上世纪90年代中期,商业入侵检测产品初现端倪,1994年出现了第一台入侵检测产品:ASIM。而到了1997年,Cisco将网络入侵检测集成到其路由器设备中,同年,ISS推出Realsecure,入侵检测系统正式进入主流网络安全产品阶段。
在这个时期,入侵检测通常被视作防火墙的有益补充,这个阶段用户已经能够逐渐认识到防火墙仅能对4层以下的攻击进行防御,而对那些基于数据驱动攻击或者被称为深层攻击的威胁行为无能为力。厂商们用得比较多的例子就是大厦保安与闭路监控系统的例子,防火墙相当于保安,入侵检测相当于闭路监控设备,那些绕过防火墙的攻击行为将在“企图作恶”时,被入侵检测系统逮个正着。
而后,在20001~2003年之间,蠕虫病毒大肆泛滥,红色代码、尼姆达、震荡波、冲击波此起彼伏。由于这些蠕虫多是使用正常端口,除非明确不需要使用此端口的服务,防火墙是无法控制和发现蠕虫传播的,反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测(就是前面提到的滥用检测,将针对漏洞的攻击代码结合病毒特征做成事件特征,当发现有该类事件发生,就可判断出现蠕虫。),一时间入侵检测名声大振,和防火墙、防病毒一起并称为“网络安全三大件”。
正当入侵检测概念如日中天之际,2003年GARTNER的一篇《入侵检测已死》的文章,带来了一个新的概念:入侵防御。在此之前,防火墙产品之所以不能做4层以上的分析,有一个原因就是分析性能跟不上,入侵检测产品由于采用旁路部署方式,对数据实时性的要求不是很高。当硬件发展和软件算法都足以支撑串行设备进行深层分析的时候,串接在网络中,对应用层的威胁行为也能发现并防御的产品需求就呼之欲出了。
一时间,入侵防御产品是入侵检测产品的升级版本,入侵检测产品没有用的言论甚嚣尘上。入侵检测产品是不是已经走到了产品生命周期的尽头,是不是已经没有人需要用入侵检测产品了呢?
