入侵检测系统(Intrusion Detection System,IDS)作为最常见的网络安全产品之一,已经得到了非常广泛的应用。但近年来随着入侵防御系统(Intrusion Prevention System,IPS)的异军突起,不断有人认为IPS是IDS的升级版本,甚至还有认为IDS没有用的言论出现。本文试从入侵检测系统的起源、成长和未来发展的几个角度出发进行分析,来看看到底入侵检测系统是“已死”还是“有发展”。
一般意义上,业界将James P. Anderson在1980年发布的那篇《Computer Security Threat Monitoring and Surveillance》作为入侵检测概念的最早起源,在这篇文章里,不仅将威胁分为了外部渗透、内部渗透和不法行为三种,还创造性的提出了将审计技术应用到对威胁的检测上来。没错,虽然不论厂商还是用户,都是先开发/拥有入侵检测产品,而后再考虑审计产品,但从单纯的技术上来说,入侵检测技术的确是起源于审计技术,所不同的是,入侵检测更关注“坏”的事件,而审计产品则更多关注“好”事件。
但这只是一个概念的起步,一直到1986年Dorothy Denning等人才在其论文An Intrusion Detection Model中给出了一个入侵检测的抽象模型IDES(入侵检测专家系统),并在1988年开发出一个IDES系统:
在这个模型的基础上,1990年Herberlein等人开发出了第一个真正意义上的入侵检测系统NSM(Network Security Monitor),在这个实物模型中,第一次采用了网络实时数据流而非历史存档信息作为检测数据的来源,这为入侵检测系统的产品化做出了巨大的贡献:再也不需要将各式各样的审计信息转化为统一格式后才能分析了,入侵检测开始逐步脱离“审计”的影子。谁也没有想到,过了不到10年的时间,审计产品反过来开始学习入侵检测产品的这种分析实时数据流的模式,这是另外一个话题,且按下不表。
