入侵检测技术综述

入侵检测技术综述

周天豪

国家知识产权局专利局专利审查协作天津中心天津市300304

摘要：Internet蓬勃发展到今天，计算机系统已经从独立的主机发展到复杂、互连的开放式系统，这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息，早已成为人们重要的沟通方式之一，随之而来的各种攻击事件与入侵手法更是层出不穷，引发了一系列安全问题。本文从专利文献的视角对入侵检测技术的发展进行了全面的分析与研究，总结了与入侵检测技术相关的专利申请基本情况，介绍了入侵检测技术分支及其发展路线。

关键词：入侵检测，主机，网络，混合型。

1、概述

随着个人、企业和政府机构日益依赖于Internet进行通讯，协作及销售。对安全解决方案的需求急剧增长。入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性。

入侵检测（IntrusionDetection，ID）,顾名思义，是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem,IDS）。一般而言，入侵检测通过网络封包或信息的收集，检测可能的入侵行为，并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的，入侵检测系统应包含3个必要功能的组件：信息来源、分析引擎和响应组件。

2、专利申请分析

2.1入侵检测技术专利申请年代分布

图2-1示出了入侵检测技术专利申请的年代分布情况，可见，入侵检测技术在上个世纪九十年代已经出现了少量的专利申请，进入二十一世纪，入侵检测技术专利申请逐年大幅递增，到了05、06年左右达到了一个极大值，从06年开始，往后的五年申请量逐渐减少，到了10年前后达到了一个极小值，随后又开始逐年递增，并且在近三年达到了一个峰值，考虑到17年和18年存在部分专利尚未公开的情况，该峰值或许还会增大。总体来说，近二十年入侵检测技术专利申请量是逐年递增的，随着黑客技术的不断增强，入侵检测系统也在不断升级，这催生了越来越多的专利申请。

2.2中国入侵检测专利年申请量分布

图2-2示出了入侵检测技术在中国专利申请年代的分布情况，从图中可知，2000年中国才开始有关于入侵检测的专利申请，之后的十几年里，中国关于入侵检测技术的申请量逐年递增且增幅明显，截止目前，尚有大量的专利申请未被公开，按照走向来看，2018年中国关于入侵检测技术的专利申请量有望创造新的峰值。相比于欧美发达国家，中国的计算机技术起步晚，因此在2000年前后才出现了关于入侵检测的专利申请，但是进入二十一世纪以后，中国的信息技术飞速发展，这也催生了大量的入侵检测技术的专利申请，相信未来几年，入侵检测专利申请量还会逐年递增。

2.3国内申请人申请量分析

本小节从专利申请主要申请人方面对入侵检测专利申请做了进一步的分析，主要对申请人数十年来的该领域的专利申请总量进行排名，取排名靠前的申请人进行分析。

从图2-3中可以看出，在入侵检测领域，国家电网公司处于领先地位，该公司在国内申请了大量专利，从而积极进行专利布局。排名2-5位的分别是电子科技大学、北京启明星辰信息技术股份有限公司、西安电子科技大学、李波，总体来说，不管是国网、华为等信息巨头公司还是各大高校，都对入侵检测技术极为重视，尤其是各大高校，信息安全是电类专业的重要组成部分，各大高校对入侵检测技术的科研投入量比较大，因此，在具体检索实践中，针对高校相关发明人的追踪检索显得尤为重要，往往能事半功倍。

3、专利技术

本节就入侵检测技术的三个方向，即基于主机的入侵检测、基于网络的入侵检测以及混合型入侵检测为索引，分析归纳，就入侵检测技术的技术演进进行介绍。

2007年，北京启明星辰信息技术有限公司提出了一种主机入侵检测系统，其核心是一种主机入侵检测方法，是在截获主机行为的基础之上，寻找主机行为与入侵行为间的关联性，并根据规则定义，产生报警和其它指定行为。2014年，重庆大学的罗钧、李义军等人提出了一种基于模糊隐条件随机场模型的网络入侵检测方法，解决的技术问题是改善现有网络入侵检测的效果。本发明利用网络数据采集工具收集网络实例，随机选取正常网络实例和异常网络实例作为模糊隐条件随机场模型的训练数据集，实例之间相互独立。2015年，南京未来网络产业创新有限公司提出了一种防御DoS攻击的方法，该方法基于分布式IDS机构，首先通过制定机构内安全主机间建立连接的规则使攻击者无法通过网络扫描和数据包监听来定位关键IDS部件；其次在IDS受到攻击时，利用移动agent技术转移关键部件，并且用备份agent实时替代失效的关键agent保证IDS机构的完整性。

4、小结

从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，笔者认为，除了完善常规的、传统的技术外，应重点加强统计分析的相关技术研究。

参考文献

[1]基于特征选择和支持向量机的异常检测[J].肖海军,王小非,洪帆,崔国华.华中科技大学学报(自然科学版).2008(03).

[2]基于多层特征匹配的网络入侵检测系统[J].李韦韦,陈海,徐振朋.计算机应用与软件.2008(02).

[3]入侵检测系统利用信息熵检测网络攻击的方法[J].夏秦,王志文,卢柯.西安交通大学学报.2013(02).