入侵检测系统全称为Intrusion Detection System,它从实验室原型研究到推出商业化产品、走向市场并获得广泛认同,入侵检测系统(IDS)已经走过了二十多年的风雨坎坷路。
概念的诞生
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。
1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)。该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。混合型的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外,文件的完整性检查工具也可看作是一类入侵检测产品,现在很多基于主机的IDS都集成了这个功能。
一个入侵检测产品通常由两部分组成:传感器(Sensor)与控制台(Console)。传感器可以是软件,主要安装在受保护主机的一套软件,也可以是硬件,通过网线连接到要保护的网络里。在大型的网络里可以有多个传感器来收集数据,传感器作用是负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理的作用,对传感器收集来的数据进行进一步的分析和对传感器进行配置,商品化的产品通常提供图形界面的控制台,这些控制台基本上都支持Windows NT平台。