入侵检测技术的发展历史

在1980，JamesP。安德森给一位机密客户写了一份题为《计算机安全威胁监控与监视》的技术报告，指出审计记录可以用来识别计算机滥用。他对威胁进行了分类，并首次阐述了入侵检测的概念。从1984到1986，乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann开发了一个实时入侵检测系统模型——IDES(入侵检测专家系统)，这是第一个在应用程序中同时使用统计和基于规则技术的系统，也是入侵检测研究中最有影响力的系统。1989年，加州大学戴维斯分校的ToddHeberlein写了一篇论文《ANetworkSecurityMonitor》。这种监控器用于捕获TCP/IP数据包，首次直接使用网络流量作为审计数据的来源，因此无需将审计数据转换成统一格式就可以监控异构主机，网络入侵检测由此诞生。