【文章內(nèi)容簡介】 年 1月，哥倫比亞大學的 Wenke Lee 和 Salvatore CIDF 上實現(xiàn)多級 IDS，并將數(shù)據(jù)挖掘技術(shù)應用到入侵檢測中，利用數(shù)據(jù)挖掘中的關(guān)聯(lián)規(guī)則等算法提取程序和用戶的行為特征，并根據(jù)這些特征生成安全事件的分類模型。 1998 年 2 月， Cisco 通過收購 Wheel Group 公司成功挺進入侵檢測市場。NetRanger 的入侵檢測技術(shù)被集成到 Cisco的系列路由器中， NetRanger（后被更名為 Secure IDS）成為 Cisco公司的招牌產(chǎn)品。 1998年 12月， Marty Roesch推出了 Snort第一版， 基于網(wǎng)絡的 IDS，采用誤用檢測技術(shù)。目前已成為應用最廣泛的 IDS之一。 2020年 2月， CA（ Computer Associates International）公司發(fā)布了抵御黑客攻擊的新工具 SessionWall3（后更名為 eTrust Intrusion Detection）。 eTrust可以自動識別網(wǎng)絡使用模式和網(wǎng)絡使用具體細節(jié)，做到全面地監(jiān)控網(wǎng)絡數(shù)據(jù)，可以對 Web和公司內(nèi)部網(wǎng)絡訪問策略實施監(jiān)視和強制實施。 eTrust是新一代網(wǎng)絡保護產(chǎn)品的代表。 2020年 7月， Cisco公司和 ClickNet（ ClickNet Security Technologies）公司宣 布聯(lián)合開發(fā)用于電子商務的入侵檢測系統(tǒng)。 ClickNet公司的基于主機的入侵檢測產(chǎn)品 Entercept技術(shù)先進，同 Cisco公司的安全入侵檢測系統(tǒng)（ Secure IDS）軟件結(jié)合以后成為一套全方位的安全系列產(chǎn)品。 2020年 1月， ClickNet公司改名為 Entercept Security Technology公司。該公司的 IDS產(chǎn)品 Entercept的新版本檢測水平進一步提高，并首先提出入侵防御（ IP，Intrusion Prevention）概念。由于已有的入侵檢測系統(tǒng)是被動的進行系統(tǒng)安全防護，當發(fā)現(xiàn)攻擊而不能及時做出防護反應時，攻擊的成功率會隨著時間的增加而提高。入侵防御系統(tǒng) IPS（ Intrusion Prevention System）在系統(tǒng)請求被執(zhí)行之前，即在網(wǎng)絡系統(tǒng)受到攻擊之前，將請求與防御數(shù)據(jù)庫中的預定義內(nèi)容進行比較，然后根據(jù)相應的安全級別采取不同的行動，如執(zhí)行請求、忽略請求、終止請求或記入日志等。 2020年 5月， Dipankar Dasgupta 和 Fabio Gonzalez研究了入侵檢測的智能決 策支撐系統(tǒng)。 2020年 3月， ISS公司發(fā)布集成了 Network ICE公司 BlackICE技術(shù)的網(wǎng)絡安全產(chǎn)品： RealSecure Network Sensor ，具備更詳細的協(xié)議分析功能和更出色的碎片重組能力。如果配合 ISS公司同時發(fā)布的 RealSecure Guard 來實現(xiàn)與防火墻的聯(lián)動，則可以利用協(xié)議分析技術(shù)來實時分析是否存在對網(wǎng)絡的非法入侵。當檢測到非法入侵時做到徹底切斷這種網(wǎng)絡攻擊。 2020 年 6 月， Entercept 公司開始提供更先進的入侵防御軟件，能夠在黑客的攻擊造成傷 害之前采取行動來阻止其發(fā)生，增加了名為 Vault Mode 的先進封鎖功能，能夠鎖住重要的操作系統(tǒng)文件和設置，防止主機被攻擊。 2020年以來，全球眾多安全研究機構(gòu)都在開展入侵檢測的研究，許多新的入侵檢測技術(shù)被應用到 IDS產(chǎn)品中。如對入侵防御系統(tǒng) IPS的討論 [25]；對于入侵檢測中的誤報問題， Cheung、 Steven等人提出入侵容忍（ Intrusion tolerance）的概念，在 IDS中引入了容錯技術(shù)； 2020年， Morton Swimmer 針對現(xiàn)代數(shù)據(jù)網(wǎng)絡的分布式防御提出一個危險模 型的免 疫系統(tǒng)等 [6]。 第一階段（ 20世紀 80年代）：主要是主機日志分析和模式匹配技術(shù)研究，推出的 IDES（ Intrusion Detection Expert System，入侵檢測專家系統(tǒng)）、 DIDS（ Distributed Intrusion Detection System，分布式入侵檢測系統(tǒng)）、 NSM（ Network Security Monitor，網(wǎng)絡安全監(jiān)控系統(tǒng)）等基本上都是實驗室系統(tǒng) 。 第二階段（ 20世紀 90年代）：主要研究網(wǎng) 絡數(shù)據(jù)包截獲、主機系統(tǒng)的審計數(shù)據(jù)分析，以及基于網(wǎng)絡的 IDS（ NIDS）和基于主機的 IDS（ HIDS）的明確分工和合作技術(shù)。代表性產(chǎn)品有早期的 ISS RealSecure（ ）、 Cisco（ 1998年收購 Wheel Group獲得）、 Snort（ 2020年開發(fā)代碼并免費）等。目前國內(nèi)絕大多數(shù)廠家沿用的是 Snort核心。 第三階段（ 20世紀 90年代后期）：主要涉及協(xié)議分析、行為異常分析技術(shù)。協(xié)議分析技術(shù)的誤報率是傳統(tǒng)模式匹配的 1/4左右。行為異常分析技術(shù)的出現(xiàn)則賦予了第三代 IDS系統(tǒng)識別未知攻 擊的能力。代表性產(chǎn)品有 NetworkICE（ 2020年并入 ISS）、安氏 LinkTrustNetworkDefender（ ）、 NFR（第二版）等。 入侵檢測技術(shù)從出現(xiàn)到現(xiàn)在已有 20 多年， IDS 系統(tǒng)已從有線 IDS 發(fā)展到無線IDS，并出現(xiàn)了 IPS（ Intrusion Prevention System，入侵防御系統(tǒng)）。 Denning模型為基礎 1987 年 Denning提出了一種抽象的通用入侵檢測的模型 ,如圖 1 所示 .該模型主要由主體、對象、審計記錄、活動簡 檔、異常記錄、活動規(guī)則 6 部分組成。繼Denning 提出上述通用入侵檢測 模型后， IDES 和它的后續(xù)版本 NIDES 都完全基于 Denning模型。 以統(tǒng)計學理論與專家系統(tǒng)相結(jié)合的中期技術(shù) 統(tǒng)計方法：是一種比較成熟的入侵檢測方法，使得入侵檢測系統(tǒng)能夠?qū)W習主體機構(gòu)的日常行為，那些正常的活動之間的偏差大的活動的統(tǒng)計顯著異?；顒?。在統(tǒng)計方法，先選擇有效的數(shù)據(jù)點，能反映學科特點，生成會話向量，并采用統(tǒng)計方法來分析數(shù)據(jù)，判斷當前活動的歷史行為特征；繼續(xù)操作系統(tǒng)，其他主題的行為特征，更新歷史記錄，能夠自適 應學習用戶的行為。 專家系統(tǒng) :專家系統(tǒng)的入侵行為，被編碼成專家系統(tǒng)的規(guī)則，這些規(guī)則確定的單一審計事件或一系列事件。專家系統(tǒng)可以解釋系統(tǒng)確實是審計記錄及鑒別它們能否滿足描述規(guī)則。缺點：使用專家系統(tǒng)說的一系列規(guī)則不直觀，只有專家才能更新規(guī)則。 此兩者相結(jié)合，統(tǒng)計方法來統(tǒng)計和記錄所有的入侵行為，并把這種行為存儲起來，而專家系統(tǒng)則把相應的入侵行為編碼成系統(tǒng)所認知的內(nèi)部規(guī)則。如果在遇到入侵行為后，在統(tǒng)計方法和專家系統(tǒng)的共同作用下，就能夠有效的防止和識別入侵行為。 NIDS NIDS是 Network Intrusion Detection System的縮寫，即網(wǎng)絡入侵檢測系統(tǒng)，它以網(wǎng)絡包作為分析數(shù)據(jù)源稱為 NIDS。 NIDS 常常利用一個工作在混雜模式下的網(wǎng)卡來實時監(jiān)視并分析通過網(wǎng)絡的數(shù)據(jù)流，其分析模塊通常使用模式匹配、統(tǒng)計分析等技術(shù)來識別攻擊行為。如果檢測到了攻擊行為， IDS的響應模塊會發(fā)出適當?shù)捻憫?，比如報警、切斷相關(guān)用戶的網(wǎng)絡連接等。與 SCANER 收集網(wǎng)絡中的漏洞不同， NIDS 收集的是網(wǎng)絡中的動態(tài)流量信息。正因如此， NIDS 識別入侵行為的能力是根據(jù)攻擊特征庫數(shù)目多少 以及數(shù)據(jù)處理能力來決定的。 NIDS的處理能力絕大多數(shù)是 100兆級的，有部甚至達到了 1000兆級。 NIDS在防火墻后設置了一個流動崗哨，利用它能夠適時發(fā)覺在網(wǎng)絡中的攻擊行為，來采取相應的措施。 1994 年， Mark Crosbie 和 Gene Spafford 提出使用自治代理（ Autonomous Agents ）來提高 IDS 的可維護性、效率以及容錯性，這個構(gòu)想已經(jīng)達到了計算機科學中其他領(lǐng)域的研究的先鋒的位置，比如說軟件代理。另一個解決當時多數(shù)入侵檢測技術(shù)系統(tǒng)伸縮性不足的研究成果是 1996年提出的 GRIDS（ Graphbased Intrusion Detection System）系統(tǒng)，該系統(tǒng)對大規(guī)模自動或協(xié)同攻擊的檢測技術(shù)很有效，這種跨越多個管理區(qū)域的自動協(xié)同，顯然是今后入侵行為發(fā)展的方向。 1997年， CISCO提出 WheelGroup公司將入侵檢測技術(shù)與他的路由器結(jié)合。同年， ISS成功開發(fā)了 RealSecure,他是在 Windows NT 下運行的分布式網(wǎng)絡入侵檢測技術(shù)系統(tǒng)，被人們廣泛使用。