入侵檢測發展歷史

A. 神州數碼網路有限公司的發展簡史

1997年神州數碼進入網路市場；
1999年推出自有品牌的全系列網路產品；
2000年正式組建神州數碼網路有限公司，成為國內領先的網路互聯設備及解決方案提供商；
2002年，在國內率先提出了構建智能、安全企業級骨幹網的思想，並推出了運營商級的核心路由交換機；
2003年，提出了建設智能、安全、可運營網路的方向和構建3S網路的架構；
2004年，在「分布安全、有序管理」的主題下，發布了基於各個層級網路應用的企業網全線網路新品，全面提出D2SMP分布式安全域管理策略，詮釋了新一代網路的最新技術主張；
2005年，針對目前的網路安全狀況適時提出了3D-SMP（Dynamic Distributed Defense-Security、Management、Policy）解決方案，該方案是以安全管理平台DC-GSM為核心，以神州數碼防火牆、網路入侵檢測系統、安全管理平台、802.1X交換機、802.1X客戶端、DDP桌面保護系統為組成部分的網路安全解決方案;
2005年6月一次性通過全球「IPv6 Ready」認證測試，從IPv6 Ready Logo Committee獲取IPv6 Ready Phase-1的認證。2005年9月順利通過IPv6 Ready Phase－2的認證測試，使神州數碼網路公司成為國內首家通過IPv6 Ready Phase-2認證的廠商，在IPv6方面成為國內領先企業，技術研發進一步保持國內外一線廠商行列。

B. 入侵檢測系統的發展史

1980年的4月， James P. Anderson為美國空軍做了一份題為「計算機安全威脅監控與監視」( Computer Security Threat Monitoring and Sur- veillance ) 的技術報告，這份報告被公認為是入侵檢測的開山之作。
1986年，為檢測用戶對資料庫異常訪問，W. T.Tener在IBM主機上用COBOL開發的Discovery系統，成為最早的基於主機的IDS雛形之一。 1987年，喬治敦大學的Dorothy E. Denning提出了一個實時的入侵檢測系統抽象模型——IDES（Intrusion Detection Expert System，入侵檢測專家系統）
1990年是入侵檢測系統發展史上的一個分水嶺。
1994年，Mark Crosbie和Gene Spafford建議使用自治代理（autonomous agents）以便提高IDS的可伸縮性、可維護性、效率和容錯性，該理念非常符合正在進行的計算機科學其他領域（如軟體代理，software agent）的研究。1995年開發了IDES完善後的版本——NIDES（Next-Generation Intrusion Detection System）可以檢測多個主機上的入侵。 另一條致力於解決當代絕大多數入侵檢測系統伸縮性不足的途徑於1996年提出，這就是GrIDS（Graph-based Intrusion Detection System）的設計和實現，該系統使得對大規模自動或協同攻擊的檢測更為便利，這些攻擊有時甚至可能跨過多個管理領域。 近些年來，入侵檢測的主要創新包括：Forrest等將免疫原理運用到分布式入侵檢測領域。1998年Ross Anderson和 Abida Khattak將信息檢索技術引進到入侵檢測。

C. 網路技術公司的發展歷程！

給你一個參考

成立於2013年的河源市暢聯信息技術有限公司（總部惠州暢通信息技術有限公司成立於2006年），是一家專注於信息安全、IT基礎架構建設和企業級應用的高新科技企業，和全球范圍內眾多的頂尖IT廠商建立了良好的合作關系，致力於為政府部門、各大公司和分支機構提供領先的IT解決方案和與之相關的IT服務。是深信服科技、IP-guard、愛數EISOO、NOD32、藍盾等安全廠商在河源的核心代理商及服務支持中心。
公司經過多年耕耘，在信息安全領域累積了豐富的項目案例和實施經驗，建立起一支技術精湛、響應及時的服務團隊，通過了SANGFOR、IP-guard、ESAFENET、NOD32、BLUEDON等安全產品的高級技術認證，以及CISCO、LINUX等多項認證，能為客戶提供涵蓋：售前咨詢、方案規劃、項目實施、應用培訓、系統維護等全程服務支持。
暢聯公司目前代理的產品有：SANGFOR、IP-guard、EISOO 、ESETNOD32、Trendmicro、Softnext、Bluedon、VMware、NOVELL、H3C、HP、IBM等，業務涵蓋以下三大領域:
一、信息安全：1、基礎安全：包括防病毒、防火牆、入侵檢測/入侵防護、垃圾郵件防護等。
2、管理安全：包括上網行為管理、文件加密、網路准入控制、身份認證等。
3、應用安全:包括統一存儲、數據備份容災、業務連續性、應用交付、虛擬化等。
二、IT基礎架構：包括路由器、交換機、伺服器、機房環境、網路運維管理等。
三、企業級應用：操作系統、資料庫、辦公軟體、高可用軟體等。

D. 互聯網發展史的90年代

E. 入侵檢測系統的分類及功能

據其採用的技術可以分為異常檢測和特徵檢測。 （1）異常檢測：異常檢測的假設是入侵者活動異常於正常主體的活動，建立正常活動的「活動簡檔」，當前主體的活動違反其統計規律時，認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成 （2）特徵檢測：特徵檢測假設入侵者活動可以用一種模式來表示，然後將觀察對象與之進行比較，判別是否符合這些模式。 （3）協議分析：利用網路協議的高度規則性快速探測攻擊的存在。 根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。（1）基於主機的入侵檢測系統：通過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一，入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。 （2）基於網路的入侵檢測系統：基於網路的入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據，分析可疑現象。這類系統不需要主機提供嚴格的審計，對主機資源消耗少，並可以提供對網路通用的保護而無需顧及異構主機的不同架構。 （3）分布式入侵檢測系統：目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源於網路中的數據包，不同的是，它採用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子，該黑匣子相當於基於網路的入侵檢測系統，只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流，它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路數據，同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大，但對網路流量有一定的影響。 根據工作方式分為離線檢測系統與在線檢測系統。（1）離線檢測系統：離線檢測系統是非實時工作的系統，它在事後分析審計事件，從中檢查入侵活動。事後入侵檢測由網路管理人員進行，他們具有網路安全的專業知識，根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為，如果有就斷開連接，並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的，不具有實時性。 （2）在線檢測系統：在線檢測系統是實時聯機的檢測系統，它包含對實時網路數據包分析，實時主機審計分析。其工作過程是實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

F. 簡述入侵檢測常用的四種方法

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」，將當前主體的活動狀況與「活動簡檔」相比較，當違反其統計規律時，認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法，從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

(6)入侵檢測發展歷史擴展閱讀

入侵分類：

1、基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源，某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。

這種類型的檢測系統不需要額外的硬體．對網路流量不敏感，效率高，能准確定位入侵並及時進行反應，但是佔用主機資源，依賴於主機的可靠性，所能檢測的攻擊類型受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量，對獲取的網路數據進行處理，從中提取有用的信息，再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴操作系統作為檢測資源，可應用於不同的操作系統平台；配置簡單，不需要任何特殊的審計和登錄機制；可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動，無法得到主機系統的實時狀態，精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分布式

這種入侵檢測系統一般為分布式結構，由多個部件組成，在關鍵主機上採用主機入侵檢測，在網路關鍵節點上採用網路入侵檢測，同時分析來自主機系統的審計日誌和來自網路的數據流，判斷被保護系統是否受到攻擊。

G. IDS的起源

1、1980年，James P. Anderson的《計算機安全威脅監控與監視》(《Computer Security Threat Monitoring and Surveillance》)
第一次詳細闡述了入侵檢測的概念;提出計算機系統威脅分類;提出了利用審計跟蹤數據監視入侵活動的思想;此報告被公認為是入侵檢測的開山之作。
2、1984年到1986年，喬治敦大學的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一個實時入侵檢測系統模型--IDES(入侵檢測專家系統)
3、1990年，加州大學戴維斯分校的L. T. Heberlein等人開發出了NSM(Network Security Monitor)
該系統第一次直接將網路流作為審計數據來源，因而可以在不將審計數據轉換成統一格式的情況下監控異種主機
入侵檢測系統發展史翻開了新的一頁，兩大陣營正式形成：基於網路的IDS和基於主機的IDS
4、1988年之後，美國開展對分布式入侵檢測系統(DIDS)的研究，將基於主機和基於網路的檢測方法集成到一起。DIDS是分布式入侵檢測系統歷史上的一個里程碑式的產品。
5、從20世紀90年代到現在，入侵檢測系統的研發呈現出百家爭鳴的繁榮局面，並在智能化和分布式兩個方向取得了長足的進展。

H. 入侵檢測系統的分類是什麼

根據其採用的技術可以分為異常檢測和特徵檢測。

（1）異常檢測：異常檢測的假設是入侵者活動異常於正常主體的活動，建立正常活動的「活動簡檔」，當前主體的活動違反其統計規律時，認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成

（2）特徵檢測：特徵檢測假設入侵者活動可以用一種模式來表示，然後將觀察對象與之進行比較，判別是否符合這些模式。

（3）協議分析：利用網路協議的高度規則性快速探測攻擊的存在。

根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。

（1）基於主機的入侵檢測系統：通過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一，入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。

（2）基於網路的入侵檢測系統：基於網路的入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據，分析可疑現象。這類系統不需要主機提供嚴格的審計，對主機資源消耗少，並可以提供對網路通用的保護而無需顧及異構主機的不同架構。

（3）分布式入侵檢測系統：目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源於網路中的數據包，不同的是，它採用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子，該黑匣子相當於基於網路的入侵檢測系統，只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流，它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路數據，同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大，但對網路流量有一定的影響。

根據工作方式分為離線檢測系統與在線檢測系統。

（1）離線檢測系統：離線檢測系統是非實時工作的系統，它在事後分析審計事件，從中檢查入侵活動。事後入侵檢測由網路管理人員進行，他們具有網路安全的專業知識，根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為，如果有就斷開連接，並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的，不具有實時性。

（2）在線檢測系統：在線檢測系統是實時聯機的檢測系統，它包含對實時網路數據包分析，實時主機審計分析。其工作過程是實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

I. 入侵檢測技術基礎的異常檢測技術

●概率統計異常檢來測
原理：每一個輪廓自保存記錄主體當前行為，並定時將當前輪廓與歷史輪廓合並形成統計輪廓（更新），通過比較當前輪廓與統計輪廓來判定異常行為。
優點：可應用成熟的概率統計理論
缺點：①由於用戶行為的復雜性，要想准確地匹配一個用戶的歷史行為非常困難，容易造成系統誤報和漏報；
②定義入侵閾值比較困難，閾值高則誤報率提高，閾值低則漏報率增高。
●神經網路異常檢測
原理：對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。
優點：①更好地表達了變數間的非線性關系，能更好地處理原始數據的隨機特徵，即不需要對這些數據做任何統計假設，並且能自動學習和更新；②有較好的抗干擾能力
缺點：網路拓撲結構以及各元素的權重很難確定