入侵检测系统的起源

　　一般意义上，业界将James P. Anderson在1980年发布的那篇《Computer Security Threat Monitoring and Surveillance》作为入侵检测概念的最早起源，在这篇文章里，不仅将威胁分为了外部渗透、内部渗透和不法行为三种，还创造性的提出了将审计技术应用到对威胁的检测上来。没错，虽然不论厂商还是用户，都是先开发/拥有入侵检测产品，而后再考虑审计产品，但从单纯的技术上来说，入侵检测技术的确是起源于审计技术，所不同的是，入侵检测更关注“坏”的事件，而审计产品则更多关注“好”事件。

　　但这只是一个概念的起步，一直到1986年Dorothy Denning等人才在其论文An Intrusion Detection Model中给出了一个入侵检测的抽象模型IDES(入侵检测专家系统)，并在1988年开发出一个IDES系统：

　　在这个模型中，可以很清楚的看出Denning的二维检测思想：基于专家系统的特征检测以及基于统计异常模型的异常检测。这一点也奠定了入侵检测技术领域的两大方向：滥用检测(Misuse Detection)和异常检测(Anomaly Detection)

　　在这个模型的基础上，1990年Herberlein等人开发出了第一个真正意义上的入侵检测系统NSM(Network Security Monitor)，在这个实物模型中，第一次采用了网络实时数据流而非历史存档信息作为检测数据的来源，这为入侵检测系统的产品化做出了巨大的贡献：再也不需要将各式各样的审计信息转化为统一格式后才能分析了，入侵检测开始逐步脱离“审计”的影子。谁也没有想到，过了不到10年的时间，审计产品反过来开始学习入侵检测产品的这种分析实时数据流的模式，这是另外一个话题，且按下不表。

　　入侵检测系统的成长

　　上世纪90年代中期，商业入侵检测产品初现端倪，1994年出现了第一台入侵检测产品：ASIM。而到了1997年，Cisco将网络入侵检测集成到其路由器设备中，同年，ISS推出Realsecure，入侵检测系统正式进入主流网络安全产品阶段。

　　在这个时期，入侵检测通常被视作防火墙的有益补充，这个阶段用户已经能够逐渐认识到防火墙仅能对4层以下的攻击进行防御，而对那些基于数据驱动攻击或者被称为深层攻击的威胁行为无能为力。厂商们用得比较多的例子就是大厦保安与闭路监控系统的例子，防火墙相当于保安，入侵检测相当于闭路监控设备，那些绕过防火墙的攻击行为将在“企图作恶”时，被入侵检测系统逮个正着。

　　而后，在20001～2003年之间，蠕虫病毒大肆泛滥，红色代码、尼姆达、震荡波、冲击波此起彼伏。由于这些蠕虫多是使用正常端口，除非明确不需要使用此端口的服务，防火墙是无法控制和发现蠕虫传播的，反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测(就是前面提到的滥用检测，将针对漏洞的攻击代码结合病毒特征做成事件特征，当发现有该类事件发生，就可判断出现蠕虫。)，一时间入侵检测名声大振，和防火墙、防病毒一起并称为“网络安全三大件”。

　　正当入侵检测概念如日中天之际，2003年GARTNER的一篇《入侵检测已死》的文章，带来了一个新的概念：入侵防御。在此之前，防火墙产品之所以不能做4层以上的分析，有一个原因就是分析性能跟不上，入侵检测产品由于采用旁路部署方式，对数据实时性9 7 3 1 2 4 8 :

本文来源：赛迪网 作者：佚名