入侵检测的起源(2/3) 网络安全 NETWORK SECURITY 1986年,为检测用户对数据库异常访问,W.T.Tener在IBM 主机上用COBOL开发的Discovery系统,成为最早的基于主机 的IDS雏形之一。 ● 1987年,乔治敦大学的Dorothy Denning和SRI/CSL的 Peter Neumann研究出了一个实时入侵检测系统模型 IΦES(入侵检测专家系统),首次将入侵检测的概念作为一种 解决计算机系统安全防御问题的措施提出。 ● 1990年,加州大学戴维斯分校的L.T.Heberlein等人开发出 NSM (Network Security Monitor) ■ 该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数 据转换成统一格式的情况下监控异种主机 ■ 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的 IDS和基于主机的IDS
7 入侵检测的起源(2/3) • 1986年,为检测用户对数据库异常访问,W.T.Tener在IBM 主机上用COBOL开发的Discovery系统,成为最早的基于主机 的IDS雏形之一。 • 1987年,乔治敦大学的Dorothy Denning和SRI/CSL的 Peter Neumann研究出了一个实时入侵检测系统模型—— IDES(入侵检测专家系统),首次将入侵检测的概念作为一种 解决计算机系统安全防御问题的措施提出。 • 1990年,加州大学戴维斯分校的L. T. Heberlein等人开发出 了NSM(Network Security Monitor) n 该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数 据转换成统一格式的情况下监控异种主机 n 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的 IDS和基于主机的IDS
入侵检测的起源(3/3) 网络安全 NETWORK SECURITY ·1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检 测方法集成到一起。DIDS是分布式入侵检测系 统历史上的一个里程碑式的产品 。 ·从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展
8 入侵检测的起源(3/3) •1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检 测方法集成到一起。DIDS是分布式入侵检测系 统历史上的一个里程碑式的产品。 •从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展
IDS基本结构 网络安全 NETWORK SECURITY ·IDS通常包括以下功能部件: ■事件产生器 ·事件分析器 ■事件数据库 ■响应单元
9 IDS基本结构 •IDS通常包括以下功能部件: n 事件产生器 n 事件分析器 n 事件数据库 n 响应单元
事件产生器(1/4) 网络安全 NETWORK SECURITY 负责原始数据采集,并将收集到的原始数据转 换为事件,向系统的其他部分提供此事件 ● 收集内容:系统、网络数据及用户活动的状态 和行为,需要在计算机网络系统中的若干不同 关键点(不同网段和不同主机)收集信息 ·系统或网络的日志文件 ■网络流量 ·系统目录和文件的异常变化 ■程序执行中的异常行为
10 事件产生器(1/4) •负责原始数据采集,并将收集到的原始数据转 换为事件,向系统的其他部分提供此事件。 •收集内容:系统、网络数据及用户活动的状态 和行为,需要在计算机网络系统中的若干不同 关键点(不同网段和不同主机)收集信息 n 系统或网络的日志文件 n 网络流量 n 系统目录和文件的异常变化 n 程序执行中的异常行为
事件产生器(1/4) 网络安全 NETWORK SECURITY 注意: ·入侵检测很大程度上依赖于收集信息的可靠性和正 确性 ■要保证用来检测网络系统的软件的完整性 ■特别是入侵检测系统软件本身应具有相当强的坚固 性, ●防止被篡改而收集到错误的信息
11 事件产生器(1/4) •注意: n 入侵检测很大程度上依赖于收集信息的可靠性和正 确性 n 要保证用来检测网络系统的软件的完整性 n 特别是入侵检测系统软件本身应具有相当强的坚固 性, •防止被篡改而收集到错误的信息