网络入侵检测技术一、入侵检测发展史1980年，在James P. Anderson 的文章“Computer Security Threat Monitoring and Surveillance”中[1]，“入侵检测”的概念首次被提出。

为开发基于主机的IDS提供了最初的理论基础。

1985年，美国国防部计算机安全中心（NCSC）正式颁布了《可信任的计算机系统评估标准》（Trusted Computer System Evalution Criteria, TCSEC）。

TCSEC为预防非法入侵定义了四类七个安全级别。

由低到高分别是D、C1、C2、B1、B2、B3、A1，规定C2以上级别的操作系统必须具备审计功能，并记录日志。

TCSEC标准的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用，是信息安全发展史上的一个里程碑。

1988年，莫里斯（Morris）蠕虫感染了Internet上近万台计算机，造成Internet持续两天停机。

美国空军、国家安全局、加州大学戴维斯分校等开展对分布式入侵检测系统（DIDS）的研究，将基于主机和基于网络的检测方法集成到一起1990年，加州大学戴维斯分校的L.T.Heberlein等人提出了基于网络的入侵检测概念，即将网络数据流作为审计数据来追踪可疑的行为。

1992年，加州大学的Koral llgun开发出实时入侵检测系统USTAT（a State Transition Analysis Tool for UNIX）。

他们提出的状态转换分析法，使用系统状态与状态转换的表达式描述和检测已知的入侵手段，使用反映系统状态转换的图表直观地记载渗透细节。

1994年，普渡大学计算机系COAST实验室的Mark Crosbie和Gene Spafford 研究了遗传算法在入侵检测中的应用。

使用遗传算法构建的智能代理（Autonomous Agents）程序能够识别入侵行为，而且这些agents具有“学习”用户操作习惯的初步智能。

1996年，加州大学戴维斯分校的Staniford等研究人员提出了基于图表的入侵检测系统（Graph-based Intrusion Detection System，GrIDS）原理，并完成了原型的设计和实现。

1996年，Forrest将免疫原理运用到分布式入侵检测领域。

此后，在IDS 中还出现了遗传算法、遗传编程的运用。

1997年3月，美国国防部高级研究计划局（DARPA）开始着手通用入侵检测框架CIDF（Common Intrusion Detection Framework）标准的制定，加州大学戴维斯分校的安全实验室完成了CIDF标准。

1997年9月，公司推出基于主机的IDS（KSM，Kane Security Monitor），agents技术第一次出现在IDS的市场产品中。

1998年1月，哥伦比亚大学的Wenke Lee和Salvatore J.Stolfo提出和实现了在CIDF上实现多级IDS，并将数据挖掘技术应用到入侵检测中，利用数据挖掘中的关联规则等算法提取程序和用户的行为特征，并根据这些特征生成安全事件的分类模型。

1998年2月， Cisco通过收购Wheel Group公司成功挺进入侵检测市场。

NetRanger的入侵检测技术被集成到Cisco的系列路由器中，NetRanger（后被更名为Secure IDS）成为Cisco公司的招牌产品。

1998年12月，Marty Roesch推出了Snort第一版，基于网络的IDS，采用误用检测技术。

目前已成为应用最广泛的IDS之一。

2000年2月，CA（Computer Associates International）公司发布了抵御黑客攻击的新工具SessionWall-3（后更名为eTrust Intrusion Detection）。

eTrust可以自动识别网络使用模式和网络使用具体细节，做到全面地监控网络数据，可以对Web和公司内部网络访问策略实施监视和强制实施。

eTrust是新一代网络保护产品的代表。

2000年7月，Cisco公司和ClickNet（ClickNet Security Technologies）公司宣布联合开发用于电子商务的入侵检测系统。

ClickNet公司的基于主机的入侵检测产品Entercept技术先进，同Cisco公司的安全入侵检测系统（Secure IDS）软件结合以后成为一套全方位的安全系列产品。

2001年1月，ClickNet公司改名为Entercept Security Technology公司。

该公司的IDS产品Entercept的新版本检测水平进一步提高，并首先提出入侵防御（IP，Intrusion Prevention）概念。

由于已有的入侵检测系统是被动的进行系统安全防护，当发现攻击而不能及时做出防护反应时，攻击的成功率会随着时间的增加而提高。

入侵防御系统IPS（Intrusion Prevention System）在系统请求被执行之前，即在网络系统受到攻击之前，将请求与防御数据库中的预定义内容进行比较，然后根据相应的安全级别采取不同的行动，如执行请求、忽略请求、终止请求或记入日志等。

2001年5月，Dipankar Dasgupta和Fabio Gonzalez研究了入侵检测的智能决策支撑系统。

2002年3月，ISS公司发布集成了Network ICE公司BlackICE技术的网络安全产品：RealSecure Network Sensor 7.0，具备更详细的协议分析功能和更出色的碎片重组能力。

如果配合ISS公司同时发布的RealSecure Guard来实现与防火墙的联动，则可以利用协议分析技术来实时分析是否存在对网络的非法入侵。

当检测到非法入侵时做到彻底切断这种网络攻击。

2002年6月，Entercept公司开始提供更先进的入侵防御软件，能够在黑客的攻击造成伤害之前采取行动来阻止其发生，增加了名为Vault Mode的先进封锁功能，能够锁住重要的操作系统文件和设置，防止主机被攻击。

2003年以来，全球众多安全研究机构都在开展入侵检测的研究，许多新的入侵检测技术被应用到IDS产品中。

如对入侵防御系统IPS的讨论[2-5]；对于入侵检测中的误报问题，Cheung、Steven等人提出入侵容忍（Intrusion tolerance）的概念，在IDS中引入了容错技术；2006年，Morton Swimmer针对现代数据网络的分布式防御提出一个危险模型的免疫系统等[6]。

入侵检测技术的发展阶段第一阶段（20世纪80年代）：主要是主机日志分析和模式匹配技术研究，推出的IDES（Intrusion Detection Expert System，入侵检测专家系统）、DIDS （Distributed Intrusion Detection System，分布式入侵检测系统）、NSM （Network Security Monitor，网络安全监控系统）等基本上都是实验室系统[7][8]。

第二阶段（20世纪90年代）：主要研究网络数据包截获、主机系统的审计数据分析，以及基于网络的IDS（NIDS）和基于主机的IDS（HIDS）的明确分工和合作技术。

代表性产品有早期的ISS RealSecure（v6.0之前）、Cisco（1998年收购Wheel Group获得）、Snort（2000年开发代码并免费）等。

目前国内绝大多数厂家沿用的是Snort核心。

第三阶段（20世纪90年代后期）：主要涉及协议分析、行为异常分析技术。

协议分析技术的误报率是传统模式匹配的1/4左右。

行为异常分析技术的出现则赋予了第三代IDS系统识别未知攻击的能力。

代表性产品有NetworkICE（2001年并入ISS）、安氏LinkTrustNetworkDefender（v6.6）、NFR（第二版）等。

入侵检测技术从出现到现在已有20多年，IDS系统已从有线IDS发展到无线IDS，并出现了IPS（Intrusion Prevention System，入侵防御系统）。

二、入侵检测系统定义与功能入侵检测：对入侵行为的发觉，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统：进行入侵检测的软件与硬件的组合。

入侵检测系统功能：（1）监控并分析系统及用户活动；（2）检查系统配置和漏洞；（3）评估系统关键资源和数据文件的完整性；（4）识别已知的攻击行为以及统计分析异常行为；（5）对操作系统进行日志管理，并识别违反安全策略的用户活动；（6）针对已发现的攻击行为做出适当的反应，如警告、终止进程等。

三、入侵检测系统分类A、根据信息源分类1、基于网络的入侵检测系统（NIDS，Network Intrusion Detection System）NIDS能够截获网络中的数据包，提取其特征并与知识库中已知的攻击签名相比较，从而达到检测的目的。

优点：（1）监测速度快。

基于网络的监测器通常能在微秒或秒级发现问题。

而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。

（2）隐蔽性好。

一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容易遭受攻击。

此外监视器不运行其他的应用程序，不提供网络服务，可以不响应其他计算机，因此可以做得比较安全。

（3）视野更宽。

可以检测一些主机检测不到的攻击，如泪滴（tear drop）攻击，基于网络的SYN洪水等。

还可以检测不成功的攻击和恶意企图。

（4）较少的监测器。

使用一个监测器就可以保护一个共享的网段。

（5）攻击者不易转移证据。

基于网络的IDS使用正在发生的网络通信进行实时攻击的检测。

所以攻击者无法转移证据。

（6）操作系统无关性。

基于网络的IDS作为安全监测资源，与主机的操作系统无关。

（7）不占用被保护的设备上的任何资源。

可以配置在专门的机器上。

主要缺点：（1）只能监视本网段的活动，精确度不高。

（2）在交换环境下难以配置。

（3）防入侵欺骗的能力较差。

（4）难以定位入侵者。

2、基于主机的入侵检测系统（HIDS，Host Intrusion Detection System）数据来源于主机系统，通常是系统日志和审计记录。

优点：（1）能确定攻击是否成功。

主机是攻击的目的所在，所以基于主机的IDS 使用含有已发生的事件信息，可以比基于网络的IDS更加准确地判断攻击是否成功。

（2）监控粒度更细。

基于主机的IDS，监控的目标明确，视野集中，它可以检测一些基于网络的IDS不能检测的攻击。

它可以很容易地监控系统的一些活动，如对敏感文件、目录程序或端口的存取。