 的风险险 和威威胁分 为 外外 部 渗 透透 内部部 渗 透和不不 法 行 为为 三 种 并并提 出出 了了 利 用 审审计 包包 含 关 键键 内容容 的 跟 踪踪数 据据 ! 了 四 类类 七 个安 全 级级 另 由由低 到到高 分分 别 以以此 判判 断 是 否否 是是 DD 、 CC1 CCZ 已已2 、 巳巳 3 、 11 A 规规 系系统是 第 一一 个 。 定定 C Z 以以 上 级 别别 的操操 作 系 统统 必 须 具具 备 审 计计 功 能 并并记 录录 日 志 布布 对 操作 系 统统 、 . 采采用 误误 用 检 测测技 术术的 旧旧S 口口

9、来来 监 视入 侵 活活 动的的 思 想 理理论基础础 119 88 3 n s 。 tt tt u t ee , 。 。 他他的 研研 究 成 下下C SS 任 C 标标 准 的发 果果 为 开 发发 基 于 主主 机 型 旧旧 S 提 供供 了 最 初初的 年年 SS RII nn (SS t a ff o o dd 日日e ss e a e hh 发发 展 起 到到 了 很 大大 的推推 动 作 用用 安 全 发发 展史史 上 的一 个里 程 碑碑 11 988 6 数数 据库库等 方方 面 的 安安 全 是信 息 。 年年 1 0 月月 S RI/ C S LL 的 T ee s aa

10、 u t LL n 等 人人从 分分 析 用 户户 ( 及 系系统 设设 备 与 程程 序 等 ) 的行行 为 特 征征 出 发 进进 一 步 改改 进 , ee . g e DD n n 的的入 侵侵 检 测 模模 型 于于19 0 年年4 , 斯斯 坦福福 研 究 所所 ) 的 DD o r oo t h 丫丫 E NNe uu m oon nn 年年 , 为为 保 障 大大 型 计 算算机数据据 四四 月月 开 发 出出一 个个新 的的 系 统 可可 以 同时 监 。 ee n 。. n gg 和和P ee t e rr aa n 共共 同 主持 了一 aa rff a ee 库库 系

11、统 的的安 全全 系系 统 这 是是 最早早 。 丁丁 ee e T nn rr 开开发 出出用 VV e 个个受 美美 国 海 军军 下属属 海 空 作作 战 系 统统 指挥挥 于于 检 测 用用 户异异 常 操 作作 行 为 的的 口 S CC o 即即 控控 网络络 中 不 同同 站 点 上上 的 用 户户 199 888 r r 年年 1 月 MM o s 蠕蠕虫 感感染 了了 tt n I ee 部部 (ss 日 o CC mmm n d 题题 , ppa ee e dd NNa VV 日 四四 ss SS 丫 te mm ss 资资助 的的研 究究 课 为 他他们 的的 大 型 计

12、计算 机机 开 发入 侵 检检 AA胃A田田 , PP S 雏雏形 之之 一 顺 便便 提 及 也也 是 在这 年 美美 国 i ll l D gg t 公 司司 在 I ee n t 上上 安 装 了了全 球球 第 a tt n r ee , , 的的基 于于 主 机 的的旧 SS nn t r ee 上上 近 万 台台计 算算机 。 、 tt n 造成 I ee r ee n tt 持持续 两两 天 停机 事 件件 发 生 之之 后 网 络络 安 全 引引 起 了 军军 方 企 业业 和 学术 界 的的高 度度 重重视 , 测测 系统统 他他 们 确 定定 的检检 测 目 标标 正 是 从

13、从 。 一一 个 商 用用 防 火 墙墙系 统统 防防火 墙墙 技术术 开 促促 使 人 们们 投 入 更更 多的的资 金金 和 精 。 , 分分 析 审 计计 跟踪踪 数据据 和 构 建建 基 于 用用 户行行 为 描 述述 文件件 开 始 始始 得 到 飞飞 速的的 发 展 119 88 7 。 一一 年后后 ( ! 998 44 年 ) , 年年2 月月 作作 为 对 前前 几 年研 究 , 力力去 研研究 与与 开 发 旧旧 S o 99 1 8 99 年 日a s tt c k 项项 目 的 开开 发 人 员员 y ss C 创建 了 一一 家 商 业业 公 司 取取名为 日a 丫

14、tt 8 , 他他们 研研 制 出 了了 一 个 实实时入侵侵检 测测 系 统 ss . n ee e n xx s 模 型型 nn t r uu o D ee t 屯旧 E PP e r tt S 丫 一一 与与 开 发工 作 的的总 结结 DD ee 门nn DD 。 。 t hh 丫 任任 欠欠 yy ,n gg 的的著 名名 论 文 AA nn JJ nn tt 厂 。旧 n 一一 u 实实验 室室 将他他 们 的新 技 术术商 品品 化 他 们们 rr 118 计计算机 安 全全 加加关 技技术 入入侵检刚刚 诵诵 rr 与与 漏 洞 扫扫 描 专辑 美美国 空空 军 密码支支 援

15、55 DD t 的 JJ S 产 品品 名为为 S 。 kee r 意意思 是是 入入侵 拥拥有 强强 oo P tt r 1199 1 年年9 月月 ,r 行行为 的的阻 击击 者 (p aa ttt e rn tt s 。k ee r 采采 用模模 式 匹 配配 中中心 ( A 厂厂o rr e ee CC r y PP t o llo gg iee SS U P一 tt a g 的的 旧 S 产产 品 取名 N ee R n ee 意为为 网 络 tt R 。门gg e r 是是 网 络实 时入 侵 检检 测 巡警 N ee “ 。 。 MMa tt e h .n gg ) 检钡钡 技

16、术 ll 。 CCe nn e ) tt r 开开 发 出 安安全 测测 定 自动 系 SSe ee u r llt 劲劲 的数数据搜 索能 力 SS t k s ee 系系 列产产 品 。 成成为 第第 一 款在市市 场 上 销销 售成成功 的的 旧SS 工 具 是是基 于于 主 机 D SS 的一一 大 进 步步 11 988 9 oo a 统 (A uu t m tt e d ee t s SS丫 mm Ass M) l 。 丫丫 Mee aas uu r e mm ee n tt 系系统 的的 第 一 款款 商 业 化化 产 品 NN t R oo n e gg 针 对 企企 业 而

17、设设计 以以 其 高 性性能 和和 高 价 , 。 ee 用用 于 监 控控 美国国 空 军 内内 格格 闻名名 119 99 4 S 是是 基 于 网网 络 的入 侵检 测 软软 件 。 年年 。 MM e A ffe ee AA ss s o ee ,aa : e ss 公公司 为为 网 络入 侵检 测 系系 部 网 络络 安全全 统 提 供供 了 硬 件件 与 软 件件相 结结合 的的 第一一种 AA 引MM 中中经 受受 实 践 考考验 最最多的产产 品 之 一一 年年4 月月 ll ( 55 , IIn tt ee e nn tt ss ee e u oo .tt vv 创创立 ,

18、总总 部设设 在 美 国国著 名名 的 加 利利 福 尼 MMe 解解 决方方 案 119 99 2 。 ss e y tt tt ee e nn mm tt SS ) 5 公公 司创创 立 并并 发布布 了 亚亚 州 硅谷 AA十 ee e 以以 开发发 V , rr u s ss ee a n 系系 和RR 年年 hha SS R】 CS L / nn 的的 下ee rre ssa LLu nn t IIn SS Caa nn n e 。 正正 式 第 一一版 这这 是一一个 列列杀 毒毒 软 件 而而 迅速速 成 为 业业 界 最著 名 的的 反反 病 毒 安安全 厂厂 商 119 99

19、0 . JJ a ga nn n “t 领领 导 一 个个项 目目组 对对 早 开 发发 旧EE S ee x t ee 一已已 从从 1 9 99 2 年 开开始 就就 以共共 享 软 件件的 形形 式 发 布布 的 功 能能 强 大 的的 互 联 网网 安全全 漏 洞 检检 测 期期的 , 旧旧ES 作作 重 大 修修改 (N DDe tte ee t !o n ss s 丫 的的下 旧旧n 校校的L 年年 5 月 加加 州 大 学学 戴维维 斯 分 丁丁 H 匕e j 。 等 人人 提 出 了了基 于于 i e rr e 一一 代 新 产产 品 N IID EES n 22 tt uu

20、s 旧 。 nn e ra t 软软件 。 tte mm ) 。 119 99 3 。 年年 网网 络 的入侵侵 检 测 概概 念 即即将 网网 络 数 据据 , DD 月 发 布布 了 N Ess 的 a aa )pp 卜 测测 试版版 11 999 4 年年 6 月 HH a 丫s t aa e k 实实验 室室 推 出 了了第一 款针对对 W e bb 服务务器的 119 99 6 流流 作 为 审审 计 数 据据 的来来 源 通通 过 主 动动监 。 年年 版 99 。 月月 发布布 了 刚刚D SS E 视视 网 络 信信息 流流 量 来 追追 踪 可 疑疑 的 行 为为 e e 在

21、 日 匕匕e 。 领 导导 下 开 发发 的 闪 SS 网 r (Ne t WW OO tt Z 的最终终 测 试 BBe aa 采 用 分分 布 式 入入 侵 检 测测 技术术 II N DE S WW ee bbs tt 日 Ik e rr PPro 。 119 99 6 年年 。 NNFR ee ( NFRR S e uu r t yy n . ee ) 能能 够从从 多个个 主 机 收收 集和和 合 并处 理 审审计 公公 司 成立 NN F 以 开开放 其其 旧 s RR 早早 期版版 本 kk See 。rr . t 丫丫 Moo 川tt o rr ) 系统统 是 第 信信 息 统

22、 计计 分 析 算算 法 有 大大 幅增增 强 基 于于 规规 则 的 专专 家 系 统统 更 加 完完善 11 999 2 。 的的 源代代 码 而 闻闻 名 II t nn 在在 一 定 程程 度 上 促促进 。 一一 个 基 于于 网 络 的的 旧 导 为为 入侵侵 检 测 系系 统 的 发发展 翻翻 开 了新 的 一一 页 119 99 1 。 DD 了 SS 的 研究和和 推 广 rr (PP u d NNF RR 的的 旧SS 产 品 有有 比较较 完 年年 110 月月 gg , 普普渡 大大 学 SS paa fffo rr d 、ee r , uu e s ,o n UU D

23、De tt ee C tt .o nn AA ppp l ,a nn e e 年年2 月月 ll r ee ,。 在在美 国国 空 军 国国家 tt UU nn , v ee r s y tt ) 的 EEu ee n e 和和 GG ee n e 善善 的 定 制制功 能能 协协议 分分析 119 99 6 。 可可 以 进 行行攻 击击特 征征 和 , 安安 全 局 和和 能源源 部共共 同 资 助助 下 H yy a s 实实验 室室 和 H bb e e DDe tte CC t , oo n ll s 式入 侵 检检测系统统 ( D 一一 t r bb u t ee d CC a k

24、 KK、 mm 联联 手 开发 出 TT 。 ; 、 P ww 成成 为 U NNX 下 等等 人 开 展展 了对对分 布布 ll 门tt r u ss 旧 门 。 最最 著 名 的的 文 件 系系 统 完 整整性 检检 查 的软 件 ee 工 具 TT , p ww , r 应应 用 数字 签 名名 技术术 对 指 rr 定 文件 进行 监 控控 可 检测其其 被 改 动动 增 加加 、 年年 1 月 加加 州 大学 戴 维维 斯 分 00 o ffr tt n 校的SS a IIn tt UU S l oo n dd 等等研究 人 员员 提 出 了了 基 于 aa ss e s 丫丫m D

25、D IDD s ) 的研研 究 , oo 一SS 。 , 、 图图 表的的入 侵侵 检 测 系系统 ( G r DDe tt e ee t ,o n ss s 丫 pp卜 匕匕 一 a ss 。dd 将将 基 于 主主 机和和 基于于 网 络 的的检 测测方 法法集 成成 在 一 起起 采 用 分分 层结结构 体体 系 包括 数 事事件 主主 体 上 下下 文 威 胁胁 安全全 状 态 等等 6 层 整整 个 系 统统包 括括 三 个 部部 分 删删 除 的详 细 情情 况 。 。 , r T ppw ,r ee 早早 期的的 tte mm GG r lD s 。 ) 原 据据 、 、 、 、

26、 、 免免 费 版 本本 一 直是 全 球球 系 统管 理 员员 最 受 欢欢迎 的的工 具具 之 一 119922 理理 并 完成 了 原原 型 的 设设 计 和 实实 现 该 系系 统 能够将将 多 台机 器 的的 行 为 通通过 图图 表 直 观观 地表表 示 出 来来 可 用 于于 对 大 规规 模 自 动动 或 协 同同 攻 击 的的检测 。 。 : 年年 , 111 , 月月 , 加加州大 学的 oo r r aa s KKo hh 。 JJ 传传 感 器 管管 理 器和 中 央央数 据据 处 理 器器 传 感感 器 和 管管 理 器 从从 局 域 网网 各 检 测测点分 别 采采

27、 集 数据 并 将将 数 据 送送 至 中 央央 数 据 处处 II 理器器作 全全 局 处 理理 D O SS 成 为 入入侵检 测 系系 统发发 展 历 史史 上 的 又又 一 个 里里 程 碑 。 。 、 , 111 gg uu n 在在P hh ee K mmme e rr r 和和 工 作 基基础 上上 的前前 期 uu s 丁A 丁 TTo oo ll PP PP RR , e aa dd 开开发 出出 。 119 99 6 年年1 月月 2 。 55 1 5 S ee cc 公公司 宣宣 布推推 出 实实 时 入 侵侵 检测测 系 统 TT 厂。nn ss l tl o nn (

28、 rr , 孰孰 。 ee t 。 网网 络 安 全全软 件件 R e 。 盯盯e 一一 个实实 时 的 77 AAn aa 55 l丫丫 115 foo UU N IX ) 11 999 1 ee a t 年年 tt , SS A IC tt ,oo n a (s ee 旧旧n ee e AA p p ll ,一一 他他们 提提 出 的状 态 转转 换分分 析 法 使使 用 系 统统 状 态 与与 状 态转 换 的的 表 达 式式 描述述 和检检 测测 已 知 的的入 侵侵 手 段 11 9 94 CCO AA S T 攻攻击识 别 工工 具 入 侵侵检 测测 市 场 大大约 到到 1 9

29、正正 开 始 启启 动 并产 生利 润 ee 出日日 . 年年才 真真 , 旧旧n ss n ee rnn a jj C o 甲甲o rr a t o nn 科科学 MM lls uu s e 使使 用 反映 系 统统 状 。 在在这 年年 3 月 安安全 产产 品 市 场场 的 领 头头羊 旧旧S 公公 司 正 式式 推 aa 。 应应 用 国 际际 公 司 ) 开发发 了 一 款款 基 于 主主 机 态态 转 换 的的 图 表直观观地 记记 载 渗 透透 细 节 lls rr ee e u rre 的的商 业业 版 本 . RRe “ 。 aa a S ee lss ee 日rr e 的的

30、 旧ss 产 品 CC M D SS (CC o DD ee mm puu t o rr 年年3 月月 , 普普渡 大大 学计计 算 机 系系 aa r 11 0 fo WW lnn d o ww , ss NNT 44 0 RRe ee e u rre tte 。 CC t ,o n ss 丫 ss tt ee mm 计计算机 误 用用 检 测 系系 实实验 室室 的 , MM kk CC 厂oo s bb旧 和和G ee n e 将将 基 于 主主 机 和 基基 于 网 络络 的入入 侵 检 测测 技 术术结合 起来 采采 用 分 布布 式 安全 体 系系 结 。 统统) CCM DD S

31、 应应 用 在 UU 刚 X 系系 统 的服务务 器 。 PP s rr 甜oo d 研研 究 了 遗遗传 算算法在 入侵 检侧 中 他他 们 使 用用 遗 传算 法构 建 的的智 aa u 上上 对 网 络络 数据据流 进进 行 审计 追 踪踪分 析析 的的应 用用 构构 并并找 出出其 中中 的可可 疑 活 动动 后来来 其其 大股股东 术术 分分 。 ss A c ll 公公 能能代理 ( tton oo mm oo u s AA gee nn tss ) 程 序 能能够 由由 多 个检 测引 擎 监监 控 不 同同 的 网 络络 并 向 中中 央 管 理理 控制制 台 报告 引 擎擎

32、与 控 。 司司 通 过购 买 00 0 5 网网 络 公 司司 的股股 票成成 为 。DD S 0 00 5 nn 识识 别 入侵 行 为为 而而 且这这些 AA 引网网 项 。gg e o tt s 具具有 。 公公 司 因此 mm 获获得 CC 网。SS 公公司 。 技技 学学习 ” 用用 户操操 作 习 惯惯 的初初步 智智能 制制 台 之 间间的通 信 可可 以 采 用用 1 2 匕匕, tt R s AA 8 ee 进 行加 密 和和 认证证 Ree a ls e ee 。 可 以以 对某某 些些 品 牌 的的防 火火 墙 置 、 不不久 公公 司 将其 0 5 开开 发 部 拆拆

33、 cc o 119 44 9 年年 目目 的 开 发发 人 员组 u oo pp , 路路 由 器进 行 重重 新配配 。 组组建 成成 tt uu s . oo n 建建成 商商业 公公 司司 Whhe G r 他他 们推推 出 增增 强 安 全全防护 效 果果 日日 ss a e CC e rr U ee 以以 . 00 2 33 99 计计算机 安 全全 tt g 碗碗 技技术 其其高 性性 能 简 洁洁性 和和低 价价 格 迅速 成 为为 国 际 市市 场 占有率率 最 高的 旧 ss 。 CC 丫 e c 匕匕 oo pp 使使用 NNe ttR aa nn gge 的的 检 测 引

34、引擎 和和 DDDo S ) ee 。 。 220 00 0 年年 2 月 以以后 oo 、 , 全全球许 多著 、 攻攻 击 模 式式库 nn e 被 认认 为 是 闪闪e 泪泪 a g 。 的的局 名名 网站站 如 Y aa h o 日日丫 uu 、 CC NNN 、 FF日l AAm aa z o 。 oo 、 11 999 7 年年5 月月 ww oo MM e A ffe ee AAss oo e . 。tt e : 域域 网 管理 员 版版 CC丫 ee b rr CC叩 公公 司与与 55 00 . NNe tt kk GG e n ee 厂aa ll 公公 司 ( 以以研 制制

35、 , 十十 怕 类类探测 器 闻闻 名 ) oo k 合合 并 成 立立 了美美 AA ss s o ee 旧tt e s rr o 的智 能 传传 感 器 件件 跟 踪 入入 侵 的 管管 理 服 务务 器 (s ee n s 由由监 视视入 侵侵 ) 和记录录可疑 事 。 BB即 、 SS旧 攻攻击 DD Doo S 等等 都相相 继 遭 受受 D D SS 攻击击 引 发 了了 对 旧 SS 系 统 的的 。 。 新新 一 轮研 究 热热 潮 119 998 国国 网 络联 盟 (冈e t ww NNA II IIn : , (网a n aa g e mm ee n t SSe rrv

36、ee , ) 组成成 SSe nn s o 自自 ) 公司司 119977 年年6 月月 AA: dd 剑剑 桥 大 学学计 算算 机实实 AA b .daa 长hh o t tt 欲 动动 地 记 录录 入 侵 细细 节 并 用用 标准准 的助助 f f rr e 文 件件 格 式 将将 这 些 证证 据 保 存存 起来来 由 SS s nn lfffe nn ; o e ee 年 1 22 月 Ma t yy 日 s hh 推 出 门门 t 了 SS 。 第第 一 版 并并 免 费 发发 布其其 源 代 码码 。 SSno t rr 是是 基 于 网网络 的的 旧 S 。 验验室 的的 和

37、和 将 信 息息 检 索技 术 整整 合 到 入入侵 检检 测 中 立立 索 引 信信息 , RRo ss s ee rss o n 解解码 器器 ee ee (DD ee o dd ee SSe 。 oov ee r ) 或 技技术 SSn oo tt r 的的早 期期 版 本 功功 能 较 弱弱 , 采采 用 误 用用检 测测 经 , 下下f aa n 协协 议分分 析 器 识识 别 . 虽虽然 与与 oo 过过 众 多研 究 与与 开 发 人人 员 的 大大 量 修 正正 和 他他们 采采 用 的方 法 是是 对 审 计计 跟踪踪 数 据 建建 ss 使 用 贝贝 叶斯斯 ( 日即 e

38、旧旧。 ) NNe tt bb 相 比 当当时 的的 C 丫 ee r C pp 缺 乏 一一 些 企 业业 应 用 的的 特征征 如 没 有有 路 径备 gg , RR ee 改改 进 功 能能 逐 渐完善善 目 前 已已 成 为应 用 最最 广 泛 的的 旧SS 之 一 22 0 0 00 年 2 月月 C A (C oo m P uu t e ss o C 日t e ss 。 推推 理 等 统统 计 算法 以 优优 化 搜 索索 过 程 放放过 任任何 一一 个 异 常常 的状状态 和和 操 作 有有 效地地 检测测 出入入侵 攻攻 击 nn 199 9 7 年年 8 月 SS h u

39、hh 一 尸y g ii g V rr , 。 不不 份份 功能能 等 但仍 然 受受 到 市场 欢迎 成为 RR e 。 S AAs 一一 更更 卜卜和 cc e ee 。 DD 主 要竞争争 者 之 一一 刺激激 了 I SS 。 , IIn tt e r nn a t , o n aa ll) 公公 司 发布抵抵 御 黑 wwa ll tte ee t 产产 品 的市 场 销销 售 SSh e 客客 攻 击的 新 工工具 SS 哥哥 伦 比亚 大学 的 ee s 引 。nn 一一3 (后 更更 。 11 9 9 88 年年 和和 11 S oo 月月 O 引 g oo r 一一 o r

40、,e ( aa 尸ttte rn nn e 提提 出一一 个 基 于于 定 向 匹匹 配 d ) 技 术 的的入侵 检 钡钡 模 ( llo yy tt :uu s o nn . 六六 ee n ee 杖 L ee e llv aa t o rr e JJ SS t o f oo 将将数 ) T ustt 名为为 可 以以 自动动识 另另 络络 使 用 模模 式 和 网网 络 使 网网 ee TT uu s t IIn tt 厂uu ss .oo n DDe 旧旧n ee 据据 挖 掘技 术 应应 用 到 入入 侵 检 测测 中 序 和和 用 户 的的行 为为 特征征 119 99 8 型型

41、119 33 7 利利用 数数 据 挖掘 中 的的 关 联规 则等 算 法法提 取取 程 并根 据 这这 些 特 。 用用 具体体 细节节 据据 ; 做做 到 全 面面 地监监 控 网 络络数 ee 可 以 对对 四 b 和和 公 司 内内部 网网 络访访 问 。 年年9 SS 月月 ee o mm 公公司推 KKS 网网 出出( 成成 gg a ee : KKa nn e ee e o rr !tt 刚刚 o n t oo r rr KKS 刚刚 ) 征征 生 成 安安 全 事件 的分 类 模模 型 年2 月 , ss 策 略 实实施 监监 视 和 强强 制实实 施 e 厂厂 T u 一一

42、代 网 络络保 护护 产 品 的的代表 。 tt 是是新 是是基 于于主机 的 旧旧 S 、 结结 构 由三 部 分分 组 、 审审 计器器 tt n ee t 控制 台 代代理 ( A g nn S ) 。 实 时时 监视视 盯 的 日日 志 并 将将 统计计结 这这是 AAg ee 。 CC 旧旧: 。 著著名的 路 由由器 厂厂 商 e 。 四 ee 亏 。pp 公 司 成成 功 h 通通过 收收 购 。 22 000 0 年7 月月 CC ss TT ee o 公公 司和和 C I , e k NNe , hhn oo ( C kkN 一一 e ee tt SS ee c u rr 一

43、yy t ee e llo gg 一一 s e )公司 挺挺 进 入侵检检测市 场 中中 , 陇陇 tt 日日。n g ee rr 的的入 侵侵 宣宣 布联联 合 开 发发 用 于 电电子 商商 务的的 入 侵检 公 司司 的基基 于 主 机机 的 入 侵 检 测测 产 品 任任。 e cc P 技 术术 先 进 同同 e t ! S c 。 c 公公 司 的安 全 入入 侵 检 测测 系 统 (S ee c 。 e 果果 送往往 审计计 器 tt n ss 。 技技术第 一 ll c 检 测测 技 术 被被集成 到C s NNe tt 日 CC s aa n 次次 出现现 的市市 场 产 品

44、品 中 相关 测 试试 g n 表表 明 KS M 采采 用 的 aa e t 。 实时 监 视视 技 术 ll / 在 下下C 尸尸 户 入侵 检 测测 方 面较 为 突突 出 1 99 9 7 年年 9 月 DD . d e : S a mm f a 、和和 R e ff . k MM 。 、。提提 出 了 一一 个针针 对移移 动通通 信 网 络络安 。 在在 DD S gg ee 的的 系 列路 由器 ee e ( 后 被 更更 名 为 SS u e IID SS ) 。 。 rr 11 :kk 测系系统 CC c 。 NNe tt 成成为 oo c 公 司司 的招招 牌产产 品 11

45、9988 年年 HHa yy ss taa e kk 实实验 室室 与 S CC ybb ee : AA jCC 旧旧s ) 软软 件 结合 以 后后成 为为 一套套 。 . 的的 cc M DS Ce 产产 品 研 制制小 组组 合 并 rr 组组 成新新 SS aa 全全 方 位 的的安 全全 系列列 产 品 22 000 0 公公司 rr 任。tt nn t ro x 不不 久 就被 , ffe 公公 AAx aa e e 年年 7 月 赛赛 门铁铁 克 ( SS 丫mm n ) 全全 的 分 布布 式 实时入入 侵 检 侧侧 体 系 旧旧 A (日n nn t rr 口ss 旧 门 D

46、D e MMN ffo rr 司司 收购购 oo X 并并 将 其基 于 主主 机 的 旧旧 S 产 品品 。 宣宣 布 收购 ee n t AA xx e n tt TTe ee hhn oo llo gg . e 。 公公司 dde 。 tt e e tt loo n AAre h ee l主主 e t uu r e MM o b 一一Ie 囚e t ww 119 997 oo r kks ) 。 。 。 改改 称 c 。ttr 又又 这 是 市市 场 上 第第 一 o cc D 款实 用 的的 基 于 主主 机的的 I S HH y t 欠欠实 aa s uu 公 司 基基 于 主 机机

47、 的 旧 SS 产 品 n tt 。 rr A e tt TT ( I AA ) 是 基基 于 规 则则 的实实 时 入侵 检 年年 100 月 HHa yy ss TT ouu ss tee 。nn dd Inn f o 二 aa t 、ll e o nn SS yss tte mm 公公 司 ( 以以研 制制 G 。 tta ee 防防火 墙墙著 1199 7 vv e 验验 室 的 另另 一 部分 剩 余余 人 员 仍仍 然 留 在在 T r oo s t ee d l: f oo r m oo r 旧 nn s y ss t e mm s 公 司司 后 rr 测 系 统统 基于于 网

48、络 的的 旧 S 产产 品陇陇 t P oo w 、 e rr 名名 ) 收购 了 年年 oo kk 实实验 室室 并 于 xx 来来 TT uu ss tee dd IIn ff o r mm 。 aa t .o n ss 丫ss t e mm ss 公公司 能能 中 断 内内部 和和 外 部 的的非授 权 使使 用 误 用用 和滥滥 用 赛 门门铁 克克 是 计 算算机 安安 全 领 。 112 月月 发 布 了了 为 微软 的 pp r o 22 0 yy SSe ll 又 被 闪闪A 收收购 119 、 域 的的 领 导 者者 收购购 A 即 tt 公 司 后后 如 虎 添添 rr N

49、NT 设设 计 的 旧旧S 一一护 x o yy s t 日日 Ikk e aa u n 88 9 年4 月 rr T p* . oee . . 。 r , 软软件 包包 被 , ee 翼翼 nn 日tte 这这 时的的 S t aa 断入入侵 119 llk 。 产 品品 都可可 以 对 已已 火火墙 重重 新 配 置置 , 防防 可 以 在在发 现现 入 侵时 阻 tt lle tt 商商 业化化 u c rr 由TT cc ppw (丁 。 ppw SS ee 一一 迅迅速扩大大 了 在 旧旧S 市市 场 的 份份额 II k 0 11 2 0 年年 1 月 CC . c NNe tt

50、公司司 改 名 为为 , 。 yy t nn I ) 公 司 维维护 rr 该该软 件件 包的的 日日N II X rre ee ppt ss ee e u rr 一丫丫 t TTe ee hh nn o 0 99 丫 司 公公 。 该该 商商业 和和 免 费 两两 种 版 本本能 在在 多数数 II 8 9 年年 2 月 美美 国 网 络络联盟 ( NN A ) , 。ee 公 司 的的旧 ss 产 品 任任 t , 。 e : tt P 的的 新 版本检检 测 II 系 统 中中运 行行 是 UN XX 中中最 有有 用 的 工工 具 nn oo e 公 司司 与 脚 卜卜 e G : u

51、u P 合 作作 将将 Snn ee fffe 。 强强 pp 之之一 。 水水 平 进 一一 步 提 高高 并 首 先先 提 出入 侵 防防 御概概 念 在 系系 统 请 求求被执 行之前前 即 在 网网 络 系 统统 受 到攻 击 之之 前 大大 的 网 络络 分析析 能 力 与与 胃 h 闪闪e ll e G 。 。 11 999 8 年年5 月月 dd Dee , 在在! ll oo tt ee rnn e tt 上上 发生生 了 AAttaa ee 将将请 求求 与 防 RR n t aa g ee 领领 先 的攻击击识 别别 能 力 结结合 起起 CC v 匕e rr 第第 一 例

52、 分分 布 式 拒拒 绝 服 务务 攻 击 (D 一一t rr 一 u tt e s bb n la 御御 数 据 库库 中 的 预预 定 义 内内容 进进 行 比 较较 夹夹 推推出 CC oo pp 旧旧 SS 第第一 版版 。 ff See ee ryy 一 e kk 然然 后 根 据据 相 应 的的 安 全 级级 别采采取 不不 同 的 一一 220 讨讨 算 机安 全 班班 沦: 入入侵检测测 与与 漏 洞 扫扫描 专专 辑 行行 动 如 执执行 请请 求 忽 略略 请 求 终终 止 请 求求或 记记 入 日 志志 等 20001 年年5 月月 aa F 匕匕, 。 。 , 、 、

53、DD .ppa nn kka DDa ss ggu PP t a 和和 oo z Gn 。 : e 。 研研 究 了入侵侵 检 测 的的 智能能 55 1 5 闪闪e tt w 决决 策支支 撑 系 统统 闪闪 ee 00 1 2 00 年66 月 ttw oo 公公 司 正 式式 收购购 oo rkk kk ICC E 公公司 。 IIC EE 公公司 的的 懂懂 博士士 信箱箱 几几 一 ll 日。kk c E 是是 一个个 性 能 卓卓越 的的 旧 S 具具备 业业 界 先 进进 的 碎片 重 组组 功 能 出出 较多多 攻 击 方方 式 能能够 检检 测 即 使使在 网网 络 负 载载

54、 较 。 重重 的情情 况 下 仍仍 然 能 够够 胜 任 。 5 5 公公司 的的 市市 场 领 导导 地位位 更 加 巩巩 固 5 22 。22 年 3 月月 1 5 公公 司 发 布布 集 成 了了 闪闪e tt w oo r kk IIC 任任公 司司 已a : ee 仗仗IC E 技技术 的的 网 络 oo r 安安全产 品 . 日日e aa lls ee e u rre 闪闪e tt w kk s ee n s oo r 77 0 . 具具 备 更 详详 细 的协 议 分分 析 功 能能 和 更 。 出出 色 的碎 片 重重 组 能 力力 如如 果 配 合合 旧SS 公 GGu a

55、a o 司司 ee 同 时发 布 RR oo lls ee e u rre dd 来来 实现现 与 防防 火 墙 的的联 动动 法法入侵 则则可 以以 利 用 协协议分 析 技技 术来来 实时时 分 析 是是 否 存 在在 对 网 络络 的 非 当当检 测测 到 非 法法 入侵侵 时 做 到到 彻 5 底底切 断断 这 种 网网 络 攻 击击 1 5 公公 司 发 布布 的 。 臀臀 、 、 问问 : : 网网 络安安 全 威 胁胁 的 主主 要 来 源源有 哪哪 些 ? : 答答 威 胁 网网 络 安全 的 主主 要 来 源源 包括括 内部部 人 员 、 叹叹 凳 EE m a ii: 一一

56、 八八 瀚瀚彝 . 黝黝 豁撇撇熬蘸撇撇 彝撇撇撇撇缪缪蒸撇黝黝 馨魏魏撇 一一 nns ee ee dd itt o rr 166 3 ee o mm 问问 : : 为为 什 么 说说 管理理 比 技技术 更更 重 要 ? 答答 其实实还 有有很 多多 技 术 都都 能 够 对对 内部部 防 护 发发 挥作作 技技 术 报 告告称 序序 况况下 利利 用 其分 组 处处理 驱驱 动 程 可可 以 在 不不 降低低 网 络 通通信速 度 的的情 正正 确地地实 现现 对 网 络络 的高高 速 监 控控 220 00 2 。 , ( 包 括信 息 系系 统 的 管管理 者者 使使 用 者和 用用 比比 如 更 加加 精 细 的的 身 份 认认 证 等等 , 。 决决 策 者 ) 准 内 部部 人 员 ( 包 括信 息 系系统 但但 是 这 些些 技术术 手 段 都都 不 能 完完全 解解 决 问问题