從實驗室原型研究到推出商業(yè)化產(chǎn)品、走向市場并獲得廣泛認同，入侵檢測系統(tǒng)（IDS）已經(jīng)走過了二十多年的風雨坎坷路。

概念的誕生

1980年4月，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》（計算機安全威脅監(jiān)控與監(jiān)視）的技術報告，第一次詳細闡述了入侵檢測的概念。他提出了一種對計算機系統(tǒng)風險和威脅的分類方法，并將威脅分為外部滲透、內部滲透和不法行為三種（如圖1所示），還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作。

模型的發(fā)展

從1984年到1986年，喬治敦大學的Dorothy Denning和SRI/CSL（SRI公司計算機科學實驗室）的Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模型，取名為IDES（入侵檢測專家系統(tǒng)）。該模型由六個部分組成：主體、對象、審計記錄、輪廓特征、異常記錄、活動規(guī)則。它獨立于特定的系統(tǒng)平臺、應用環(huán)境、系統(tǒng)弱點以及入侵類型，為構建入侵檢測系統(tǒng)提供了一個通用的框架。

1988年，SRI/CSL的Teresa Lunt等人改進了Denning的入侵檢測模型，并開發(fā)出了一個IDES。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng)，分別用于統(tǒng)計異常模型的建立和基于規(guī)則的特征分析檢測（如圖2所示）。

　
百花齊放的春天

1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。這一年，加州大學戴維斯分校的L. T. Heberlein等人開發(fā)出了NSM（Network Security Monitor）。該系統(tǒng)第一次直接將網(wǎng)絡流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉換成統(tǒng)一格式的情況下監(jiān)控異種主機。從此之后，入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡的IDS和基于主機的IDS。

1988年的莫里斯蠕蟲事件發(fā)生之后，網(wǎng)絡安全才真正引起了軍方、學術界和企業(yè)的高度重視。美國空軍、國家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國家實驗室、加州大學戴維斯分校、Haystack實驗室，開展對分布式入侵檢測系統(tǒng)（DIDS）的研究，將基于主機和基于網(wǎng)絡的檢測方法集成到一起，其總體結構如圖3所示。 

DIDS是分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品，它的檢測模型采用了分層結構，包括數(shù)據(jù)、事件、主體、上下文、威脅、安全狀態(tài)等6層。

從20世紀90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。目前，SRI/CSL、普渡大學、加州大學戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面的研究代表了當前的最高水平。