從實驗室原型研究到推出商業化產品、走向市場并獲得廣泛認同，入侵檢測系統（IDS）已經走過了二十多年的風雨坎坷路。

概念的誕生

1980年4月，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》（計算機安全威脅監控與監視）的技術報告，第一次詳細闡述了入侵檢測的概念。他提出了一種對計算機系統風險和威脅的分類方法，并將威脅分為外部滲透、內部滲透和不法行為三種（如圖1所示），還提出了利用審計跟蹤數據監視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作。

模型的發展

從1984年到1986年，喬治敦大學的Dorothy Denning和SRI/CSL（SRI公司計算機科學實驗室）的Peter Neumann研究出了一個實時入侵檢測系統模型，取名為IDES（入侵檢測專家系統）。該模型由六個部分組成：主體、對象、審計記錄、輪廓特征、異常記錄、活動規則。它獨立于特定的系統平臺、應用環境、系統弱點以及入侵類型，為構建入侵檢測系統提供了一個通用的框架。

1988年，SRI/CSL的Teresa Lunt等人改進了Denning的入侵檢測模型，并開發出了一個IDES。該系統包括一個異常檢測器和一個專家系統，分別用于統計異常模型的建立和基于規則的特征分析檢測（如圖2所示）。

　
百花齊放的春天

1990年是入侵檢測系統發展史上的一個分水嶺。這一年，加州大學戴維斯分校的L. T. Heberlein等人開發出了NSM（Network Security Monitor）。該系統第一次直接將網絡流作為審計數據來源，因而可以在不將審計數據轉換成統一格式的情況下監控異種主機。從此之后，入侵檢測系統發展史翻開了新的一頁，兩大陣營正式形成：基于網絡的IDS和基于主機的IDS。

1988年的莫里斯蠕蟲事件發生之后，網絡安全才真正引起了軍方、學術界和企業的高度重視。美國空軍、國家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國家實驗室、加州大學戴維斯分校、Haystack實驗室，開展對分布式入侵檢測系統（DIDS）的研究，將基于主機和基于網絡的檢測方法集成到一起，其總體結構如圖3所示。 

DIDS是分布式入侵檢測系統歷史上的一個里程碑式的產品，它的檢測模型采用了分層結構，包括數據、事件、主體、上下文、威脅、安全狀態等6層。

從20世紀90年代到現在，入侵檢測系統的研發呈現出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。目前，SRI/CSL、普渡大學、加州大學戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面的研究代表了當前的最高水平。