◆譚菲菲

?

入侵防御系統(tǒng)（IPS）專利技術(shù)分析

◆譚菲菲

(國家知識產(chǎn)權(quán)局專利局專利審查協(xié)作四川中心 四川 610000)

入侵防御系統(tǒng)(IPS: Intrusion Prevention System)是計算機網(wǎng)絡(luò)中的一種安全設(shè)施系統(tǒng)，它主要通過監(jiān)控網(wǎng)絡(luò)設(shè)備以及監(jiān)控網(wǎng)絡(luò)設(shè)備對信息的傳輸，從而實時地中斷、調(diào)整或隔離一些具有風險性、危害性的網(wǎng)絡(luò)信息傳輸行為。本文通過對入侵防護技術(shù)專利文獻的收集和梳理，分析了入侵防護技術(shù)的專利申請、技術(shù)原創(chuàng)國以及主要申請人的情況，重點研究基于入侵防御系統(tǒng)技術(shù)的發(fā)展路線。最后通過重點專利分析，對入侵防御系統(tǒng)的發(fā)展歷程做了簡單總結(jié)。

IPS；入侵防御系統(tǒng)；檢測

0 引言

使用入侵防御系統(tǒng)的意義，在于有效地識別網(wǎng)絡(luò)攻擊程序，病毒代碼、及其克隆和變種，通過采取提前預防的措施，提前阻止危險入侵，從而保證計算機系統(tǒng)的可靠性。

入侵防御系統(tǒng)可以降低計算機網(wǎng)絡(luò)管理員在系統(tǒng)安全異常處理上的開銷，它能識別業(yè)界明確的網(wǎng)絡(luò)攻擊行為，對計算機網(wǎng)絡(luò)、數(shù)據(jù)造成的惡意攻擊行為進行有效檢測和防御。

入侵防御系統(tǒng)基于已知病毒特征來進行防御攔截，但它并不僅僅依賴于識別已知病毒特征，它和其他網(wǎng)絡(luò)安全系統(tǒng)類似，在信息的傳輸過程中通過識別的攻擊代碼的特點，過濾掉有害信息流，刪除有害數(shù)據(jù)包，進而保存，用于后續(xù)的數(shù)據(jù)分析。

另外，入侵防御系統(tǒng)結(jié)合計算機網(wǎng)路傳輸過程中的異常場景，通過有效分析，以及系統(tǒng)自身的鍛煉和學習，從而進行精準的入侵識別和網(wǎng)絡(luò)安全保護。

1 入侵防御系統(tǒng)種類分析

入侵防御系統(tǒng)是由入侵檢測系統(tǒng)（IDS）發(fā)展而來，兼有防火墻的一部分功能。

基于計算機網(wǎng)絡(luò)中數(shù)據(jù)的來源以及設(shè)備對象，它可以分為“基于主機的入侵防御系統(tǒng)（HIPS）”和“基于網(wǎng)絡(luò)的入侵防御系統(tǒng)（NIPS）”。

基于異常檢測的入侵防御系統(tǒng)根據(jù)攻擊類型和攔截方式又可分為“基于規(guī)則檢測的入侵防御系統(tǒng)”和“基于匹配檢測的入侵防御系統(tǒng)”（如：基于狀態(tài)模型、字符串匹配等）。

基于處理行為可以劃分為：“基于數(shù)據(jù)或應(yīng)用的異常檢測的主動防御”、“基于互聯(lián)網(wǎng)安全的攻擊防御”和“基于流量控制，保證關(guān)鍵應(yīng)用的資源”。

（1）基于數(shù)據(jù)或應(yīng)用的異常檢測的主動防御

入侵防御系統(tǒng)可以實時、主動攔截黑客攻擊、木馬、蠕蟲、DoS攻擊、網(wǎng)絡(luò)病毒等惡意數(shù)據(jù)，保護用戶的網(wǎng)絡(luò)架構(gòu)或信息系統(tǒng)，防止數(shù)據(jù)損壞或業(yè)務(wù)中斷。

（2）基于互聯(lián)網(wǎng)安全的攻擊防御

基于互聯(lián)網(wǎng)Web站點的安全保護，結(jié)合網(wǎng)絡(luò)安全等保護技術(shù)，在訪問惡意網(wǎng)站時保護用戶的數(shù)據(jù)或網(wǎng)絡(luò)不受攻擊，實時、有效地攔截威脅。

（3）基于流量控制，保證關(guān)鍵應(yīng)用的資源

通過控制非關(guān)鍵應(yīng)用的流量，阻斷非授權(quán)應(yīng)用的流量，從而實現(xiàn)網(wǎng)絡(luò)資源的合理利用，保證關(guān)鍵應(yīng)用的網(wǎng)絡(luò)資源或應(yīng)用帶寬，提升企業(yè)網(wǎng)絡(luò)系統(tǒng)的利用率以及收益比。

2 技術(shù)發(fā)展概況和趨勢

2.1 歷年專利申請量分析

截至目前已公開的入侵防御系統(tǒng)技術(shù)相關(guān)的全球?qū)＠暾埩繛?398，中國申請量為513。由于 2016年之后申請的專利申請部分尚未公開，這并不能說明 2016 年專利申請量在下降。

2001年至 2005年，這也正是入侵防御系統(tǒng)產(chǎn)品發(fā)展的初期，入侵防御系統(tǒng)的全球申請量急劇增加。在當時隨著市場需求的推動下，業(yè)界安全領(lǐng)域的大公司一一推出自己的入侵防御系統(tǒng)產(chǎn)品。 例如： NetScreen公司發(fā)布了NetScreen-IDP，ISS公司發(fā)布了Proventia，McAfee公司發(fā)布了IntruShield，賽門鐵克、思科、TippingPoint等公司也發(fā)布了入侵防御系統(tǒng)相關(guān)的產(chǎn)品。

接著，在 2005 年至 2010 年專利申請量也在迅速增長，期間在中國的專利申請量也開始呈快速上升趨勢，2005年9月綠盟科技發(fā)布國內(nèi)第一款擁有完全自主知識產(chǎn)權(quán)的入侵防御系統(tǒng)產(chǎn)品，2007年華為、華三、網(wǎng)康、啟明星辰等國內(nèi)安全領(lǐng)域的相關(guān)公司分別通過自主研發(fā)、技術(shù)合作以及OEM等多種方式，發(fā)布各自廠商的入侵防御系統(tǒng)方案或產(chǎn)品。

2.2 專利技術(shù)原創(chuàng)國分析

專利申請的地域分布可以反映出企業(yè)的市場重心特征。對入侵防御系統(tǒng)技術(shù)專利首次申請的所在國家和地區(qū)產(chǎn)權(quán)組織分布進行統(tǒng)計，得到入侵防御系統(tǒng)專利技術(shù)的原創(chuàng)國主要是美國、中國，其占據(jù)了所有專利申請的81%，是入侵防御系統(tǒng)技術(shù)最主要的技術(shù)市場。其次是日本、加拿大和韓國，這也與各國數(shù)據(jù)通信領(lǐng)域的技術(shù)發(fā)展有很大關(guān)系。

2.3 主要專利技術(shù)原創(chuàng)國申請量分析

美國在 2006 年以前，入侵防御系統(tǒng)技術(shù)的專利申請量一直處于業(yè)界領(lǐng)先。從 2007 年開始，中國數(shù)據(jù)通信領(lǐng)域發(fā)展迅猛，對網(wǎng)絡(luò)安全的重視程度飛速加強，專利申請量大大增加，在數(shù)量上緊追美國，出現(xiàn)不相上下的格局。

2.4 全球范圍內(nèi)專利主要申請人分析

全球入侵防御系統(tǒng)專利申請量第一的是IBM公司，該公司作為全球數(shù)據(jù)通信技術(shù)的巨頭，在入侵防御系統(tǒng)技術(shù)領(lǐng)域技術(shù)遙遙領(lǐng)先。另外在全球前十的申請人，中國包括華為、華三和北京啟明星辰。

2.5 國內(nèi)主要申請人分析

國內(nèi)申請量排名前5的申請人包括：華為、華三、北京啟明星辰、杭州迪普、神州綠盟。另外神州綠盟、杭州迪普、北京網(wǎng)康一直專注于安全領(lǐng)域，在入侵防御系統(tǒng)技術(shù)領(lǐng)域具有很強的競爭力。

3 技術(shù)發(fā)展路線

入侵防御系統(tǒng)最典型的當屬基于異常檢測的入侵防御系統(tǒng)，現(xiàn)針對入侵防御系統(tǒng)的技術(shù)發(fā)展路線分析覆蓋針對異常檢測、Web安全和流量控制的入侵防御系統(tǒng)。

2005年以前，入侵防御系統(tǒng)主要是通過檢測用戶業(yè)務(wù)數(shù)據(jù)流的方式判斷是否存在入侵，如專利申請 US20050176237A通過監(jiān)視輸入到節(jié)點的業(yè)務(wù)流的狀態(tài)，以確定業(yè)務(wù)流是否攜帶可疑數(shù)據(jù)業(yè)務(wù)，專利US2004030927A1通過設(shè)置數(shù)據(jù)流量表，接收并檢測與網(wǎng)絡(luò)流量相關(guān)聯(lián)的數(shù)據(jù)分組。也通過對接收到的URL進行分析判斷的方式，在可疑數(shù)據(jù)流到達Web服務(wù)器前進行阻斷，如專利申請US2005187934A1中入侵防御系統(tǒng)針對接收到的URL進行檢測，以阻止攻擊到達Web服務(wù)器。

2005年至2010年間，入侵防御系統(tǒng)技術(shù)領(lǐng)域的數(shù)據(jù)防御手段得到了繁榮發(fā)展。

異常檢測方面：專利申請CN101022343A提出：采取用戶數(shù)據(jù)報文信息，將數(shù)據(jù)報文信息與預設(shè)的處理策略進行規(guī)則匹配，從而進行入侵防御。而后專利申請CN101707601A提出：根據(jù)獲得的用戶數(shù)據(jù)報文信息的類型，調(diào)整狀態(tài)機中的檢測規(guī)則，通過狀態(tài)機對報文信息進行入侵行為檢測，從而進行入侵防御。同期，CN101035131A又提出將接收到的數(shù)據(jù)包與根據(jù)分層協(xié)議樹所確定的匹配條件進行匹配，根據(jù)匹配結(jié)果分層查找對應(yīng)的協(xié)議的方式進行入侵防御，同時，美國博通公司的專利申請US2008056487A1提出采取設(shè)置安全數(shù)據(jù)庫，用于存儲與事先確定的惡意軟件相對應(yīng)的樣本，采取將接收到的數(shù)據(jù)包與安全數(shù)據(jù)庫存儲的數(shù)據(jù)樣本進行比對的方式進行入侵檢測。

Web安全方面：專利申請US2007150574A1提出采取掃描數(shù)據(jù)包的方式阻止未被授權(quán)和惡意的消息進入Web服務(wù)器，同時專利申請US2008222080A1采取設(shè)置數(shù)據(jù)庫匹配的方式對Web網(wǎng)頁內(nèi)容進行檢測。

流量控制方面：專利申請US2008101234A1對輸入網(wǎng)絡(luò)流進行計數(shù)，采用閾值判斷的方式進行網(wǎng)絡(luò)威脅識別；專利申請CN101018156A通過測量出所占用帶寬與對應(yīng)的預先設(shè)置的帶寬門限值進行比較的方式限制數(shù)據(jù)流。

自2011 年以來，由于網(wǎng)絡(luò)入侵方式的層出不窮，因而應(yīng)對的入侵防御系統(tǒng)技術(shù)方案也顯得更加豐富。如專利申請CN102833263A提出的在傳輸層對數(shù)據(jù)包進行解碼和過濾，在應(yīng)用層對數(shù)據(jù)包進行會話流重組，采取減少處理數(shù)據(jù)量的方式提高入侵檢測的有效性；CN105991628A中基于網(wǎng)絡(luò)攻擊的會話日志，確定網(wǎng)絡(luò)攻擊源，專利申請CN102655474A通過對經(jīng)過業(yè)務(wù)控制設(shè)備的業(yè)務(wù)流的流量類型進行識別，從而對不同的流量執(zhí)行不同的帶寬控制。

4 重點專利分析

通過對重點專利進行分析，能夠從中發(fā)現(xiàn)行業(yè)的研究方向和重點，根據(jù)入侵防御系統(tǒng)的演進路線篩選出6 篇核心專利，具體分析如下：

4.1 US20030084322A1操作系統(tǒng)集成入侵檢測和反病毒系統(tǒng)的方法

本專利是由惠普公司于 2001 年提出的，其具體方案是通過將入侵防御系統(tǒng)與操作系統(tǒng)集成，用以監(jiān)視計算機資源，以檢測、預防和報告入侵企圖。防病毒體系更是與操作系統(tǒng)集成用以檢測數(shù)據(jù)流中的病毒等威脅，以及通過入侵防御系統(tǒng)響應(yīng)于所確定威脅的存在而阻止存在威脅數(shù)據(jù)流。

4.2 CN101022343A一種網(wǎng)絡(luò)入侵檢測/抵御系統(tǒng)及方法

該專利于2007年由華三公司提出。其具體方案是提取被訪問數(shù)據(jù)包的信息，將數(shù)據(jù)包信息與預設(shè)處理策略進行匹配，并進行匹配處理。策略對檢測到的數(shù)據(jù)包執(zhí)行消息檢測。除了對檢測到的數(shù)據(jù)包進行識別處理之外，還可以包括阻塞匹配處理策略丟棄的數(shù)據(jù)包或者直接輸出匹配的處理策略。對于發(fā)布的數(shù)據(jù)包，當遇到網(wǎng)絡(luò)異常（包括網(wǎng)絡(luò)擁塞或IDS / IPS系統(tǒng)遇到的DoS攻擊）時，執(zhí)行默認規(guī)則可能會導致網(wǎng)絡(luò)狀態(tài)進一步惡化。因此，匹配后，匹配不匹配。所述處理策略的數(shù)據(jù)包還包括識別當前網(wǎng)絡(luò)狀態(tài)是否異常，然后丟棄與處理策略不匹配的數(shù)據(jù)包；否則，根據(jù)默認的處理策略對與處理策略不匹配的數(shù)據(jù)包進行處理。默認的處理策略是檢測、釋放或丟棄。

4.3 CN101035111 A 一種智能協(xié)議解析方法

該專利于2007年由北京啟明星辰信息技術(shù)有限公司提出，是一種入侵檢測防御中使用的智能協(xié)議分析方法。它采用智能協(xié)議分析，不僅僅依賴協(xié)議端口和靜態(tài)協(xié)議特征字段，并且可以自動調(diào)整分析格式，以便在不同版本的軟件中使用時提供準確的協(xié)議分析結(jié)果。本發(fā)明通過建立協(xié)議特征模型，協(xié)議識別和協(xié)議智能分析和糾正，解決了傳統(tǒng)的非標準端口入侵防御系統(tǒng)產(chǎn)品的問題。對于沒有靜態(tài)數(shù)據(jù)包特征字段的網(wǎng)絡(luò)協(xié)議的識別問題，同時對于某些應(yīng)用軟件或協(xié)議的不同版本，分析結(jié)果的錯誤，可以提供一個自動校正工作。

4.4 US2008101234A1應(yīng)用分布式閾值隨機漫步的潛在網(wǎng)絡(luò)威脅識別

本專利于2008年由juniper公司提出，具體方案是確定從網(wǎng)絡(luò)上的主機設(shè)備，確定該設(shè)備經(jīng)由多個網(wǎng)絡(luò)路徑發(fā)送的網(wǎng)絡(luò)流的數(shù)量，判斷該發(fā)送的網(wǎng)絡(luò)流量數(shù)量之間的差異是否超過閾值，其中閾值用于表示入侵防護設(shè)備懷疑主機設(shè)備正遭受攻擊的等級，當確定該差值超過閾值時，重新路由來自該主機設(shè)備的網(wǎng)絡(luò)流量。

4.5 CN101707601A入侵防御檢測方法、裝置和網(wǎng)關(guān)設(shè)備

本專利于2010年由華賽公司提出，具體方案根據(jù)當前網(wǎng)絡(luò)中獲得的消息類型，通過使用狀態(tài)機進行檢測，實時調(diào)整它的檢測規(guī)則，利用狀態(tài)機對當前網(wǎng)絡(luò)中的消息進行檢測，對有用的檢測規(guī)則進行特征匹配，相對于之前對所有報文進行檢測，該專利特征匹配的檢測規(guī)則少，而且可保證準確性。另外，如果在一定時間內(nèi)沒有在當前網(wǎng)絡(luò)中找到與狀態(tài)機中的檢測規(guī)則所使用的消息具有相同類型的消息，則消息類型的檢測規(guī)則也可以在狀態(tài)中被刪除，減少不必要的信息和檢測規(guī)則。

4.6 CN102833263A入侵檢測和防護的方法

本專利是由綠盟公司于2012年提出來的，其具體方案是在傳輸層對數(shù)據(jù)進行解碼以及濾除畸形、重疊、空洞和亂序等數(shù)據(jù)包后發(fā)送至應(yīng)用層，以及在經(jīng)過應(yīng)用層解碼后有針對性選擇性的對數(shù)據(jù)進行會話流重組，形成完整的會話流。再通過對該完整的會話流與攻擊特征庫進行匹配，以發(fā)現(xiàn)該會話流中是否存在攻擊行為或者攻擊企圖，對存在攻擊行為或者攻擊企圖會話流采取數(shù)據(jù)隔離或者刪除等措施，保障網(wǎng)絡(luò)安全。由于應(yīng)用層為最高層，傳輸至該層的數(shù)據(jù)較其他各層的數(shù)據(jù)量小，此外還對數(shù)據(jù)進行過濾濾除畸形、重疊、空洞和亂序等數(shù)據(jù)包，以及根據(jù)會話流重組協(xié)議列表有針對性、選擇性地進行會話流重組。因此，減少了進 行安全檢測匹配的數(shù)據(jù)量，從而提高了入侵檢測的有效性和準確性。

5 結(jié)語

本文對入侵防御系統(tǒng)的分支、技術(shù)演進、專利申請態(tài)勢、重要申請等方面進行了分析?？偟貋砜?，自入侵防御系統(tǒng)技術(shù)和產(chǎn)品推出以來，很快受到各方面的關(guān)注，很多網(wǎng)絡(luò)安全方面的領(lǐng)頭企業(yè)都開始投入到該產(chǎn)品的研究，并逐漸推出自己的入侵防御系統(tǒng)產(chǎn)品。我國在該行業(yè)的起步較晚，但后期發(fā)展趨勢較好，許多公司都開發(fā)出了具有核心競爭力的產(chǎn)品。

[1]賈雷.下一代網(wǎng)絡(luò)入侵防御研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013.

[2]賈大云.計算機網(wǎng)絡(luò)安全的現(xiàn)狀和防御技術(shù)[J].硅谷， 2014.

[3]王嬋瓊.入侵防御系統(tǒng)的實現(xiàn)與核心技術(shù)淺析[J].科技傳播，2015.