| 1. IDS(入侵检测系统)存在与发展的必然性
(1)网络安全本身的复杂性,被动式的防御方式显得力不从心。
(2)有关防火墙:网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均来自防火墙外部。
(3)入侵很容易:入侵教程随处可见;各种工具唾手可得
2. 入侵检测(Intrusion Detection)
●定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
●起源:
(1)1980年,James P. Anderson的《计算机安全威胁监控与监视》(《Computer Security Threat MonIToring and Surveillance》)
第一次详细阐述了入侵检测的概念;提出计算机系统威胁分类;提出了利用审计跟踪数据监视入侵活动的思想;此报告被公认为是入侵检测的开山之作。
(2)1984年到1986年,乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型--IDES(入侵检测专家系统)
(3)1990年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security MonITor)
-该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机
-入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS
(4)1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。
(5)从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。
3. IDS基本结构
●事件产生器:负责原始数据采集,并将收集到的原始数据转换为事件,向 [1] [2] [3] [4] [5] 下一页
|
