◆谭菲菲



入侵防御系统（IPS）专利技术分析

◆谭菲菲

(国家知识产权局专利局专利审查协作四川中心 四川 610000)

入侵防御系统(IPS: Intrusion Prevention System)是计算机网络中的一种安全设施系统，它主要通过监控网络设备以及监控网络设备对信息的传输，从而实时地中断、调整或隔离一些具有风险性、危害性的网络信息传输行为。本文通过对入侵防护技术专利文献的收集和梳理，分析了入侵防护技术的专利申请、技术原创国以及主要申请人的情况，重点研究基于入侵防御系统技术的发展路线。最后通过重点专利分析，对入侵防御系统的发展历程做了简单总结。

IPS；入侵防御系统；检测

0 引言

使用入侵防御系统的意义，在于有效地识别网络攻击程序，病毒代码、及其克隆和变种，通过采取提前预防的措施，提前阻止危险入侵，从而保证计算机系统的可靠性。

入侵防御系统可以降低计算机网络管理员在系统安全异常处理上的开销，它能识别业界明确的网络攻击行为，对计算机网络、数据造成的恶意攻击行为进行有效检测和防御。

入侵防御系统基于已知病毒特征来进行防御拦截，但它并不仅仅依赖于识别已知病毒特征，它和其他网络安全系统类似，在信息的传输过程中通过识别的攻击代码的特点，过滤掉有害信息流，删除有害数据包，进而保存，用于后续的数据分析。

另外，入侵防御系统结合计算机网路传输过程中的异常场景，通过有效分析，以及系统自身的锻炼和学习，从而进行精准的入侵识别和网络安全保护。

1 入侵防御系统种类分析

入侵防御系统是由入侵检测系统（IDS）发展而来，兼有防火墙的一部分功能。

基于计算机网络中数据的来源以及设备对象，它可以分为“基于主机的入侵防御系统（HIPS）”和“基于网络的入侵防御系统（NIPS）”。

基于异常检测的入侵防御系统根据攻击类型和拦截方式又可分为“基于规则检测的入侵防御系统”和“基于匹配检测的入侵防御系统”（如：基于状态模型、字符串匹配等）。

基于处理行为可以划分为：“基于数据或应用的异常检测的主动防御”、“基于互联网安全的攻击防御”和“基于流量控制，保证关键应用的资源”。

（1）基于数据或应用的异常检测的主动防御

入侵防御系统可以实时、主动拦截黑客攻击、木马、蠕虫、DoS攻击、网络病毒等恶意数据，保护用户的网络架构或信息系统，防止数据损坏或业务中断。

（2）基于互联网安全的攻击防御

基于互联网Web站点的安全保护，结合网络安全等保护技术，在访问恶意网站时保护用户的数据或网络不受攻击，实时、有效地拦截威胁。

（3）基于流量控制，保证关键应用的资源

通过控制非关键应用的流量，阻断非授权应用的流量，从而实现网络资源的合理利用，保证关键应用的网络资源或应用带宽，提升企业网络系统的利用率以及收益比。

2 技术发展概况和趋势

2.1 历年专利申请量分析

截至目前已公开的入侵防御系统技术相关的全球专利申请量为1398，中国申请量为513。由于 2016年之后申请的专利申请部分尚未公开，这并不能说明 2016 年专利申请量在下降。

2001年至 2005年，这也正是入侵防御系统产品发展的初期，入侵防御系统的全球申请量急剧增加。在当时随着市场需求的推动下，业界安全领域的大公司一一推出自己的入侵防御系统产品。 例如： NetScreen公司发布了NetScreen-IDP，ISS公司发布了Proventia，McAfee公司发布了IntruShield，赛门铁克、思科、TippingPoint等公司也发布了入侵防御系统相关的产品。

接着，在 2005 年至 2010 年专利申请量也在迅速增长，期间在中国的专利申请量也开始呈快速上升趋势，2005年9月绿盟科技发布国内第一款拥有完全自主知识产权的入侵防御系统产品，2007年华为、华三、网康、启明星辰等国内安全领域的相关公司分别通过自主研发、技术合作以及OEM等多种方式，发布各自厂商的入侵防御系统方案或产品。

2.2 专利技术原创国分析

专利申请的地域分布可以反映出企业的市场重心特征。对入侵防御系统技术专利首次申请的所在国家和地区产权组织分布进行统计，得到入侵防御系统专利技术的原创国主要是美国、中国，其占据了所有专利申请的81%，是入侵防御系统技术最主要的技术市场。其次是日本、加拿大和韩国，这也与各国数据通信领域的技术发展有很大关系。

2.3 主要专利技术原创国申请量分析

美国在 2006 年以前，入侵防御系统技术的专利申请量一直处于业界领先。从 2007 年开始，中国数据通信领域发展迅猛，对网络安全的重视程度飞速加强，专利申请量大大增加，在数量上紧追美国，出现不相上下的格局。

2.4 全球范围内专利主要申请人分析

全球入侵防御系统专利申请量第一的是IBM公司，该公司作为全球数据通信技术的巨头，在入侵防御系统技术领域技术遥遥领先。另外在全球前十的申请人，中国包括华为、华三和北京启明星辰。

2.5 国内主要申请人分析

国内申请量排名前5的申请人包括：华为、华三、北京启明星辰、杭州迪普、神州绿盟。另外神州绿盟、杭州迪普、北京网康一直专注于安全领域，在入侵防御系统技术领域具有很强的竞争力。

3 技术发展路线

入侵防御系统最典型的当属基于异常检测的入侵防御系统，现针对入侵防御系统的技术发展路线分析覆盖针对异常检测、Web安全和流量控制的入侵防御系统。

2005年以前，入侵防御系统主要是通过检测用户业务数据流的方式判断是否存在入侵，如专利申请 US20050176237A通过监视输入到节点的业务流的状态，以确定业务流是否携带可疑数据业务，专利US2004030927A1通过设置数据流量表，接收并检测与网络流量相关联的数据分组。也通过对接收到的URL进行分析判断的方式，在可疑数据流到达Web服务器前进行阻断，如专利申请US2005187934A1中入侵防御系统针对接收到的URL进行检测，以阻止攻击到达Web服务器。

2005年至2010年间，入侵防御系统技术领域的数据防御手段得到了繁荣发展。

异常检测方面：专利申请CN101022343A提出：采取用户数据报文信息，将数据报文信息与预设的处理策略进行规则匹配，从而进行入侵防御。而后专利申请CN101707601A提出：根据获得的用户数据报文信息的类型，调整状态机中的检测规则，通过状态机对报文信息进行入侵行为检测，从而进行入侵防御。同期，CN101035131A又提出将接收到的数据包与根据分层协议树所确定的匹配条件进行匹配，根据匹配结果分层查找对应的协议的方式进行入侵防御，同时，美国博通公司的专利申请US2008056487A1提出采取设置安全数据库，用于存储与事先确定的恶意软件相对应的样本，采取将接收到的数据包与安全数据库存储的数据样本进行比对的方式进行入侵检测。

Web安全方面：专利申请US2007150574A1提出采取扫描数据包的方式阻止未被授权和恶意的消息进入Web服务器，同时专利申请US2008222080A1采取设置数据库匹配的方式对Web网页内容进行检测。

流量控制方面：专利申请US2008101234A1对输入网络流进行计数，采用阈值判断的方式进行网络威胁识别；专利申请CN101018156A通过测量出所占用带宽与对应的预先设置的带宽门限值进行比较的方式限制数据流。

自2011 年以来，由于网络入侵方式的层出不穷，因而应对的入侵防御系统技术方案也显得更加丰富。如专利申请CN102833263A提出的在传输层对数据包进行解码和过滤，在应用层对数据包进行会话流重组，采取减少处理数据量的方式提高入侵检测的有效性；CN105991628A中基于网络攻击的会话日志，确定网络攻击源，专利申请CN102655474A通过对经过业务控制设备的业务流的流量类型进行识别，从而对不同的流量执行不同的带宽控制。

4 重点专利分析

通过对重点专利进行分析，能够从中发现行业的研究方向和重点，根据入侵防御系统的演进路线筛选出6 篇核心专利，具体分析如下：

4.1 US20030084322A1操作系统集成入侵检测和反病毒系统的方法

本专利是由惠普公司于 2001 年提出的，其具体方案是通过将入侵防御系统与操作系统集成，用以监视计算机资源，以检测、预防和报告入侵企图。防病毒体系更是与操作系统集成用以检测数据流中的病毒等威胁，以及通过入侵防御系统响应于所确定威胁的存在而阻止存在威胁数据流。

4.2 CN101022343A一种网络入侵检测/抵御系统及方法

该专利于2007年由华三公司提出。其具体方案是提取被访问数据包的信息，将数据包信息与预设处理策略进行匹配，并进行匹配处理。策略对检测到的数据包执行消息检测。除了对检测到的数据包进行识别处理之外，还可以包括阻塞匹配处理策略丢弃的数据包或者直接输出匹配的处理策略。对于发布的数据包，当遇到网络异常（包括网络拥塞或IDS / IPS系统遇到的DoS攻击）时，执行默认规则可能会导致网络状态进一步恶化。因此，匹配后，匹配不匹配。所述处理策略的数据包还包括识别当前网络状态是否异常，然后丢弃与处理策略不匹配的数据包；否则，根据默认的处理策略对与处理策略不匹配的数据包进行处理。默认的处理策略是检测、释放或丢弃。

4.3 CN101035111 A 一种智能协议解析方法

该专利于2007年由北京启明星辰信息技术有限公司提出，是一种入侵检测防御中使用的智能协议分析方法。它采用智能协议分析，不仅仅依赖协议端口和静态协议特征字段，并且可以自动调整分析格式，以便在不同版本的软件中使用时提供准确的协议分析结果。本发明通过建立协议特征模型，协议识别和协议智能分析和纠正，解决了传统的非标准端口入侵防御系统产品的问题。对于没有静态数据包特征字段的网络协议的识别问题，同时对于某些应用软件或协议的不同版本，分析结果的错误，可以提供一个自动校正工作。

4.4 US2008101234A1应用分布式阈值随机漫步的潜在网络威胁识别

本专利于2008年由juniper公司提出，具体方案是确定从网络上的主机设备，确定该设备经由多个网络路径发送的网络流的数量，判断该发送的网络流量数量之间的差异是否超过阈值，其中阈值用于表示入侵防护设备怀疑主机设备正遭受攻击的等级，当确定该差值超过阈值时，重新路由来自该主机设备的网络流量。

4.5 CN101707601A入侵防御检测方法、装置和网关设备

本专利于2010年由华赛公司提出，具体方案根据当前网络中获得的消息类型，通过使用状态机进行检测，实时调整它的检测规则，利用状态机对当前网络中的消息进行检测，对有用的检测规则进行特征匹配，相对于之前对所有报文进行检测，该专利特征匹配的检测规则少，而且可保证准确性。另外，如果在一定时间内没有在当前网络中找到与状态机中的检测规则所使用的消息具有相同类型的消息，则消息类型的检测规则也可以在状态中被删除，减少不必要的信息和检测规则。

4.6 CN102833263A入侵检测和防护的方法

本专利是由绿盟公司于2012年提出来的，其具体方案是在传输层对数据进行解码以及滤除畸形、重叠、空洞和乱序等数据包后发送至应用层，以及在经过应用层解码后有针对性选择性的对数据进行会话流重组，形成完整的会话流。再通过对该完整的会话流与攻击特征库进行匹配，以发现该会话流中是否存在攻击行为或者攻击企图，对存在攻击行为或者攻击企图会话流采取数据隔离或者删除等措施，保障网络安全。由于应用层为最高层，传输至该层的数据较其他各层的数据量小，此外还对数据进行过滤滤除畸形、重叠、空洞和乱序等数据包，以及根据会话流重组协议列表有针对性、选择性地进行会话流重组。因此，减少了进 行安全检测匹配的数据量，从而提高了入侵检测的有效性和准确性。

5 结语

本文对入侵防御系统的分支、技术演进、专利申请态势、重要申请等方面进行了分析。总地来看，自入侵防御系统技术和产品推出以来，很快受到各方面的关注，很多网络安全方面的领头企业都开始投入到该产品的研究，并逐渐推出自己的入侵防御系统产品。我国在该行业的起步较晚，但后期发展趋势较好，许多公司都开发出了具有核心竞争力的产品。

[1]贾雷.下一代网络入侵防御研究[J].网络安全技术与应用，2013.

[2]贾大云.计算机网络安全的现状和防御技术[J].硅谷， 2014.

[3]王婵琼.入侵防御系统的实现与核心技术浅析[J].科技传播，2015.