入侵防御系統(tǒng)（IPS）專利技術(shù)分析

◆譚菲菲

?

入侵防御系統(tǒng)（IPS）專利技術(shù)分析

◆譚菲菲

(國(guó)家知識(shí)產(chǎn)權(quán)局專利局專利審查協(xié)作四川中心 四川 610000)

入侵防御系統(tǒng)(IPS: Intrusion Prevention System)是計(jì)算機(jī)網(wǎng)絡(luò)中的一種安全設(shè)施系統(tǒng)，它主要通過監(jiān)控網(wǎng)絡(luò)設(shè)備以及監(jiān)控網(wǎng)絡(luò)設(shè)備對(duì)信息的傳輸，從而實(shí)時(shí)地中斷、調(diào)整或隔離一些具有風(fēng)險(xiǎn)性、危害性的網(wǎng)絡(luò)信息傳輸行為。本文通過對(duì)入侵防護(hù)技術(shù)專利文獻(xiàn)的收集和梳理，分析了入侵防護(hù)技術(shù)的專利申請(qǐng)、技術(shù)原創(chuàng)國(guó)以及主要申請(qǐng)人的情況，重點(diǎn)研究基于入侵防御系統(tǒng)技術(shù)的發(fā)展路線。最后通過重點(diǎn)專利分析，對(duì)入侵防御系統(tǒng)的發(fā)展歷程做了簡(jiǎn)單總結(jié)。

IPS；入侵防御系統(tǒng)；檢測(cè)

0 引言

使用入侵防御系統(tǒng)的意義，在于有效地識(shí)別網(wǎng)絡(luò)攻擊程序，病毒代碼、及其克隆和變種，通過采取提前預(yù)防的措施，提前阻止危險(xiǎn)入侵，從而保證計(jì)算機(jī)系統(tǒng)的可靠性。

入侵防御系統(tǒng)可以降低計(jì)算機(jī)網(wǎng)絡(luò)管理員在系統(tǒng)安全異常處理上的開銷，它能識(shí)別業(yè)界明確的網(wǎng)絡(luò)攻擊行為，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)造成的惡意攻擊行為進(jìn)行有效檢測(cè)和防御。

入侵防御系統(tǒng)基于已知病毒特征來進(jìn)行防御攔截，但它并不僅僅依賴于識(shí)別已知病毒特征，它和其他網(wǎng)絡(luò)安全系統(tǒng)類似，在信息的傳輸過程中通過識(shí)別的攻擊代碼的特點(diǎn)，過濾掉有害信息流，刪除有害數(shù)據(jù)包，進(jìn)而保存，用于后續(xù)的數(shù)據(jù)分析。

另外，入侵防御系統(tǒng)結(jié)合計(jì)算機(jī)網(wǎng)路傳輸過程中的異常場(chǎng)景，通過有效分析，以及系統(tǒng)自身的鍛煉和學(xué)習(xí)，從而進(jìn)行精準(zhǔn)的入侵識(shí)別和網(wǎng)絡(luò)安全保護(hù)。

1 入侵防御系統(tǒng)種類分析

入侵防御系統(tǒng)是由入侵檢測(cè)系統(tǒng)（IDS）發(fā)展而來，兼有防火墻的一部分功能。

基于計(jì)算機(jī)網(wǎng)絡(luò)中數(shù)據(jù)的來源以及設(shè)備對(duì)象，它可以分為“基于主機(jī)的入侵防御系統(tǒng)（HIPS）”和“基于網(wǎng)絡(luò)的入侵防御系統(tǒng)（NIPS）”。

基于異常檢測(cè)的入侵防御系統(tǒng)根據(jù)攻擊類型和攔截方式又可分為“基于規(guī)則檢測(cè)的入侵防御系統(tǒng)”和“基于匹配檢測(cè)的入侵防御系統(tǒng)”（如：基于狀態(tài)模型、字符串匹配等）。

基于處理行為可以劃分為：“基于數(shù)據(jù)或應(yīng)用的異常檢測(cè)的主動(dòng)防御”、“基于互聯(lián)網(wǎng)安全的攻擊防御”和“基于流量控制，保證關(guān)鍵應(yīng)用的資源”。

（1）基于數(shù)據(jù)或應(yīng)用的異常檢測(cè)的主動(dòng)防御

入侵防御系統(tǒng)可以實(shí)時(shí)、主動(dòng)攔截黑客攻擊、木馬、蠕蟲、DoS攻擊、網(wǎng)絡(luò)病毒等惡意數(shù)據(jù)，保護(hù)用戶的網(wǎng)絡(luò)架構(gòu)或信息系統(tǒng)，防止數(shù)據(jù)損壞或業(yè)務(wù)中斷。

（2）基于互聯(lián)網(wǎng)安全的攻擊防御

基于互聯(lián)網(wǎng)Web站點(diǎn)的安全保護(hù)，結(jié)合網(wǎng)絡(luò)安全等保護(hù)技術(shù)，在訪問惡意網(wǎng)站時(shí)保護(hù)用戶的數(shù)據(jù)或網(wǎng)絡(luò)不受攻擊，實(shí)時(shí)、有效地?cái)r截威脅。

（3）基于流量控制，保證關(guān)鍵應(yīng)用的資源

通過控制非關(guān)鍵應(yīng)用的流量，阻斷非授權(quán)應(yīng)用的流量，從而實(shí)現(xiàn)網(wǎng)絡(luò)資源的合理利用，保證關(guān)鍵應(yīng)用的網(wǎng)絡(luò)資源或應(yīng)用帶寬，提升企業(yè)網(wǎng)絡(luò)系統(tǒng)的利用率以及收益比。

2 技術(shù)發(fā)展概況和趨勢(shì)

2.1 歷年專利申請(qǐng)量分析

截至目前已公開的入侵防御系統(tǒng)技術(shù)相關(guān)的全球?qū)＠暾?qǐng)量為1398，中國(guó)申請(qǐng)量為513。由于 2016年之后申請(qǐng)的專利申請(qǐng)部分尚未公開，這并不能說明 2016 年專利申請(qǐng)量在下降。

2001年至 2005年，這也正是入侵防御系統(tǒng)產(chǎn)品發(fā)展的初期，入侵防御系統(tǒng)的全球申請(qǐng)量急劇增加。在當(dāng)時(shí)隨著市場(chǎng)需求的推動(dòng)下，業(yè)界安全領(lǐng)域的大公司一一推出自己的入侵防御系統(tǒng)產(chǎn)品。 例如： NetScreen公司發(fā)布了NetScreen-IDP，ISS公司發(fā)布了Proventia，McAfee公司發(fā)布了IntruShield，賽門鐵克、思科、TippingPoint等公司也發(fā)布了入侵防御系統(tǒng)相關(guān)的產(chǎn)品。

接著，在 2005 年至 2010 年專利申請(qǐng)量也在迅速增長(zhǎng)，期間在中國(guó)的專利申請(qǐng)量也開始呈快速上升趨勢(shì)，2005年9月綠盟科技發(fā)布國(guó)內(nèi)第一款擁有完全自主知識(shí)產(chǎn)權(quán)的入侵防御系統(tǒng)產(chǎn)品，2007年華為、華三、網(wǎng)康、啟明星辰等國(guó)內(nèi)安全領(lǐng)域的相關(guān)公司分別通過自主研發(fā)、技術(shù)合作以及OEM等多種方式，發(fā)布各自廠商的入侵防御系統(tǒng)方案或產(chǎn)品。

2.2 專利技術(shù)原創(chuàng)國(guó)分析

專利申請(qǐng)的地域分布可以反映出企業(yè)的市場(chǎng)重心特征。對(duì)入侵防御系統(tǒng)技術(shù)專利首次申請(qǐng)的所在國(guó)家和地區(qū)產(chǎn)權(quán)組織分布進(jìn)行統(tǒng)計(jì)，得到入侵防御系統(tǒng)專利技術(shù)的原創(chuàng)國(guó)主要是美國(guó)、中國(guó)，其占據(jù)了所有專利申請(qǐng)的81%，是入侵防御系統(tǒng)技術(shù)最主要的技術(shù)市場(chǎng)。其次是日本、加拿大和韓國(guó)，這也與各國(guó)數(shù)據(jù)通信領(lǐng)域的技術(shù)發(fā)展有很大關(guān)系。

2.3 主要專利技術(shù)原創(chuàng)國(guó)申請(qǐng)量分析

美國(guó)在 2006 年以前，入侵防御系統(tǒng)技術(shù)的專利申請(qǐng)量一直處于業(yè)界領(lǐng)先。從 2007 年開始，中國(guó)數(shù)據(jù)通信領(lǐng)域發(fā)展迅猛，對(duì)網(wǎng)絡(luò)安全的重視程度飛速加強(qiáng)，專利申請(qǐng)量大大增加，在數(shù)量上緊追美國(guó)，出現(xiàn)不相上下的格局。

2.4 全球范圍內(nèi)專利主要申請(qǐng)人分析

全球入侵防御系統(tǒng)專利申請(qǐng)量第一的是IBM公司，該公司作為全球數(shù)據(jù)通信技術(shù)的巨頭，在入侵防御系統(tǒng)技術(shù)領(lǐng)域技術(shù)遙遙領(lǐng)先。另外在全球前十的申請(qǐng)人，中國(guó)包括華為、華三和北京啟明星辰。

2.5 國(guó)內(nèi)主要申請(qǐng)人分析

國(guó)內(nèi)申請(qǐng)量排名前5的申請(qǐng)人包括：華為、華三、北京啟明星辰、杭州迪普、神州綠盟。另外神州綠盟、杭州迪普、北京網(wǎng)康一直專注于安全領(lǐng)域，在入侵防御系統(tǒng)技術(shù)領(lǐng)域具有很強(qiáng)的競(jìng)爭(zhēng)力。

3 技術(shù)發(fā)展路線

入侵防御系統(tǒng)最典型的當(dāng)屬基于異常檢測(cè)的入侵防御系統(tǒng)，現(xiàn)針對(duì)入侵防御系統(tǒng)的技術(shù)發(fā)展路線分析覆蓋針對(duì)異常檢測(cè)、Web安全和流量控制的入侵防御系統(tǒng)。

2005年以前，入侵防御系統(tǒng)主要是通過檢測(cè)用戶業(yè)務(wù)數(shù)據(jù)流的方式判斷是否存在入侵，如專利申請(qǐng) US20050176237A通過監(jiān)視輸入到節(jié)點(diǎn)的業(yè)務(wù)流的狀態(tài)，以確定業(yè)務(wù)流是否攜帶可疑數(shù)據(jù)業(yè)務(wù)，專利US2004030927A1通過設(shè)置數(shù)據(jù)流量表，接收并檢測(cè)與網(wǎng)絡(luò)流量相關(guān)聯(lián)的數(shù)據(jù)分組。也通過對(duì)接收到的URL進(jìn)行分析判斷的方式，在可疑數(shù)據(jù)流到達(dá)Web服務(wù)器前進(jìn)行阻斷，如專利申請(qǐng)US2005187934A1中入侵防御系統(tǒng)針對(duì)接收到的URL進(jìn)行檢測(cè)，以阻止攻擊到達(dá)Web服務(wù)器。

2005年至2010年間，入侵防御系統(tǒng)技術(shù)領(lǐng)域的數(shù)據(jù)防御手段得到了繁榮發(fā)展。

異常檢測(cè)方面：專利申請(qǐng)CN101022343A提出：采取用戶數(shù)據(jù)報(bào)文信息，將數(shù)據(jù)報(bào)文信息與預(yù)設(shè)的處理策略進(jìn)行規(guī)則匹配，從而進(jìn)行入侵防御。而后專利申請(qǐng)CN101707601A提出：根據(jù)獲得的用戶數(shù)據(jù)報(bào)文信息的類型，調(diào)整狀態(tài)機(jī)中的檢測(cè)規(guī)則，通過狀態(tài)機(jī)對(duì)報(bào)文信息進(jìn)行入侵行為檢測(cè)，從而進(jìn)行入侵防御。同期，CN101035131A又提出將接收到的數(shù)據(jù)包與根據(jù)分層協(xié)議樹所確定的匹配條件進(jìn)行匹配，根據(jù)匹配結(jié)果分層查找對(duì)應(yīng)的協(xié)議的方式進(jìn)行入侵防御，同時(shí)，美國(guó)博通公司的專利申請(qǐng)US2008056487A1提出采取設(shè)置安全數(shù)據(jù)庫(kù)，用于存儲(chǔ)與事先確定的惡意軟件相對(duì)應(yīng)的樣本，采取將接收到的數(shù)據(jù)包與安全數(shù)據(jù)庫(kù)存儲(chǔ)的數(shù)據(jù)樣本進(jìn)行比對(duì)的方式進(jìn)行入侵檢測(cè)。

Web安全方面：專利申請(qǐng)US2007150574A1提出采取掃描數(shù)據(jù)包的方式阻止未被授權(quán)和惡意的消息進(jìn)入Web服務(wù)器，同時(shí)專利申請(qǐng)US2008222080A1采取設(shè)置數(shù)據(jù)庫(kù)匹配的方式對(duì)Web網(wǎng)頁內(nèi)容進(jìn)行檢測(cè)。

流量控制方面：專利申請(qǐng)US2008101234A1對(duì)輸入網(wǎng)絡(luò)流進(jìn)行計(jì)數(shù)，采用閾值判斷的方式進(jìn)行網(wǎng)絡(luò)威脅識(shí)別；專利申請(qǐng)CN101018156A通過測(cè)量出所占用帶寬與對(duì)應(yīng)的預(yù)先設(shè)置的帶寬門限值進(jìn)行比較的方式限制數(shù)據(jù)流。

自2011 年以來，由于網(wǎng)絡(luò)入侵方式的層出不窮，因而應(yīng)對(duì)的入侵防御系統(tǒng)技術(shù)方案也顯得更加豐富。如專利申請(qǐng)CN102833263A提出的在傳輸層對(duì)數(shù)據(jù)包進(jìn)行解碼和過濾，在應(yīng)用層對(duì)數(shù)據(jù)包進(jìn)行會(huì)話流重組，采取減少處理數(shù)據(jù)量的方式提高入侵檢測(cè)的有效性；CN105991628A中基于網(wǎng)絡(luò)攻擊的會(huì)話日志，確定網(wǎng)絡(luò)攻擊源，專利申請(qǐng)CN102655474A通過對(duì)經(jīng)過業(yè)務(wù)控制設(shè)備的業(yè)務(wù)流的流量類型進(jìn)行識(shí)別，從而對(duì)不同的流量執(zhí)行不同的帶寬控制。

4 重點(diǎn)專利分析

通過對(duì)重點(diǎn)專利進(jìn)行分析，能夠從中發(fā)現(xiàn)行業(yè)的研究方向和重點(diǎn)，根據(jù)入侵防御系統(tǒng)的演進(jìn)路線篩選出6 篇核心專利，具體分析如下：

4.1 US20030084322A1操作系統(tǒng)集成入侵檢測(cè)和反病毒系統(tǒng)的方法

本專利是由惠普公司于 2001 年提出的，其具體方案是通過將入侵防御系統(tǒng)與操作系統(tǒng)集成，用以監(jiān)視計(jì)算機(jī)資源，以檢測(cè)、預(yù)防和報(bào)告入侵企圖。防病毒體系更是與操作系統(tǒng)集成用以檢測(cè)數(shù)據(jù)流中的病毒等威脅，以及通過入侵防御系統(tǒng)響應(yīng)于所確定威脅的存在而阻止存在威脅數(shù)據(jù)流。

4.2 CN101022343A一種網(wǎng)絡(luò)入侵檢測(cè)/抵御系統(tǒng)及方法

該專利于2007年由華三公司提出。其具體方案是提取被訪問數(shù)據(jù)包的信息，將數(shù)據(jù)包信息與預(yù)設(shè)處理策略進(jìn)行匹配，并進(jìn)行匹配處理。策略對(duì)檢測(cè)到的數(shù)據(jù)包執(zhí)行消息檢測(cè)。除了對(duì)檢測(cè)到的數(shù)據(jù)包進(jìn)行識(shí)別處理之外，還可以包括阻塞匹配處理策略丟棄的數(shù)據(jù)包或者直接輸出匹配的處理策略。對(duì)于發(fā)布的數(shù)據(jù)包，當(dāng)遇到網(wǎng)絡(luò)異常（包括網(wǎng)絡(luò)擁塞或IDS / IPS系統(tǒng)遇到的DoS攻擊）時(shí)，執(zhí)行默認(rèn)規(guī)則可能會(huì)導(dǎo)致網(wǎng)絡(luò)狀態(tài)進(jìn)一步惡化。因此，匹配后，匹配不匹配。所述處理策略的數(shù)據(jù)包還包括識(shí)別當(dāng)前網(wǎng)絡(luò)狀態(tài)是否異常，然后丟棄與處理策略不匹配的數(shù)據(jù)包；否則，根據(jù)默認(rèn)的處理策略對(duì)與處理策略不匹配的數(shù)據(jù)包進(jìn)行處理。默認(rèn)的處理策略是檢測(cè)、釋放或丟棄。

4.3 CN101035111 A 一種智能協(xié)議解析方法

該專利于2007年由北京啟明星辰信息技術(shù)有限公司提出，是一種入侵檢測(cè)防御中使用的智能協(xié)議分析方法。它采用智能協(xié)議分析，不僅僅依賴協(xié)議端口和靜態(tài)協(xié)議特征字段，并且可以自動(dòng)調(diào)整分析格式，以便在不同版本的軟件中使用時(shí)提供準(zhǔn)確的協(xié)議分析結(jié)果。本發(fā)明通過建立協(xié)議特征模型，協(xié)議識(shí)別和協(xié)議智能分析和糾正，解決了傳統(tǒng)的非標(biāo)準(zhǔn)端口入侵防御系統(tǒng)產(chǎn)品的問題。對(duì)于沒有靜態(tài)數(shù)據(jù)包特征字段的網(wǎng)絡(luò)協(xié)議的識(shí)別問題，同時(shí)對(duì)于某些應(yīng)用軟件或協(xié)議的不同版本，分析結(jié)果的錯(cuò)誤，可以提供一個(gè)自動(dòng)校正工作。

4.4 US2008101234A1應(yīng)用分布式閾值隨機(jī)漫步的潛在網(wǎng)絡(luò)威脅識(shí)別

本專利于2008年由juniper公司提出，具體方案是確定從網(wǎng)絡(luò)上的主機(jī)設(shè)備，確定該設(shè)備經(jīng)由多個(gè)網(wǎng)絡(luò)路徑發(fā)送的網(wǎng)絡(luò)流的數(shù)量，判斷該發(fā)送的網(wǎng)絡(luò)流量數(shù)量之間的差異是否超過閾值，其中閾值用于表示入侵防護(hù)設(shè)備懷疑主機(jī)設(shè)備正遭受攻擊的等級(jí)，當(dāng)確定該差值超過閾值時(shí)，重新路由來自該主機(jī)設(shè)備的網(wǎng)絡(luò)流量。

4.5 CN101707601A入侵防御檢測(cè)方法、裝置和網(wǎng)關(guān)設(shè)備

本專利于2010年由華賽公司提出，具體方案根據(jù)當(dāng)前網(wǎng)絡(luò)中獲得的消息類型，通過使用狀態(tài)機(jī)進(jìn)行檢測(cè)，實(shí)時(shí)調(diào)整它的檢測(cè)規(guī)則，利用狀態(tài)機(jī)對(duì)當(dāng)前網(wǎng)絡(luò)中的消息進(jìn)行檢測(cè)，對(duì)有用的檢測(cè)規(guī)則進(jìn)行特征匹配，相對(duì)于之前對(duì)所有報(bào)文進(jìn)行檢測(cè)，該專利特征匹配的檢測(cè)規(guī)則少，而且可保證準(zhǔn)確性。另外，如果在一定時(shí)間內(nèi)沒有在當(dāng)前網(wǎng)絡(luò)中找到與狀態(tài)機(jī)中的檢測(cè)規(guī)則所使用的消息具有相同類型的消息，則消息類型的檢測(cè)規(guī)則也可以在狀態(tài)中被刪除，減少不必要的信息和檢測(cè)規(guī)則。

4.6 CN102833263A入侵檢測(cè)和防護(hù)的方法

本專利是由綠盟公司于2012年提出來的，其具體方案是在傳輸層對(duì)數(shù)據(jù)進(jìn)行解碼以及濾除畸形、重疊、空洞和亂序等數(shù)據(jù)包后發(fā)送至應(yīng)用層，以及在經(jīng)過應(yīng)用層解碼后有針對(duì)性選擇性的對(duì)數(shù)據(jù)進(jìn)行會(huì)話流重組，形成完整的會(huì)話流。再通過對(duì)該完整的會(huì)話流與攻擊特征庫(kù)進(jìn)行匹配，以發(fā)現(xiàn)該會(huì)話流中是否存在攻擊行為或者攻擊企圖，對(duì)存在攻擊行為或者攻擊企圖會(huì)話流采取數(shù)據(jù)隔離或者刪除等措施，保障網(wǎng)絡(luò)安全。由于應(yīng)用層為最高層，傳輸至該層的數(shù)據(jù)較其他各層的數(shù)據(jù)量小，此外還對(duì)數(shù)據(jù)進(jìn)行過濾濾除畸形、重疊、空洞和亂序等數(shù)據(jù)包，以及根據(jù)會(huì)話流重組協(xié)議列表有針對(duì)性、選擇性地進(jìn)行會(huì)話流重組。因此，減少了進(jìn) 行安全檢測(cè)匹配的數(shù)據(jù)量，從而提高了入侵檢測(cè)的有效性和準(zhǔn)確性。

5 結(jié)語

本文對(duì)入侵防御系統(tǒng)的分支、技術(shù)演進(jìn)、專利申請(qǐng)態(tài)勢(shì)、重要申請(qǐng)等方面進(jìn)行了分析?？偟貋砜?，自入侵防御系統(tǒng)技術(shù)和產(chǎn)品推出以來，很快受到各方面的關(guān)注，很多網(wǎng)絡(luò)安全方面的領(lǐng)頭企業(yè)都開始投入到該產(chǎn)品的研究，并逐漸推出自己的入侵防御系統(tǒng)產(chǎn)品。我國(guó)在該行業(yè)的起步較晚，但后期發(fā)展趨勢(shì)較好，許多公司都開發(fā)出了具有核心競(jìng)爭(zhēng)力的產(chǎn)品。

[1]賈雷.下一代網(wǎng)絡(luò)入侵防御研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013.

[2]賈大云.計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀和防御技術(shù)[J].硅谷， 2014.

[3]王嬋瓊.入侵防御系統(tǒng)的實(shí)現(xiàn)與核心技術(shù)淺析[J].科技傳播，2015.