入侵防御系統（IPS）專利技術分析

◆譚菲菲

?

入侵防御系統（IPS）專利技術分析

◆譚菲菲

(國家知識產權局專利局專利審查協作四川中心 四川 610000)

入侵防御系統(IPS: Intrusion Prevention System)是計算機網絡中的一種安全設施系統，它主要通過監控網絡設備以及監控網絡設備對信息的傳輸，從而實時地中斷、調整或隔離一些具有風險性、危害性的網絡信息傳輸行為。本文通過對入侵防護技術專利文獻的收集和梳理，分析了入侵防護技術的專利申請、技術原創國以及主要申請人的情況，重點研究基于入侵防御系統技術的發展路線。最后通過重點專利分析，對入侵防御系統的發展歷程做了簡單總結。

IPS；入侵防御系統；檢測

0 引言

使用入侵防御系統的意義，在于有效地識別網絡攻擊程序，病毒代碼、及其克隆和變種，通過采取提前預防的措施，提前阻止危險入侵，從而保證計算機系統的可靠性。

入侵防御系統可以降低計算機網絡管理員在系統安全異常處理上的開銷，它能識別業界明確的網絡攻擊行為，對計算機網絡、數據造成的惡意攻擊行為進行有效檢測和防御。

入侵防御系統基于已知病毒特征來進行防御攔截，但它并不僅僅依賴于識別已知病毒特征，它和其他網絡安全系統類似，在信息的傳輸過程中通過識別的攻擊代碼的特點，過濾掉有害信息流，刪除有害數據包，進而保存，用于后續的數據分析。

另外，入侵防御系統結合計算機網路傳輸過程中的異常場景，通過有效分析，以及系統自身的鍛煉和學習，從而進行精準的入侵識別和網絡安全保護。

1 入侵防御系統種類分析

入侵防御系統是由入侵檢測系統（IDS）發展而來，兼有防火墻的一部分功能。

基于計算機網絡中數據的來源以及設備對象，它可以分為“基于主機的入侵防御系統（HIPS）”和“基于網絡的入侵防御系統（NIPS）”。

基于異常檢測的入侵防御系統根據攻擊類型和攔截方式又可分為“基于規則檢測的入侵防御系統”和“基于匹配檢測的入侵防御系統”（如：基于狀態模型、字符串匹配等）。

基于處理行為可以劃分為：“基于數據或應用的異常檢測的主動防御”、“基于互聯網安全的攻擊防御”和“基于流量控制，保證關鍵應用的資源”。

（1）基于數據或應用的異常檢測的主動防御

入侵防御系統可以實時、主動攔截黑客攻擊、木馬、蠕蟲、DoS攻擊、網絡病毒等惡意數據，保護用戶的網絡架構或信息系統，防止數據損壞或業務中斷。

（2）基于互聯網安全的攻擊防御

基于互聯網Web站點的安全保護，結合網絡安全等保護技術，在訪問惡意網站時保護用戶的數據或網絡不受攻擊，實時、有效地攔截威脅。

（3）基于流量控制，保證關鍵應用的資源

通過控制非關鍵應用的流量，阻斷非授權應用的流量，從而實現網絡資源的合理利用，保證關鍵應用的網絡資源或應用帶寬，提升企業網絡系統的利用率以及收益比。

2 技術發展概況和趨勢

2.1 歷年專利申請量分析

截至目前已公開的入侵防御系統技術相關的全球專利申請量為1398，中國申請量為513。由于 2016年之后申請的專利申請部分尚未公開，這并不能說明 2016 年專利申請量在下降。

2001年至 2005年，這也正是入侵防御系統產品發展的初期，入侵防御系統的全球申請量急劇增加。在當時隨著市場需求的推動下，業界安全領域的大公司一一推出自己的入侵防御系統產品。 例如： NetScreen公司發布了NetScreen-IDP，ISS公司發布了Proventia，McAfee公司發布了IntruShield，賽門鐵克、思科、TippingPoint等公司也發布了入侵防御系統相關的產品。

接著，在 2005 年至 2010 年專利申請量也在迅速增長，期間在中國的專利申請量也開始呈快速上升趨勢，2005年9月綠盟科技發布國內第一款擁有完全自主知識產權的入侵防御系統產品，2007年華為、華三、網康、啟明星辰等國內安全領域的相關公司分別通過自主研發、技術合作以及OEM等多種方式，發布各自廠商的入侵防御系統方案或產品。

2.2 專利技術原創國分析

專利申請的地域分布可以反映出企業的市場重心特征。對入侵防御系統技術專利首次申請的所在國家和地區產權組織分布進行統計，得到入侵防御系統專利技術的原創國主要是美國、中國，其占據了所有專利申請的81%，是入侵防御系統技術最主要的技術市場。其次是日本、加拿大和韓國，這也與各國數據通信領域的技術發展有很大關系。

2.3 主要專利技術原創國申請量分析

美國在 2006 年以前，入侵防御系統技術的專利申請量一直處于業界領先。從 2007 年開始，中國數據通信領域發展迅猛，對網絡安全的重視程度飛速加強，專利申請量大大增加，在數量上緊追美國，出現不相上下的格局。

2.4 全球范圍內專利主要申請人分析

全球入侵防御系統專利申請量第一的是IBM公司，該公司作為全球數據通信技術的巨頭，在入侵防御系統技術領域技術遙遙領先。另外在全球前十的申請人，中國包括華為、華三和北京啟明星辰。

2.5 國內主要申請人分析

國內申請量排名前5的申請人包括：華為、華三、北京啟明星辰、杭州迪普、神州綠盟。另外神州綠盟、杭州迪普、北京網康一直專注于安全領域，在入侵防御系統技術領域具有很強的競爭力。

3 技術發展路線

入侵防御系統最典型的當屬基于異常檢測的入侵防御系統，現針對入侵防御系統的技術發展路線分析覆蓋針對異常檢測、Web安全和流量控制的入侵防御系統。

2005年以前，入侵防御系統主要是通過檢測用戶業務數據流的方式判斷是否存在入侵，如專利申請 US20050176237A通過監視輸入到節點的業務流的狀態，以確定業務流是否攜帶可疑數據業務，專利US2004030927A1通過設置數據流量表，接收并檢測與網絡流量相關聯的數據分組。也通過對接收到的URL進行分析判斷的方式，在可疑數據流到達Web服務器前進行阻斷，如專利申請US2005187934A1中入侵防御系統針對接收到的URL進行檢測，以阻止攻擊到達Web服務器。

2005年至2010年間，入侵防御系統技術領域的數據防御手段得到了繁榮發展。

異常檢測方面：專利申請CN101022343A提出：采取用戶數據報文信息，將數據報文信息與預設的處理策略進行規則匹配，從而進行入侵防御。而后專利申請CN101707601A提出：根據獲得的用戶數據報文信息的類型，調整狀態機中的檢測規則，通過狀態機對報文信息進行入侵行為檢測，從而進行入侵防御。同期，CN101035131A又提出將接收到的數據包與根據分層協議樹所確定的匹配條件進行匹配，根據匹配結果分層查找對應的協議的方式進行入侵防御，同時，美國博通公司的專利申請US2008056487A1提出采取設置安全數據庫，用于存儲與事先確定的惡意軟件相對應的樣本，采取將接收到的數據包與安全數據庫存儲的數據樣本進行比對的方式進行入侵檢測。

Web安全方面：專利申請US2007150574A1提出采取掃描數據包的方式阻止未被授權和惡意的消息進入Web服務器，同時專利申請US2008222080A1采取設置數據庫匹配的方式對Web網頁內容進行檢測。

流量控制方面：專利申請US2008101234A1對輸入網絡流進行計數，采用閾值判斷的方式進行網絡威脅識別；專利申請CN101018156A通過測量出所占用帶寬與對應的預先設置的帶寬門限值進行比較的方式限制數據流。

自2011 年以來，由于網絡入侵方式的層出不窮，因而應對的入侵防御系統技術方案也顯得更加豐富。如專利申請CN102833263A提出的在傳輸層對數據包進行解碼和過濾，在應用層對數據包進行會話流重組，采取減少處理數據量的方式提高入侵檢測的有效性；CN105991628A中基于網絡攻擊的會話日志，確定網絡攻擊源，專利申請CN102655474A通過對經過業務控制設備的業務流的流量類型進行識別，從而對不同的流量執行不同的帶寬控制。

4 重點專利分析

通過對重點專利進行分析，能夠從中發現行業的研究方向和重點，根據入侵防御系統的演進路線篩選出6 篇核心專利，具體分析如下：

4.1 US20030084322A1操作系統集成入侵檢測和反病毒系統的方法

本專利是由惠普公司于 2001 年提出的，其具體方案是通過將入侵防御系統與操作系統集成，用以監視計算機資源，以檢測、預防和報告入侵企圖。防病毒體系更是與操作系統集成用以檢測數據流中的病毒等威脅，以及通過入侵防御系統響應于所確定威脅的存在而阻止存在威脅數據流。

4.2 CN101022343A一種網絡入侵檢測/抵御系統及方法

該專利于2007年由華三公司提出。其具體方案是提取被訪問數據包的信息，將數據包信息與預設處理策略進行匹配，并進行匹配處理。策略對檢測到的數據包執行消息檢測。除了對檢測到的數據包進行識別處理之外，還可以包括阻塞匹配處理策略丟棄的數據包或者直接輸出匹配的處理策略。對于發布的數據包，當遇到網絡異常（包括網絡擁塞或IDS / IPS系統遇到的DoS攻擊）時，執行默認規則可能會導致網絡狀態進一步惡化。因此，匹配后，匹配不匹配。所述處理策略的數據包還包括識別當前網絡狀態是否異常，然后丟棄與處理策略不匹配的數據包；否則，根據默認的處理策略對與處理策略不匹配的數據包進行處理。默認的處理策略是檢測、釋放或丟棄。

4.3 CN101035111 A 一種智能協議解析方法

該專利于2007年由北京啟明星辰信息技術有限公司提出，是一種入侵檢測防御中使用的智能協議分析方法。它采用智能協議分析，不僅僅依賴協議端口和靜態協議特征字段，并且可以自動調整分析格式，以便在不同版本的軟件中使用時提供準確的協議分析結果。本發明通過建立協議特征模型，協議識別和協議智能分析和糾正，解決了傳統的非標準端口入侵防御系統產品的問題。對于沒有靜態數據包特征字段的網絡協議的識別問題，同時對于某些應用軟件或協議的不同版本，分析結果的錯誤，可以提供一個自動校正工作。

4.4 US2008101234A1應用分布式閾值隨機漫步的潛在網絡威脅識別

本專利于2008年由juniper公司提出，具體方案是確定從網絡上的主機設備，確定該設備經由多個網絡路徑發送的網絡流的數量，判斷該發送的網絡流量數量之間的差異是否超過閾值，其中閾值用于表示入侵防護設備懷疑主機設備正遭受攻擊的等級，當確定該差值超過閾值時，重新路由來自該主機設備的網絡流量。

4.5 CN101707601A入侵防御檢測方法、裝置和網關設備

本專利于2010年由華賽公司提出，具體方案根據當前網絡中獲得的消息類型，通過使用狀態機進行檢測，實時調整它的檢測規則，利用狀態機對當前網絡中的消息進行檢測，對有用的檢測規則進行特征匹配，相對于之前對所有報文進行檢測，該專利特征匹配的檢測規則少，而且可保證準確性。另外，如果在一定時間內沒有在當前網絡中找到與狀態機中的檢測規則所使用的消息具有相同類型的消息，則消息類型的檢測規則也可以在狀態中被刪除，減少不必要的信息和檢測規則。

4.6 CN102833263A入侵檢測和防護的方法

本專利是由綠盟公司于2012年提出來的，其具體方案是在傳輸層對數據進行解碼以及濾除畸形、重疊、空洞和亂序等數據包后發送至應用層，以及在經過應用層解碼后有針對性選擇性的對數據進行會話流重組，形成完整的會話流。再通過對該完整的會話流與攻擊特征庫進行匹配，以發現該會話流中是否存在攻擊行為或者攻擊企圖，對存在攻擊行為或者攻擊企圖會話流采取數據隔離或者刪除等措施，保障網絡安全。由于應用層為最高層，傳輸至該層的數據較其他各層的數據量小，此外還對數據進行過濾濾除畸形、重疊、空洞和亂序等數據包，以及根據會話流重組協議列表有針對性、選擇性地進行會話流重組。因此，減少了進 行安全檢測匹配的數據量，從而提高了入侵檢測的有效性和準確性。

5 結語

本文對入侵防御系統的分支、技術演進、專利申請態勢、重要申請等方面進行了分析。總地來看，自入侵防御系統技術和產品推出以來，很快受到各方面的關注，很多網絡安全方面的領頭企業都開始投入到該產品的研究，并逐漸推出自己的入侵防御系統產品。我國在該行業的起步較晚，但后期發展趨勢較好，許多公司都開發出了具有核心競爭力的產品。

[1]賈雷.下一代網絡入侵防御研究[J].網絡安全技術與應用，2013.

[2]賈大云.計算機網絡安全的現狀和防御技術[J].硅谷， 2014.

[3]王嬋瓊.入侵防御系統的實現與核心技術淺析[J].科技傳播，2015.