• 1990年5月是入侵检测发展史上的另一个里程碑，加州大学戴维斯分校 的L. T. Heberlein等研究人员首次利用网络数据包作为安全审计数据源， 通过监测网络流量来识别网络入侵行为。
• 1991年2月，Haystack公司与L. T. Heberlein等人共同展开了对分布式 入侵检测系统DIDS（distributed intrusion detection system）的研 究。
• 1992年，斯坦福研究所决定对早期的IDES进行改进，开发下一代入侵 检测专家系统NIDES（next-generation intrusion detection expert system）新产品。
入侵检测的起源(续)
• 入侵检测的核心思想起源与安全审计机制。 • 审计是基于系统安全的角度来记录和分析
事件，通过风险评估制定可靠的安全策略 并提出有效的安全解决方案 。
计算机安全威胁监测与监视
• 在计算机系统遭受攻击时，审计机制应当给安全管理人 员提供足够的信息识别系统的异常行为。
• 将计算机系统的威胁划分为外部渗透、内部渗透和不法 行为三种类型。
• TCSEC评估准则已成为评估各类网络安全产品的重要依据之 一，是计算机网络安全发展史上的一个重要里程碑。
入侵检测模型
• 入侵检测模型的核心思想就是异常用户模式不同于正 常用户模式，因此，通过分析审计记录和网络数据包 能够识别违反系统安全策略的入侵行为。
• 通 用 入 侵 检 测 模 型 为 以 后 研 发 入 侵 检 测 系 统 IDS （intrusion detection system）产品奠定了坚实的 理论基础。
• James P. Anderson提出的利用安全审计监视入侵行为 的思想为开展入侵检测研究创建了思想方法，是公认的 入侵检测技术创始人。
入侵检测专家系统IDES
• 采用审计数据统计分析方法建立系统用户的行为 模式，当用户行为明显偏离系统所建立的行为模 式时，将产生报警信号。
• 采用基于规则匹配的专家系统机制来检测已知入 侵行为，当入侵特征与检测规则匹配时，系统产 生报警信号。
入侵检测的迅速发展
• 1988年5月，加州大学戴维斯分校劳伦斯利弗莫尔 （Lawrence Livermore）国家实验室承接了为美国空军基地开发新型 IDS Haystack的科研课题。
• 1989年创建了以科研课题名称Haystack命名的商业公司，并将公司开 发的IDS产品称为STALKER 。
可信计算机系统评估准则TCSEC
• TCSEC根据计算机系统硬件、软件和信息资源的不同安全保 护要求，将网络安全等级由高到低划分成A、B、C、D四大类 七个安全子级别A1、B3、B2、B1、C2、C1和D。其中， A1安全级别最高，D安全级别最低。
• TCSEC评估准则的颁布不仅推动了操作系统、数据库管理系 统及应用软件在安全方面的发展，也对入侵检测系统等安全 技术的发展起到了巨大的推动作用。
• 1983年，斯坦福研究所SRI（Stanford research institute）的 Dorothy E. Denning和Peter Neumann承担了美国空海作战系统指挥 部资助的入侵检测系统研究课题。研究成果命名为入侵检测专家系统 IDES（intrusion detection expert system）。
• 6.3主机系统调用入侵检测 • 6.3.1 系统调用跟踪概念 • 6.3.2 前看系统调用对模型 • 6.3.3 每局序列匹配模型 • 6.3.4 短序列频度分布向量模型 • 6.3.5 数据挖掘分类规则模型 • 6.3.6 隐含马尔科夫模型 • 6.3.7 支持向量机模型
• 6.4 网络连接记录入侵检测 • 6.4.1 网络数据报协议解协 • 6.4.2连接记录属性选择 • 6.5 Snort 主要特点 • 6.5.2 Snort 系统组成 • 6.5.3 Snort检测规则 • 6.6 本章知识点小结 •
6.1.1 入侵检测发展历史
1,入侵检测的起源 2,入侵检测的迅速发展 3,商用入侵检测系统问世 4,入侵检测的标准化
入侵检测的起源
• James P. Anderson早在1980年4月为美国空军所作的著名研究报告 “计机安全威胁监测与监视” （computer security threat monitoring and surveillance）。
• 传统的安全防御机制主要通过信息加密、身份认证、访问 控制、安全路由、防火墙和虚拟专用网等安全措施来保护 计算机系统及网络基础设施。入侵者一旦利用脆弱程序或 系统漏洞绕过这些安全措施，就可以获得未经授权的资源 访问，从而导致系统的巨大损失或完全崩溃。
• 网络除了要采取安全防御措施，还应该采取积极主动的入 侵检测与响应措施。
第六章 入侵检测系统
第六章 入侵检测系统
6.1 入侵Байду номын сангаас测原理与结构 6.1.1 入侵检测发展历史 6.1.2 入侵检测原理与系统结构 6.1.3 入侵检测人类方法 6.1.4 入侵检测主要性能指标 6.1.5 入侵检测系统部署
6.2 入侵检测审计数据源 6.2.1 审计数据源 6.2.2 审计数据源质量分析 6.2.3 常用审计数据源采集工具
• 入侵检测技术是近年发展起来的用于检测任何损害或企图 损害系统保密性、完整性或可用性行为的一种新型安全防 范技术。
6.1 入侵检测原理与结构
• 入侵是指系统发生了违反安全策略的事件，包括 对系统资源的非法访问、恶意攻击、探测系统漏 洞和攻击准备等对网络造成危害的各种行为。
• 入侵检测作为一种积极主动的网络安全防御技术， 通过监视系统的运行状态发现外部攻击、内部攻 击和各种越权操作等威胁，并在网络受到危害之 前拦截和阻断危害行为。
• 1985年，美国国防部所属的国家计算机安全中心正式颁布了网络安全标 准，既可信计算机系统评估准则TCSEC （trusted computer system evalution criteria）。
• 1987年2月，Dorothy E. Denning和Peter Neumann在总结几年研究 工作的基础上，正式发表了入侵检测模型著名论文（an intrusion detection model）。