【文章內(nèi)容簡介】 年 1月，哥倫比亞大學(xué)的 Wenke Lee 和 Salvatore CIDF 上實(shí)現(xiàn)多級(jí) IDS，并將數(shù)據(jù)挖掘技術(shù)應(yīng)用到入侵檢測中，利用數(shù)據(jù)挖掘中的關(guān)聯(lián)規(guī)則等算法提取程序和用戶的行為特征，并根據(jù)這些特征生成安全事件的分類模型。 1998 年 2 月， Cisco 通過收購 Wheel Group 公司成功挺進(jìn)入侵檢測市場。NetRanger 的入侵檢測技術(shù)被集成到 Cisco的系列路由器中， NetRanger（后被更名為 Secure IDS）成為 Cisco公司的招牌產(chǎn)品。 1998年 12月， Marty Roesch推出了 Snort第一版， 基于網(wǎng)絡(luò)的 IDS，采用誤用檢測技術(shù)。目前已成為應(yīng)用最廣泛的 IDS之一。 2020年 2月， CA（ Computer Associates International）公司發(fā)布了抵御黑客攻擊的新工具 SessionWall3（后更名為 eTrust Intrusion Detection）。 eTrust可以自動(dòng)識(shí)別網(wǎng)絡(luò)使用模式和網(wǎng)絡(luò)使用具體細(xì)節(jié)，做到全面地監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)，可以對(duì) Web和公司內(nèi)部網(wǎng)絡(luò)訪問策略實(shí)施監(jiān)視和強(qiáng)制實(shí)施。 eTrust是新一代網(wǎng)絡(luò)保護(hù)產(chǎn)品的代表。 2020年 7月， Cisco公司和 ClickNet（ ClickNet Security Technologies）公司宣 布聯(lián)合開發(fā)用于電子商務(wù)的入侵檢測系統(tǒng)。 ClickNet公司的基于主機(jī)的入侵檢測產(chǎn)品 Entercept技術(shù)先進(jìn)，同 Cisco公司的安全入侵檢測系統(tǒng)（ Secure IDS）軟件結(jié)合以后成為一套全方位的安全系列產(chǎn)品。 2020年 1月， ClickNet公司改名為 Entercept Security Technology公司。該公司的 IDS產(chǎn)品 Entercept的新版本檢測水平進(jìn)一步提高，并首先提出入侵防御（ IP，Intrusion Prevention）概念。由于已有的入侵檢測系統(tǒng)是被動(dòng)的進(jìn)行系統(tǒng)安全防護(hù)，當(dāng)發(fā)現(xiàn)攻擊而不能及時(shí)做出防護(hù)反應(yīng)時(shí)，攻擊的成功率會(huì)隨著時(shí)間的增加而提高。入侵防御系統(tǒng) IPS（ Intrusion Prevention System）在系統(tǒng)請(qǐng)求被執(zhí)行之前，即在網(wǎng)絡(luò)系統(tǒng)受到攻擊之前，將請(qǐng)求與防御數(shù)據(jù)庫中的預(yù)定義內(nèi)容進(jìn)行比較，然后根據(jù)相應(yīng)的安全級(jí)別采取不同的行動(dòng)，如執(zhí)行請(qǐng)求、忽略請(qǐng)求、終止請(qǐng)求或記入日志等。 2020年 5月， Dipankar Dasgupta 和 Fabio Gonzalez研究了入侵檢測的智能決 策支撐系統(tǒng)。 2020年 3月， ISS公司發(fā)布集成了 Network ICE公司 BlackICE技術(shù)的網(wǎng)絡(luò)安全產(chǎn)品： RealSecure Network Sensor ，具備更詳細(xì)的協(xié)議分析功能和更出色的碎片重組能力。如果配合 ISS公司同時(shí)發(fā)布的 RealSecure Guard 來實(shí)現(xiàn)與防火墻的聯(lián)動(dòng)，則可以利用協(xié)議分析技術(shù)來實(shí)時(shí)分析是否存在對(duì)網(wǎng)絡(luò)的非法入侵。當(dāng)檢測到非法入侵時(shí)做到徹底切斷這種網(wǎng)絡(luò)攻擊。 2020 年 6 月， Entercept 公司開始提供更先進(jìn)的入侵防御軟件，能夠在黑客的攻擊造成傷 害之前采取行動(dòng)來阻止其發(fā)生，增加了名為 Vault Mode 的先進(jìn)封鎖功能，能夠鎖住重要的操作系統(tǒng)文件和設(shè)置，防止主機(jī)被攻擊。 2020年以來，全球眾多安全研究機(jī)構(gòu)都在開展入侵檢測的研究，許多新的入侵檢測技術(shù)被應(yīng)用到 IDS產(chǎn)品中。如對(duì)入侵防御系統(tǒng) IPS的討論 [25]；對(duì)于入侵檢測中的誤報(bào)問題， Cheung、 Steven等人提出入侵容忍（ Intrusion tolerance）的概念，在 IDS中引入了容錯(cuò)技術(shù)； 2020年， Morton Swimmer 針對(duì)現(xiàn)代數(shù)據(jù)網(wǎng)絡(luò)的分布式防御提出一個(gè)危險(xiǎn)模 型的免 疫系統(tǒng)等 [6]。 第一階段（ 20世紀(jì) 80年代）：主要是主機(jī)日志分析和模式匹配技術(shù)研究，推出的 IDES（ Intrusion Detection Expert System，入侵檢測專家系統(tǒng)）、 DIDS（ Distributed Intrusion Detection System，分布式入侵檢測系統(tǒng)）、 NSM（ Network Security Monitor，網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)）等基本上都是實(shí)驗(yàn)室系統(tǒng) 。 第二階段（ 20世紀(jì) 90年代）：主要研究網(wǎng) 絡(luò)數(shù)據(jù)包截獲、主機(jī)系統(tǒng)的審計(jì)數(shù)據(jù)分析，以及基于網(wǎng)絡(luò)的 IDS（ NIDS）和基于主機(jī)的 IDS（ HIDS）的明確分工和合作技術(shù)。代表性產(chǎn)品有早期的 ISS RealSecure（ ）、 Cisco（ 1998年收購 Wheel Group獲得）、 Snort（ 2020年開發(fā)代碼并免費(fèi)）等。目前國內(nèi)絕大多數(shù)廠家沿用的是 Snort核心。 第三階段（ 20世紀(jì) 90年代后期）：主要涉及協(xié)議分析、行為異常分析技術(shù)。協(xié)議分析技術(shù)的誤報(bào)率是傳統(tǒng)模式匹配的 1/4左右。行為異常分析技術(shù)的出現(xiàn)則賦予了第三代 IDS系統(tǒng)識(shí)別未知攻 擊的能力。代表性產(chǎn)品有 NetworkICE（ 2020年并入 ISS）、安氏 LinkTrustNetworkDefender（ ）、 NFR（第二版）等。 入侵檢測技術(shù)從出現(xiàn)到現(xiàn)在已有 20 多年， IDS 系統(tǒng)已從有線 IDS 發(fā)展到無線IDS，并出現(xiàn)了 IPS（ Intrusion Prevention System，入侵防御系統(tǒng)）。 Denning模型為基礎(chǔ) 1987 年 Denning提出了一種抽象的通用入侵檢測的模型 ,如圖 1 所示 .該模型主要由主體、對(duì)象、審計(jì)記錄、活動(dòng)簡 檔、異常記錄、活動(dòng)規(guī)則 6 部分組成。繼Denning 提出上述通用入侵檢測 模型后， IDES 和它的后續(xù)版本 NIDES 都完全基于 Denning模型。 以統(tǒng)計(jì)學(xué)理論與專家系統(tǒng)相結(jié)合的中期技術(shù) 統(tǒng)計(jì)方法：是一種比較成熟的入侵檢測方法，使得入侵檢測系統(tǒng)能夠?qū)W習(xí)主體機(jī)構(gòu)的日常行為，那些正常的活動(dòng)之間的偏差大的活動(dòng)的統(tǒng)計(jì)顯著異?；顒?dòng)。在統(tǒng)計(jì)方法，先選擇有效的數(shù)據(jù)點(diǎn)，能反映學(xué)科特點(diǎn)，生成會(huì)話向量，并采用統(tǒng)計(jì)方法來分析數(shù)據(jù)，判斷當(dāng)前活動(dòng)的歷史行為特征；繼續(xù)操作系統(tǒng)，其他主題的行為特征，更新歷史記錄，能夠自適 應(yīng)學(xué)習(xí)用戶的行為。 專家系統(tǒng) :專家系統(tǒng)的入侵行為，被編碼成專家系統(tǒng)的規(guī)則，這些規(guī)則確定的單一審計(jì)事件或一系列事件。專家系統(tǒng)可以解釋系統(tǒng)確實(shí)是審計(jì)記錄及鑒別它們能否滿足描述規(guī)則。缺點(diǎn)：使用專家系統(tǒng)說的一系列規(guī)則不直觀，只有專家才能更新規(guī)則。 此兩者相結(jié)合，統(tǒng)計(jì)方法來統(tǒng)計(jì)和記錄所有的入侵行為，并把這種行為存儲(chǔ)起來，而專家系統(tǒng)則把相應(yīng)的入侵行為編碼成系統(tǒng)所認(rèn)知的內(nèi)部規(guī)則。如果在遇到入侵行為后，在統(tǒng)計(jì)方法和專家系統(tǒng)的共同作用下，就能夠有效的防止和識(shí)別入侵行為。 NIDS NIDS是 Network Intrusion Detection System的縮寫，即網(wǎng)絡(luò)入侵檢測系統(tǒng)，它以網(wǎng)絡(luò)包作為分析數(shù)據(jù)源稱為 NIDS。 NIDS 常常利用一個(gè)工作在混雜模式下的網(wǎng)卡來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流，其分析模塊通常使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來識(shí)別攻擊行為。如果檢測到了攻擊行為， IDS的響應(yīng)模塊會(huì)發(fā)出適當(dāng)?shù)捻憫?yīng)，比如報(bào)警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。與 SCANER 收集網(wǎng)絡(luò)中的漏洞不同， NIDS 收集的是網(wǎng)絡(luò)中的動(dòng)態(tài)流量信息。正因如此， NIDS 識(shí)別入侵行為的能力是根據(jù)攻擊特征庫數(shù)目多少 以及數(shù)據(jù)處理能力來決定的。 NIDS的處理能力絕大多數(shù)是 100兆級(jí)的，有部甚至達(dá)到了 1000兆級(jí)。 NIDS在防火墻后設(shè)置了一個(gè)流動(dòng)崗哨，利用它能夠適時(shí)發(fā)覺在網(wǎng)絡(luò)中的攻擊行為，來采取相應(yīng)的措施。 1994 年， Mark Crosbie 和 Gene Spafford 提出使用自治代理（ Autonomous Agents ）來提高 IDS 的可維護(hù)性、效率以及容錯(cuò)性，這個(gè)構(gòu)想已經(jīng)達(dá)到了計(jì)算機(jī)科學(xué)中其他領(lǐng)域的研究的先鋒的位置，比如說軟件代理。另一個(gè)解決當(dāng)時(shí)多數(shù)入侵檢測技術(shù)系統(tǒng)伸縮性不足的研究成果是 1996年提出的 GRIDS（ Graphbased Intrusion Detection System）系統(tǒng)，該系統(tǒng)對(duì)大規(guī)模自動(dòng)或協(xié)同攻擊的檢測技術(shù)很有效，這種跨越多個(gè)管理區(qū)域的自動(dòng)協(xié)同，顯然是今后入侵行為發(fā)展的方向。 1997年， CISCO提出 WheelGroup公司將入侵檢測技術(shù)與他的路由器結(jié)合。同年， ISS成功開發(fā)了 RealSecure,他是在 Windows NT 下運(yùn)行的分布式網(wǎng)絡(luò)入侵檢測技術(shù)系統(tǒng)，被人們廣泛使用。