本文由 heisjay 贡献
pdf 文档可能在 WAP 端浏览体验不佳。建议您优先选择 TXT,或下载源文件到本机查看。
戚
技术
人 侵检 测 系统 的 发展厉 史
华 中科技 大 学
摘
D I S
涂保 东
要 : 从 大 量 史 料 中整 理 出 入 侵 检 测 系 统 ( }n 七 r u ] s 的历 史 进 程
:
,
。。
e c i D te t o
。
n
y s
s
e t
m
,
ID S
) 研 究 与开 发 的 历 史
,
为 人 们 了解
把握
JD s
目 前研 究与 开 发 的热 点 提 供 参 考
}D s
关键 词
入 侵 检 测 系统
发展历 史
网 络安 全
很早 以 来 人 们 就 认 识 到 用 户 的行 为进 行 适 当监 控 络
恶 意 的和 错 误 的操 作
应对 网 以阻 止
e t m
D l ( 田
入 侵 检测专 家 系 统 )
n n te 「 e
。
’‘
被
De te
e t !o n
网 o d
e
l
“
正 式 发表
。
De
n n
旧 g
用 在早 期 的{
t
A 网 (A R 尸 ) 上 监 控
保 障网 络 数 据
r e
o
用 户 的验 证 信 息
这 是 第一 个 基 于 规
,
在该 文 中提 出 了 入侵 检测 系 统 的抽 象 模 型 模 型 基 于 这 样一 个 假 设
入 侵 者
:
与 运 行 的安 全
。
入 侵检测 思 想 在 二 十
t e
t n 多年 前 就 已 萌 穿 随 着 I 的蓬 勃 发 展 近 几 年 来 旧 S 得 到 了较 深
入 的 研
则 的 专 家 系 统模 型 采 用 与 系统 平 台 和 应 用 环 境 无 关 的设 计 针 对
已 知 的
,
使 用 系 统 的模 式 与 正 常 用 户 的使 用 模
式不 同
,
因 此 可 以 通过监 控 系 统 的跟
系统 漏 洞 和 恶 意 行 为 进 行检 测
为构
踪 记 录来 识 别入 侵 者的异 常使 用 模 式
从 而 检 测 出 入 侵 者违 反 系 统安 全 性 的 o 情 形 D e n 旧 g 的 模型 是
许 多 旧 S 原 型
。
究和 广 泛 的应 用
1 98 0
年
4
月 Ja m
g
e s
P
A
n
de s
「 。o n
发
‘’
建入 侵 检 测 系 统提供 了 一 个 通 用 的框 品 同 P 架 随 后 S 日 完成 了 与
s A 四 A R 的合 为 其提 交 了 第一 款 实用 的 旧 S 产
19 8 5
表著名 的研究 报告
r T 卜 e a t
C omp
a n
u te 「
e e u r 、 t 丫
的基础
。
Mo
n n !t o r 一
d
Su
r v e l 日 n e e a
1 98 8
。
年 5 月
r e n e e
,
加 州 大学 戴 维 斯 分
L
. v e 「 m o r e
第 一 个 正 式 阐 述 了入 侵 检 测 的概 念
,
年
美 国 国 防 部 计 算机 安全
校的 L a
(L L N L
*
实验 室
p A 从 1 9 7 2 年开 始 J m 就 一直 在 关 注 和研 究 计 算 机 系 统 和 多 用
o
e o
n
d e 「s o n
) 可 中 心 ( N C S C 正 式 颁布 了 《 信任 的 o r t d 计算 机 系 统 评 估 标 准》
( T o s e C m 一
Put
e r
) 承接 了 美 国 空 军 的一 项 名 为
a s Hy
t 日 C k
的 课 题 为 美 国 空 军 基 地 的计
户 网 络 的安 全 问题
.
在 这 篇 为 美国 空
.
S 丫 s
t e
m
EV
a
lu
t
旧 n
Cr
{t e r l a
军 所 作 的研 究 报 告 中
、
他 将计 算 机 系
丁 C S 任 C
)
。
丁 C S 任 C
为 预 防 非 法 入侵 定 义
引
、
算机 安全 开 发 了 一 套 新 型 的 旧 s 系 统 该 系 统通过 与 已 知 攻击 模 式
进行 匹 配
比较 来 分 析 审 计数据
s c 存在入侵 行 为 洲。y t a
1 98 8 k
统 可 能 遭 遇 的风险 和威胁分 为 外 部 渗
透 内部 渗 透和不 法 行 为 三 种 并提 出
了 利 用 审计 包 含 关 键 内容 的 跟 踪数 据
! 了 四 类 七 个安 全 级 另 」 由低 到高 分 别
以此 判 断 是 否
是
D
、
C1
CZ
已 2
、
巳 3
、
1 A
规
系统是 第 一 个
。
定 C Z 以 上 级 别 的操 作 系 统 必 须 具 备 审 计 功 能 并记 录 日 志
布 对 操作 系 统
、 .
采用 误 用 检 测技 术的 旧 S
口
来 监 视入 侵 活 动的 思 想
理论基础
19 8 3 }n s 。
t }t u t
e
, 。
。
他的 研 究 成
下 C S 任 C
标 准 的发
果 为 开 发 基 于 主 机 型 旧 S 提 供 了 最 初的
年
S RI
n (S t a f o o d
日 e
s e a 「 e
h
发 展 起 到 了 很 大 的推 动 作 用 安 全 发 展史 上 的一 个里 程 碑
1 98 6
数 据库等 方 面 的 安 全 是信 息
。
年 1 0 月 S RI/ C S L 的 T e 「 s a u t L n 等 人从 分 析 用 户 ( 及 系统 设 备 与
程 序 等 ) 的行 为 特 征 出 发 进 一 步 改 进
,
e
. g e D n n 的入 侵 检 测 模 型
于 19 0 年 4
,
斯 坦福 研 究 所 ) 的 D o r o t h 丫 E
Ne u m
on n
年
,
为 保 障 大 型 计 算机数据
四
月 开 发 出一 个新 的 系 统
可 以 同时 监
。
e n 。. n
g
和 P e t e r
a n
共 同 主持 了一
a rf a 「 e
库 系 统 的安 全
系 统 这 是 最早
。
丁
e e T n
r
开发 出用
V e
个受 美 国 海 军 下属 海 空 作 战 系 统 指挥
于 检 测 用 户异 常 操 作 行 为 的 口 S C o
即
控 网络 中 不 同 站 点 上 的 用 户 19 88 r r 年 1 月 M o s 蠕虫 感染 了
t n I
e
部 (s 日 o C mm n d
题
,
pa e e
d
Na V 日 {
四
s
S 丫 te
m
s
资助 的研 究 课 为 他们 的 大 型 计算 机 开 发入 侵 检
A 胃 A 田
,
P S
雏形 之 一 顺 便 提 及 也 是 在这 年 美 国 i l l D g t 公 司 在 I e n t 上 安 装 了
全 球 第 a t n r e
, ,
的基 于 主 机 的旧 S
n t r e
上 近 万 台计 算机
。
、
t n 造成 I
e r
e n
t
持续 两 天 停机 事 件 发 生 之 后 网 络 安 全 引 起 了 军 方 企 业 和 学术 界
的高 度
重视
,
测 系统
他 们 确 定 的检 测 目 标 正 是 从
。
一 个 商 用 防 火 墙系 统
防火 墙 技术 开
促 使 人 们 投 入 更 多的资 金 和 精
。
,
分 析 审 计 跟踪 数据 和 构 建 基 于 用 户行 为 描 述 文件 开 始
‘
始 得 到 飞 速的 发 展
19 8 7
。
一 年后 ( ! 98 4 年 )
,
年 2 月
作 为 对 前 几 年研 究
,
力去 研究 与 开 发 旧 S o 9 1 8 9 年 日 a s t c k 项 目 的 开 发 人 员 y
s C 创建 了 一 家 商 业 公 司 取名为 日 a 丫 t 8
,
他们 研 制 出 了 一 个 实时入侵检 测 系 统 s . n e e n x s 模 型 {n t r u o D e t 屯旧
E P e r t S 丫 一
与 开 发工 作 的总 结
D
e 门 n
D
。 「。 t
h 丫
任
欠
y
,n
g
的著 名 论 文
A
n
J
n
t 厂 。旧 n 一 u
实验 室 将他 们 的新 技 术商 品 化 他 们
r
18
计算机 安 全
加关
技术
入侵检刚
诵
r
与 漏 洞 扫 描 专辑
美国 空 军 密码支 援
5
’
D t 的 J S 产 品 名为 S
。 }ke r
意思 是
入侵 拥有 强
o P
t r
199 1
年 9 月
,r
行为 的阻 击 者
(p
a tt e rn
’ ‘
t s
。}k e r
采 用模 式 匹 配
「
中心 ( A
厂 o r e
e
C r y P t o lo g ie
S U P 一
t a g 的 旧 S 产 品 取名 N e R n e 意为 网 络 t R 。门 g e r 是 网 络实 时入 侵 检
测 巡警 N e
“
。
。
Ma
t e h .n g
) 检钡 技 术 l
。
Ce n e ) t r
开 发 出 安全 测 定 自动 系
Se
e u r lt
劲 的数据搜 索能 力
S t }k s e
系 列产 品
。
成为 第 一 款在市 场 上 销 售成功 的 旧 S 工 具 是基 于 主 机 }D S 的一 大 进
步
1 98 9
o a 统 (A u t m t e d e t s S 丫 m As M) l
。
丫 Me
as u r e
m
e n
t
系统 的 第 一 款 商 业 化 产 品 N t R o n e g 针 对 企 业 而 设计 以 其 高 性能
和 高 价
,
。
e
用 于 监 控 美国 空 军 内
格 闻名
19 9 4 S
是 基 于 网 络 的入 侵检 测 软 件
。
年
。
M e A fe
e
A
s s o e ,a : e s
公司
为 网 络入 侵检 测 系 部 网 络 安全 统 提 供 了 硬 件 与 软 件相 结合 的 第一
种
A 引 M
中经 受 实 践 考验 最多的产 品 之 一
年 4 月
l (
5
,
In t
e 「 e n
t
s
e e u o .t
v
创立
,
总 部设 在 美 国著 名 的 加 利 福 尼
Me
解 决方 案
19 9 2
。
s e y t
t
e 「 e n
m
t
S
) 5
公 司创 立
并 发布 了
亚 州 硅谷
A 十
e e
以 开发 V , r u s s
e a n
系 和 R
年
ha
S R】 CS L /
n
的 下 e
re sa
Lu
n t
In
S Ca
n n e 。
正 式 第 一版 这 是一个
列杀 毒 软 件 而 迅速 成 为 业 界 最著 名 的
反 病 毒 安全 厂 商
19 90
.
J a ga
n n “t
领 导 一 个项 目组 对 早 开 发 旧 E S
e x t
e 一已
从 1 9 9 2 年 开始 就 以共 享 软 件的 形 式 发
布 的 功 能 强 大 的 互 联 网 安全 漏 洞 检 测
期的
,
旧 ES
作 重 大 修改
(N
De te
e t !o n s s 丫
的下
旧 n
校的 L
年 5 月 加 州 大 学 戴维 斯 分 丁 H 匕 e j 。 等 人 提 出 了基 于 i e r e
一 代 新 产 品 N ID ES
{n 2
t 「u s 旧 。
n e ra t
软件
。
te
m )
。
19 9 3
。
年
网 络 的入侵 检 测 概 念
即将 网 络 数 据
,
D 月 发 布 了 N } Es 的 a
a )p 卜
测 试版
1 99 4
年 6 月 H a 丫 s t a e k 实验 室 推 出 了第一 款针对 W e b 服务器的
19 9 6
流 作 为 审 计 数 据 的来 源
通 过 主 动监
。
年 版
9
。
月 发布 了
刚 D S E
视 网 络 信息 流 量 来 追 踪 可 疑 的 行 为 e e { 在 日 匕 e } 。 领 导 下 开
发 的 闪 S 网 r
(Ne t W
O「
t Z 的最终 测 试 Be a 采 用 分 布 式 入 侵 检 测 技术
I N DE S
W
e
bs
t 日 Ik e r
Pro
。
19 9 6
年
。
NFR
e ( NFR S e u r
{t
y
]n
.
e
)
能 够从 多个 主 机 收 集和 合 并处 理 审计
公 司 成立
N F 以 开放 其 旧 s R
早 期版 本
k Se
。。r . t
丫 Mo 川 t o
r
) 系统 是 第
信 息 统 计 分 析 算 法 有 大 幅增 强 基 于
规 则 的 专 家 系 统 更 加 完善
1 99 2
。
』
的 源代 码 而 闻 名
I t
n
在 一 定 程 度 上 促进
。
一 个 基 于 网 络 的 旧 导 为 入侵 检 测 系 统 的 发展 翻 开 了新 的 一 页
19 9 1
。
D 了 ] S 的 研究和 推 广
r (P u d
NF R
的 旧 S 产 品 有 比较 完
年
10
月
g
,
普渡 大 学
S pa ffo r d
、e r
,
u e
「 s ,o n U
De t
e C
t
.o n
A pp l ,a
n e e
年 2 月
l r
e ,。
在美 国 空 军
国家
t
U
n , v e r s ‘y t
) 的
Eu
e n e
和
G
e n e
善 的 定 制功 能
协议 分析
19 9 6
。
可 以 进 行攻 击特 征 和
,
安 全 局 和 能源 部共 同 资 助 下 H y a s 实验 室 和 H b e e
De te C t , o n
l s 式入 侵 检测系统 ( D 一 t r b u t e d
C a k
K、 m
联 手 开发 出 T
。
; 、 P
w
成 为 U N}X 下
等 人 开 展 了对分 布
l 门 t r u s 旧 门
。
最 著 名 的 文 件 系 统 完 整性 检 查 的软 件 e 工 具 T , p w , r 应 用 数字 签
名 技术 对 指 r 定 文件 进行 监 控 可 检测其 被 改 动 增
加
、
年 1 月 加 州 大学 戴 维 斯 分 0
「o fr
t n 校的 S a
In
t 「U S l o n
d
等研究 人 员 提 出 了 基 于
a
s e s 丫‘m
D ID s
) 的研 究
,
o 一 S 。
,
、
图 表的入 侵 检 测 系统 ( G r
De t e
e t ,o n s s 丫
p 卜 匕 一 a
s 。d
将 基 于 主 机和 基于 网 络 的检 测方 法集 成 在 一 起 采 用 分 层结构 体 系
包括 数 事件 主 体 上 下 文 威 胁 安全 状 态 等 6 层 整 个 系 统包 括 三 个 部 分
删 除 的详 细 情 况
。
。
, r T pw
,r e
早 期的
te
m
G r lD s
。
) 原
据
、
、
、
、
、
免 费 版 本 一 直是 全 球 系 统管 理 员 最 受 欢迎 的工 具 之 一
1992
理 并 完成 了 原 型 的 设 计 和 实 现 该 系 统 能够将 多 台机 器 的 行 为 通
过 图 表 直 观 地表 示 出 来 可 用 于 对 大 规 模 自 动 或 协 同 攻 击 的检测
。
。
:
年
,
11
,
月
,
加州大 学的
o r r a s
Ko h
「 。
J
传 感 器 管 理 器和 中 央数 据 处 理 器 传
感 器 和 管 理 器 从 局 域 网 各 检 测点分 别 采 集 数据 并 将 数 据 送 至 中
央 数 据 处
I 理器作 全 局 处 理 D O S 成 为 入侵检 测 系 统发 展 历 史 上 的 又 一 个 里
程 碑
。 。
、
,
11 g
u n
在 P h
e K
mme e r r
和 工 作 基础 上 的前 期
u s 丁 A 丁 To
o
l{ P
P
R
,
}e
a 「d
开发 出
。
19 9 6
年 1 月 2
。
5 1 5
}S e
c
公司 宣 布推 出
』
实 时 入 侵 检测 系 统
T 厂。n
s l tl o n
(
r
,
孰
。
e t
。
网 络 安 全软 件 R e
。
盯 e
一 个实 时 的
7
An
a
5 l 丫
15
] fo
U N IX
)
1 99 1
e a t
年
t
,
S A IC
t ,o n a
(s
e
旧 n
e e
A p p l ,一
他们 提 出 的状 态 转 换分 析 法 使 用 系 统 状 态 与 状 态转 换 的 表 达 式
描述 和检
测 已 知 的入 侵 手 段
1 9 94
CO A S T
攻击识 别 工 具 入 侵检 测 市 场 大约 到 1 9
正 开 始 启 动 并产 生利 润
e 出日
.
年才 真
,
旧 n
s
{n
e rn a
j C o 甲 o
r a t }o n
科学
M
ls u s e
使 用 反映 系 统 状
。
在这 年 3 月 安全 产 品 市 场 的 领 头羊 旧 S 公 司 正 式 推
a
。
应 用 国 际 公 司 ) 开发 了 一 款 基 于 主 机
态 转 换 的 图 表直观地 记 载 渗 透 细 节
ls
r
e e u re
的商 业 版 本
.
Re
“
。
a a
}S e ls
e 日 r e
的 旧 s 产 品 C M D S (C o
D
e
m pu t o
r
年 3 月
,
普渡 大 学计 算 机 系
a r
1 0 fo
W ln d o w
,
s
NT 4 0
Re
e e u re
te
。
C t ,o n
s 丫
s
t
e
m
计算机 误 用 检 测 系
实验 室 的
,
M
k
C 厂 o s
b 旧
和 G
e n e
将 基 于 主 机 和 基 于 网 络 的入 侵 检 测 技
术结合 起来
采 用 分 布 式 安全 体 系 结
。
统)
CM D S
应 用 在 U 刚 X 系 统 的服务 器
。
P s
r 甜 o d
研 究 了 遗传 算法在 入侵 检侧 中 他 们 使 用 遗 传算 法构 建 的智
a u
上 对 网 络 数据流 进 行 审计 追 踪分 析
的应 用
构
并找 出其 中 的可 疑 活 动 后来
其 大股东
术
分
。
s A c l
公
能代理 (
ton
o
m
o u s
A ge
n ts
) 程 序 能够
由 多 个检 测引 擎 监 控 不 同 的 网 络 并 向 中 央 管 理 控制 台 报告 引 擎
与 控
。
司 通 过购 买 0 0 5 网 络 公 司 的股 票成 为
。D S 0 0 5
n {
识 别 入侵 行 为
而 且这些
A 引网 项
。g e o t s
具有
。
公 司 因此
m
获得 C 网。S
公司
。
技
学习
”
用 户操 作 习 惯 的初步 智能
制 台 之 间的通 信 可 以 采 用 1 2 匕, t R s A 8 「 e 进 行加 密 和 认证 Re a ls e
e 。 可 以 对某
些 品 牌 的防 火 墙 置
、
不久
公 司 将其 {0 5 开 发 部 拆
c o
19 4 9
年
目 的 开 发 人 员组 u o
p
,
路 由 器进 行 重 新配
。
组建 成
t 「u s . o n
建成 商业 公
司 Whe } G r
他 们推 出
增 强 安 全防护 效 果
日 }s a e
C e
r U
e
以
.
0 2
3
9
计算机 安 全
t g
碗
技术
其高 性 能 简 洁性 和低 价 格 迅速 成 为 国 际 市 场 占有率 最 高的 旧 s
。
C 丫 e 「c 匕
o
p
使用
Ne tR a
n
ge
「
的 检 测 引擎 和
「
DDo S
)
e
。
。
20 0 0
年 2 月 以后
o
、
,
全球许 多著
、
攻 击 模 式库
n e 被 认 为 是 闪 e 泪 a g
。
的局
名 网站 如 Y a h o
日丫
u
、
C NN
、
F 日 l
Am
a z o 。
o
、
1 99 7
年 5 月
w
o 「
M e A fe
e
Ass
o e . 。t e :
域 网 管理 员 版
C 丫 e b
r
C 叩
公 司与
5
0 .
Ne t
k
G e n e 厂 a
l
公 司 ( 以研 制
,
十 「 怕 类探测 器 闻 名 )
o 「 k
合 并 成 立 了美
A
s s o e 旧 t e s
r o 的智 能 传 感 器 件 跟 踪 入 侵 的 管 理 服 务 器
(s
e n s
由监 视入 侵 ) 和记录可疑 事
。
B 即
、
S 旧
攻击
D Do S
等 都相 继 遭 受 D D S 攻击 引 发 了 对 旧 S 系 统 的
。
。
新 一 轮研 究 热 潮
19 98
国 网 络联 盟 (冈 e t w
NA I
In
:
,
(网 a n a g e m
e n t
Se
rv e 「
,
) 组成
Se n s o 「
}
自
) 公司
1997
年 6 月
A: d
剑 桥 大 学计 算 机实
A b .da 长 h o t t 欲
动 地 记 录 入 侵 细 节 并 用 标准 的助 f f r e 文 件 格 式 将 这 些 证 据 保
存 起来 由
S s
n lffe 「 n
;
「 o e e 年 1 2 月 Ma t y 日 s h 推 出 门 t 了 S 。 「 第 一 版 并 免 费 发 布其
源 代 码
。
Sno t r
是 基 于 网络 的 旧 S
。
验室 的
和 将 信 息 检 索技 术 整 合 到 入侵 检 测 中
立 索 引 信息
,
Ro
s s
e rs o n
解码 器
e 「
e (D
e o
d
e
Se
。
ov e r
) 或
技术
Sn o
t r
的早 期 版 本 功 能 较 弱
,
采 用 误 用检 测 经
,
下 f
a n
协 议分 析 器 识 别
.
虽然 与
o
过 众 多研 究 与 开 发 人 员 的 大 量 修 正 和
他们 采 用 的方 法 是 对 审 计 跟踪 数 据 建
s 使 用 贝 叶斯 ( 日即 e
旧。 )
Ne t
b 相 比 当时 的 C 丫 e r C p 缺 乏 一 些 企 业 应 用 的 特征 如 没 有 路 径备
g
,
R
e 「
改 进 功 能 逐 渐完善 目 前 已 成 为应 用
最 广 泛 的 旧 S 之 一 2 0 0 0 年 2 月 C A (C o m P u t e 「
s o C }日 t e s
。
推 理 等 统 计 算法 以 优 化 搜 索 过 程
放过 任何 一 个 异 常 的状态 和 操 作 有 效地 检测 出入侵 攻 击 { n 19 9 7 年 8
月 S h u h 一 尸 y g
i g V r
,
。
不
份 功能 等 但仍 然 受 到 市场 欢迎 成为
R e 。 }S
As 一
更
卜和
c e
e 。「
D 主 要竞争 者 之 一 刺激 了 I S
。
,
In t e r n a t , o n a
l)
公 司 发布抵 御 黑
wa l
te e t
产 品 的市 场 销 售
Sh
}e
客 攻 击的 新 工具 S
哥 伦 比亚 大学 的
e s 引 。n
一 3
(后 更
。
1 9 9 8
年
和
1 S
o
月
} O 引 {g o r
一 o r ,e
(
a 尸 tte rn
n ‘ e
提 出一 个 基 于 定 向 匹 配 d ) 技 术 的入侵 检 钡 模 (
lo
y
t :u s
{o n
.
六
e n
e 杖 L
e e
lv a t o r e
J
S t o {f o
将数
) T ust 名为 } 可 以 自动识 另」 络 使 用 模 式 和 网 络 使 网
e
T 「u s t In t 厂 u
s .o n
De
旧 n
e
「
据 挖 掘技 术 应 用 到 入 侵 检 测 中 序 和 用 户 的行 为 特征
19 9 8
型
19 3 7
利用 数 据 挖掘 中 的 关 联规 则等 算 法提 取 程 并根 据 这 些 特
。
用 具体 细节
据
;
做 到 全 面 地监 控 网 络数 e 可 以 对 四 b 和 公 司 内部 网 络访 问
。
年 9
S
月
e o
m
公司推
KS 网
出( 成
g a
e
:
Ka n e
e e o r !t
刚 o n }t o r
r
KS 刚 )
征 生 成 安 全 事件 的分 类 模 型 年 2 月
,
s 策 略 实施 监 视 和 强 制实 施 e 厂 T u 一 代 网 络保 护 产 品 的代表
。
t
是新
是基 于主机 的 旧 S
、
结 构 由三 部 分 组
、
审 计器
t n
e t 控制 台 代理 ( A g n S ) 。 实 时 监视 盯 的 日 志 并 将 统计结 这是
Ag
e
。
C
旧: 。
著名的 路 由器 厂 商 e 。 四 e } 亏 。p 公 司 成 功 h 通过 收 购
。
2 00 0 年 7
月
C {s
T
e o
公 司和 C I , e k Ne ,
hn
o
( C } kN
一 e
e
t
S
e c u r 一 y t
e e
lo g
一 s e
)公司
挺 进 入侵检测市 场 中
,
陇
t
日。n g e
r
的入 侵
宣 布联 合 开 发 用 于 电子 商 务的 入 侵检 公 司 的基 于 主 机 的 入 「 侵
检 测 产 品 任。 ‘e c P 技 术 先 进 同 e t ! S c 。 c 公 司 的安 全 入 侵 检 测 系 统
(S
e c 。「 e
果 送往 审计 器
t n
s
。
技术第 一
l c 检 测 技 术 被集成 到 C s
Ne t 日
C
}s a n
次 出现 的市 场 产 品 中 相关 测 试 g n 表 明 KS M 采 用 的 a e t 。 实时 监
视 技 术
l / 在 下 C 尸 户 入侵 检 测 方 面较 为 突 出 1 9 9 7 年 9 月 D . d {e : S a m f a 、
和 R e f . k
M 。 {、。提 出 了 一 个针 对移 动通 信 网 络安
。
在 }D S
g
e
的 系 列路 由器 「 e e 「 ( 后 被 更 名 为 S u e ID S )
。
。
r
1 :k 测系统 C c
。
Ne t
成为
o c 公 司 的招 牌产 品
1998
年
Ha y
s ta e
k
实验 室 与 S
C yb
e :
A jC
旧 s )
软 件 结合 以 后成 为 一套
。
.
的
c M DS Ce
产 品 研 制小 组 合 并
r
组 成新
S
a
全 方 位 的安 全 系列 产 品
2 00 0
公司
r 任。t
n t ro x
不 久 就被
,
fe
公
Ax
a e e 年 7 月 赛 门铁 克 ( S 丫 m n ‘ )
全 的 分 布 式 实时入 侵 检 侧 体 系 旧 A
(日 n
n } t r 口 s 旧 门 D e
MN fo
r
司 收购
o X
并 将 其基 于 主 机 的 旧 S 产 品
。
宣 布 收购
e n t
A
x e n t
Te
e
hn
o
lo g
. e 。
公司
de
。
t e e t lo n
Are h
e l 主 e t u r e
M o b 一 Ie 囚 e t w
19 97
o r
ks
)
。
。 。 改 称 c 。tr 又 这 是 市 场 上 第 一 o c D 款实 用 的 基 于 主 机的 I S H
y t 欠实 a s
u 公 司 基 于 主 机 的 旧 S 产 品 {n t 「
。
r A {e
t
T ( I A ) 是 基 于 规 则 的实 时 入侵 检
『
年 10 月
Ha
y
s
T ou
s te
。n
d In f o 「二 a t
、l e ‘
{o n
S ys
te
m
公 司 ( 以研 制 G 。
ta e
防火 墙著
199 7
v 「 e 「
验 室 的 另 一 部分 剩 余 人 员 仍 然 留 在 T r o s t e d l: f o r m o r 旧 n s y s t e m
s 公 司 后
r 测 系 统 基于 网 络 的 旧 S 产 品陇 t P o w
、
}e r
名 ) 收购 了 年
o 「
k
实验 室 并 于
x
来
T 「u
s te
d
In f o r m
。
a t .o n
s 丫 s t e m
s
公司
能 中 断 内部 和 外 部 的非授 权 使 用 误 用 和滥 用 赛 门铁 克 是 计 算机 安
全 领
。
12
月 发 布 了 为 微软 的 p r o
2 0
y
Se
l 又 被 闪 A 收购
19
、 域 的 领 导 者 收购 A 即 t 公 司 后 如 虎 添
r
NT
设 计 的 旧 S
~
一护
「 x o
y s t 日 Ik e
a u n
「
8 9 年 4 月
『
r T p*
. oe
.
.「 。 r ,
软件 包 被
,「 e
翼
n 日 te
这 时的 S t a 断入侵
19
lk 。「 产
品 都可 以 对 已
火墙 重 新 配 置
,
防 可 以 在发 现 入 侵时 阻
t
le t
商 业化 u c
「{
r 由 T
c
pw
(丁
。
pw
S
e
一
迅速扩大 了 在 旧 S 市 场 的 份额 I k 0 1 2 0 年 1 月 C . c Ne t 公司 改 名 为
,
。
y t
n I
) 公 司 维护
r
该软 件 包的
日 N I X
re e
pt
s
e e u r 一丫 t
Te
e
h
n o
}0 9 丫 司 公
。
该
商业 和 免 费 两 种 版 本能 在 多数
I 8 9 年 2 月 美 国 网 络联盟 ( N A )
,
。e 公 司 的旧 s 产 品 任 t
,
。 e :
t P
的 新 版本检 测
I 系 统 中运 行 是 UN
X
中最 有 用 的 工 具
n
o e 公 司 与 脚 卜 e {G : u P 合 作
将 Sn
e
ffe
。
强
p
之一
。
水 平 进 一 步 提 高 并 首 先 提 出入 侵 防 御概 念 在 系 统 请 求被执 行之前
即 在
网 络 系 统 受 到攻 击 之 前
大 的 网 络 分析 能 力 与 胃 h
闪 e
l e G
「。 。
1 99 8
年 5 月
d De
,
在!
l
o
t
e rn e
t
上 发生 了
Atta
e
将请 求 与 防
R n t a g
e 「
领 先 的攻击识 别 能 力 结合 起
C v 匕 e
r
第 一 例 分 布 式 拒 绝 服 务 攻 击
(D
一 t r 一 u t e s b n la
御 数 据 库 中 的 预 定 义 内容 进 行 比 较
夹
推出
C
o
p
旧
S
第一 版
。
f Se
e ry 一 e
k
然 后 根 据 相 应 的 安 全 级 别采取 不 同 的
一
20
讨 算 机安 全
班 沦:
入侵检测
与 漏 洞 扫描 专 辑
行 动 如 执行 请 求 忽 略 请 求 终 止 请 求或 记 入 日 志 等 2001 年 5 月
a F
匕, 。
。
,
、
、
D .pa
n
ka
「
Da
s
gu P t a
和
o z Gn
。{ : e
。
研 究 了入侵 检 测 的 智能
5 1 5 闪 e t w
决 策支 撑 系 统
闪
e
0 1 2 0 年 6 月
tw o
「
公 司 正 式 收购
o rk
k IC E
公司
。
IC E
公司 的
懂 博士 信箱
几 一
l 日}。。k c E
是 一个 性 能 卓越 的 旧 S
具备
业 界 先 进 的 碎片 重 组 功 能 出 较多 攻 击 方 式
能够 检 测 即 使在 网 络 负 载 较
。
重 的情 况 下 仍 然 能 够 胜 任
。
} 5 5
公司 的
市 场 领 导 地位 更 加 巩 固 5 2 。。2 年 3 月 1 5 公 司 发 布 集 成 了
闪 e t w
o r
k
IC 任公 司 已{a
:
e
仗 IC E
技术 的 网 络
o r
安全产 品
.
日 e
a
ls
e e u re
闪 e t w
k s
e n s o r
7 0
.
具 备 更 详 细 的协 议 分 析 功 能 和 更
。
出 色 的碎 片 重 组 能 力
如 果 配 合 旧 S 公
Gu
a o
司
e 同 时发 布 R
o
ls
e e u re
d
来 实现 与
防 火 墙 的联 动
法入侵
则可 以 利 用 协议分 析
技 术来 实时 分 析 是 否 存 在 对 网 络 的 非
当检 测 到 非 法 入侵 时 做 到 彻 5 底切 断 这 种 网 络 攻 击 1 5 公 司 发 布
的
。
臀
、 、
问
:
:
网 络安 全 威 胁 的
主 要 来 源有 哪 些 ?
:
答 威 胁 网 络 安全 的 主 要 来 源 包括 内部 人 员
、
叹 … 凳
E m a i}:
一
八
瀚彝
.
黝 豁撇熬蘸撇 彝撇撇撇缪蒸撇黝 馨魏撇
一
ns e
e
d it o
r
@ 16 3
e o
m
问
:
:
为 什 么 说 管理 比
技术 更 重 要 ?
答 其实还 有很 多 技 术 都 能 够 对 内部 防 护 发 挥作
技 术 报 告称
序
况下
利 用 其分 组 处理 驱 动 程 可 以 在 不 降低 网 络 通信速 度 的情
正 确地实 现 对 网 络 的高 速 监 控
20 0 2
。
,
( 包 括信 息 系 统 的 管理 者
使 用 者和
用
比 如 更 加 精 细 的 身 份 认 证 等等
, 。
决 策 者 ) 准 内 部 人 员 ( 包 括信 息 系统
但 是 这 些 技术 手 段 都 不 能 完全 解 决
问题 安 全 问题 是 三 分 技 术
,
年
6
月
En r e r e e
Pt
公 司 开始
提 供 更 先 进 的入 侵 防 御 软 件
阻 止 其发 生
能 够在
MOd
e
的 开 发 者 维 护者等 ) 特 殊 身份 人 员 ( 具 有 特 殊 身份 的 人 比如 审计
人 员 稽 查 人 员 记 者 等 ) 外 部 黑 客或
、
七分 管
,
理
。
即 使 采 用 了 最先进 的安 全 技 术
黑 客的攻 击 造 成 伤 害 之 前 采 取 行 动 来
小组
竞争 对 手
,
网 络 恐 怖组 织
。
军
如 果 不 对 人 员 的权 限 进 行有 效 合理 的
增 加 了 名为
,
V s }t u
事 组 织 或 国家 组 织 等
分配
,
就 会 越权操 作 如 果 没 有 对异
;
的先 进 封 锁 功 能
2。 。3
能 够锁住 重 要 的 操
常 事 件处理 的 流 程 和 规 范 真 遇 到 攻
作 系 统 文 件和设 置 年
,
防止 主 机被攻 击
。
全 球 众 多安全研 究机 构
都 在 开 展 入 侵检 测 的研 究
许 多新 的
入侵检 测 技 术 被 应 用 到 旧 S 产 品 中 几 十家 实 力雄 厚 的 国 际 性 大
厂 商 正 摩 拳 擦掌 域
。
答 美 国 政府 年颁 s C ’ 。 布 了 氏 S 标 准 旅 e 厂 o w En 即 p t n
s t
。门 d 。 。
拿
) d
。
,
问
:
:
什么 是 密钥 托 管
19 93
击时 就 会 不 知 所 措 如 果 没 有 明 确 的安全策 略 安 全 管理 员 将 无 法
进 行
正 常的 管理 如 果 没 有 对 内 部人 员 的
‘
( K E Y ES C RO W ) ?
全 面 培 训教 育 也 同 样 无 法 保 证 安全
工 作 能 够 落 实 到 每个 具 体 环 节
。
准备 瓜分 这 个 刚 开辟 出 来 的领
该 标 准体 现 了 一 种新 思
,
想 即 对 密 钥 实 行法定托 管 代理的机 制 如 果 向 法 院提供 的证 据 表 明 密
码使 用 者 是 利 用 密 码 在 进 行 危 及 国家
安 全 和 违 反 法 律 规定 的事经 过 法 院
系
要想 构 建一 个 完整 的安 全 管 理体
T 需 要对 原 有的 l 体 系 进行 许 多重
。
大 变革
国 际 信息 安全 管理标准 经在 20
0
入 侵 检 测 技 术 正 在 迅 速地 发 展
旧 S
日 5 7 7 9 9 已 7 }5 0 伟 7 9 9
2 年 1 月 被 采纳为
已 经 成 为 安 全 保护 产 品 的主 流
,
然
而 正 所谓 道 高 一 尺 魔高 一 丈
我
许 可 政府 可 以 从 托管代 理 机构 取 来 密 钥 参 数 经 过 合成 运 送
。
,
现 在 国 内已 经 有 了 第 一 批
主 任 审核 员
们 很 不 情 愿地 看 到 黑 客 们 的 入 侵 技 术
也在 不 断 更 新
阻 断入侵
。
就可 以 直
的 吕 5
大
。
7 79 9
相 信 这 样的
’‘
保 卫 网络
入侵 检 测 系统任 重 道远 O
接 侦 听通信 其 后 美 国政府进一 步 改 进并 提 出 了 密钥 托 管 ( K E 丫
ES C 日 O 四
信 息安全 管理专 才的 需 求 量 会 越来 越 信 息 安 全 的 发展 永远 是 伴 随着
“
‘’
‘
) 政策
希望 用 这 种办 法 加
。
强 政府对 密 码 使 用 的 调 控与 管 理
魔 和 道 的斗 争 具 决 定 性的 因素
。
’
,
最终 人 才 是 最
: 加。
.
:
汁 算 机安 全
1 2
1