ringandSurveillance》)第一次详细阐述了入侵检测的概念:潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。计算机系统威胁分类:外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作入侵检测的起源(2/3)1986年,为检测用户对数据库异常访问,W.T.Tener在IBM主机上用COBOL开发的Discovery系统,成为最早的基于主机的IDS雏形之一。1987年,乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型——IDES(入侵检测专家系统),首次将入侵检测的概念作为一种解决计算机系统安全防御问题的措施提出。1990年,加州大学戴维斯分校的L.T.workSecurityMonitor)该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS入侵检测的起源(3/3)1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。IDS基本结构IDS通常包括以下功能部件:事件产生器事件分析器事件数据库响应单元事件产生器(1/4)负责原始数据采集,并将收集到的原始数据转换为事件,向系统的其他部分提供此事件。收集内容:系统、网络数据及用户活动的状态和行为,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为
全文预览
