984~1986 年，Denning 和 Neumann 在 SRI 公司设计并实现了著名的 IDES[4]。 它是早期最具影响力的入侵检测系统之一，利用统计分析实现了异常检测技术，并基 于规则实现了误用检测技术。

1987 年，Dorothy Denning 发表的论文“An Intrusion Detection Model”中提 出了入侵检测的基本模型[5]。从此开始，人们在入侵检测领域内开始了的大量研究工 作。68520

1988 年，Denning 和 Teresal 公布了他们的入侵检测专家系统(Intrusion Detection Expert System， IDES)，是 IDS 原型研制的典范[4]。

1989 年-1991 年，Stephen Smaha 设计开发了入侵检测系统 Haystack[6]，它被应用 在美国空军内部进行网络安全检测。

1991 年，Stephen Smaha 主持开发了一个分布式入侵检测系统(DIDS)。它有能力 在目标网络环境中跟踪特定用户的异常活动。

1996 年，Forrest 提出了将计算机免疫学用于入侵检测技术的理论。论文网

1997 年，Cisco 公司尝试在路由器中嵌入入侵检测技术。同时，ISS 公司发布了

Windows 平台上的 IDS，名为 RealSecure，由此带动了商用 IDS 的研究发展。

1998 年，Richard Lippmann 等人为 DARPA 进行了一次 IDS 的离线评估活动。他 们用的是人工合成的模拟数据，其测试结果影响着后来的 IDS 开发和评估工作。同年， Snort 问世，它是第一个开放源代码的采用网络误用检测模型的入侵检测系统。

1999 年，Wenke Lee 提出了数据挖掘技术框架，以用于入侵检测。 相比之下，国内的入侵检测研究工作开展的较晚。目前，依据发表的文献，主要

的研究方法并未超出国际上已有的方法范畴。工业界的主流产品有：东软的“NetEye”、 绿盟公司的“冰之眼”、联想的“网御”等。商业产品主要以误用检测为检测方式。