入侵检测发展历史

A. 神州数码网络有限公司的发展简史

1997年神州数码进入网络市场；
1999年推出自有品牌的全系列网络产品；
2000年正式组建神州数码网络有限公司，成为国内领先的网络互联设备及解决方案提供商；
2002年，在国内率先提出了构建智能、安全企业级骨干网的思想，并推出了运营商级的核心路由交换机；
2003年，提出了建设智能、安全、可运营网络的方向和构建3S网络的架构；
2004年，在“分布安全、有序管理”的主题下，发布了基于各个层级网络应用的企业网全线网络新品，全面提出D2SMP分布式安全域管理策略，诠释了新一代网络的最新技术主张；
2005年，针对目前的网络安全状况适时提出了3D-SMP（Dynamic Distributed Defense-Security、Management、Policy）解决方案，该方案是以安全管理平台DC-GSM为核心，以神州数码防火墙、网络入侵检测系统、安全管理平台、802.1X交换机、802.1X客户端、DDP桌面保护系统为组成部分的网络安全解决方案;
2005年6月一次性通过全球“IPv6 Ready”认证测试，从IPv6 Ready Logo Committee获取IPv6 Ready Phase-1的认证。2005年9月顺利通过IPv6 Ready Phase－2的认证测试，使神州数码网络公司成为国内首家通过IPv6 Ready Phase-2认证的厂商，在IPv6方面成为国内领先企业，技术研发进一步保持国内外一线厂商行列。

B. 入侵检测系统的发展史

1980年的4月， James P. Anderson为美国空军做了一份题为“计算机安全威胁监控与监视”( Computer Security Threat Monitoring and Sur- veillance ) 的技术报告，这份报告被公认为是入侵检测的开山之作。
1986年，为检测用户对数据库异常访问，W. T.Tener在IBM主机上用COBOL开发的Discovery系统，成为最早的基于主机的IDS雏形之一。 1987年，乔治敦大学的Dorothy E. Denning提出了一个实时的入侵检测系统抽象模型——IDES（Intrusion Detection Expert System，入侵检测专家系统）
1990年是入侵检测系统发展史上的一个分水岭。
1994年，Mark Crosbie和Gene Spafford建议使用自治代理（autonomous agents）以便提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合正在进行的计算机科学其他领域（如软件代理，software agent）的研究。1995年开发了IDES完善后的版本——NIDES（Next-Generation Intrusion Detection System）可以检测多个主机上的入侵。 另一条致力于解决当代绝大多数入侵检测系统伸缩性不足的途径于1996年提出，这就是GrIDS（Graph-based Intrusion Detection System）的设计和实现，该系统使得对大规模自动或协同攻击的检测更为便利，这些攻击有时甚至可能跨过多个管理领域。 近些年来，入侵检测的主要创新包括：Forrest等将免疫原理运用到分布式入侵检测领域。1998年Ross Anderson和 Abida Khattak将信息检索技术引进到入侵检测。

C. 网络技术公司的发展历程！

给你一个参考

成立于2013年的河源市畅联信息技术有限公司（总部惠州畅通信息技术有限公司成立于2006年），是一家专注于信息安全、IT基础架构建设和企业级应用的高新科技企业，和全球范围内众多的顶尖IT厂商建立了良好的合作关系，致力于为政府部门、各大公司和分支机构提供领先的IT解决方案和与之相关的IT服务。是深信服科技、IP-guard、爱数EISOO、NOD32、蓝盾等安全厂商在河源的核心代理商及服务支持中心。
公司经过多年耕耘，在信息安全领域累积了丰富的项目案例和实施经验，建立起一支技术精湛、响应及时的服务团队，通过了SANGFOR、IP-guard、ESAFENET、NOD32、BLUEDON等安全产品的高级技术认证，以及CISCO、LINUX等多项认证，能为客户提供涵盖：售前咨询、方案规划、项目实施、应用培训、系统维护等全程服务支持。
畅联公司目前代理的产品有：SANGFOR、IP-guard、EISOO 、ESETNOD32、Trendmicro、Softnext、Bluedon、VMware、NOVELL、H3C、HP、IBM等，业务涵盖以下三大领域:
一、信息安全：1、基础安全：包括防病毒、防火墙、入侵检测/入侵防护、垃圾邮件防护等。
2、管理安全：包括上网行为管理、文件加密、网络准入控制、身份认证等。
3、应用安全:包括统一存储、数据备份容灾、业务连续性、应用交付、虚拟化等。
二、IT基础架构：包括路由器、交换机、服务器、机房环境、网络运维管理等。
三、企业级应用：操作系统、数据库、办公软件、高可用软件等。

D. 互联网发展史的90年代

E. 入侵检测系统的分类及功能

据其采用的技术可以分为异常检测和特征检测。 （1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成 （2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。 （3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。 根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。 （2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。 （3）分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。 根据工作方式分为离线检测系统与在线检测系统。（1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。 （2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

F. 简述入侵检测常用的四种方法

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1、特征检测

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2、异常检测

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

(6)入侵检测发展历史扩展阅读

入侵分类：

1、基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。

这种类型的检测系统不需要额外的硬件．对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。

2、基于网络

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。

此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。

但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

3、分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。

G. IDS的起源

1、1980年，James P. Anderson的《计算机安全威胁监控与监视》(《Computer Security Threat Monitoring and Surveillance》)
第一次详细阐述了入侵检测的概念;提出计算机系统威胁分类;提出了利用审计跟踪数据监视入侵活动的思想;此报告被公认为是入侵检测的开山之作。
2、1984年到1986年，乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型--IDES(入侵检测专家系统)
3、1990年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)
该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机
入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS
4、1988年之后，美国开展对分布式入侵检测系统(DIDS)的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。
5、从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。

H. 入侵检测系统的分类是什么

根据其采用的技术可以分为异常检测和特征检测。

（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成

（2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。

（3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。

根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。

（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。

（2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。

（3）分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。

根据工作方式分为离线检测系统与在线检测系统。

（1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。

（2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

I. 入侵检测技术基础的异常检测技术

●概率统计异常检来测
原理：每一个轮廓自保存记录主体当前行为，并定时将当前轮廓与历史轮廓合并形成统计轮廓（更新），通过比较当前轮廓与统计轮廓来判定异常行为。
优点：可应用成熟的概率统计理论
缺点：①由于用户行为的复杂性，要想准确地匹配一个用户的历史行为非常困难，容易造成系统误报和漏报；
②定义入侵阈值比较困难，阈值高则误报率提高，阈值低则漏报率增高。
●神经网络异常检测
原理：对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。
优点：①更好地表达了变量间的非线性关系，能更好地处理原始数据的随机特征，即不需要对这些数据做任何统计假设，并且能自动学习和更新；②有较好的抗干扰能力
缺点：网络拓扑结构以及各元素的权重很难确定