IPS
一:In-Plane Switching,平面转换
概述:由LG和Hitachi共同开发的广视角液晶显示技术。由于视角大,颜色显示准确,成为唯一能真实还原色彩的液晶面板,因而被广泛用于医疗,印刷,科研行业。近年随成本下降,加压驱动解决了IPS严重的响应问题,DFC技术提高了对比度问题,开始进入民用市场。
原理: IPS(In-Plane Switching,平面转换)技术是日立于2001推出的面板技术,它也被俗称为“Super TFT”。我们知道,传统LCD显示器的液晶分子一般都在垂直-平行状态间切换,MVA和PVA将之改良为垂直-双向倾斜的切换方式,而IPS技术与上述技术最大的差异就在于,不管在何种状态下液晶分子始终都与屏幕平行,只是在加电/常规状态下分子的旋转方向有所不同。注意,MVA、PVA液晶分子的旋转属于空间旋转(Z轴),而IPS液晶分子的旋转则属于平面内的旋转(X-Y轴)。为了配合这种结构,IPS要求对电极进行改良,电极做到了同侧,形成平面电场。这样的设计带来的问题是双重的,一方面可视角度问题得到了解决,另一方面由于液晶分子转动角度大、面板开口率低(光线透过率),所以IPS也有响应时间较慢和对比度较难提高的缺点。
二: Intrusion Prevention System , 入侵防御系统
入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施,是对防病毒软体(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害信得网络资料传输行为。
网路安全
随着电脑的广泛应用和网路的不断普及,来自网路内部和外部的危险和犯罪也日益增多。20年前,电脑病毒(电脑病毒)主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软体。而今天,不仅病毒数量剧增,质量提高,而且通过网路快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软体失效。
目前流行的攻击程序和有害代码如 DoS (Denial of Service),DDoS (Distributed DoS),暴力猜解(Brut-Force-Attack),埠扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软体的漏洞和缺陷钻空子、干坏事,让人防不胜防。
网路入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软体失效。比如,在病毒刚进入网路的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网路资源,这就是所谓Zero Day Attack。
防火墙可以根据英特网地址(IP-Addresses)或服务埠(Ports)过滤数据包。但是,它对于利用合法网址和埠而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。
每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。除病毒软体就是通过储存所有已知的病毒特征来辨认病毒的。
在ISO/OSI网路层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。
入侵预防系统也像入侵侦查系统一样,专门深入网路数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输重的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软体的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。
入侵预防技术
* 异常侦查。正如入侵侦查系统, 入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。
* 在遇到动态代码(ActiveX, JavaApplet,各种指令语言script languages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。
* 有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网路内部的有害代码实行有效阻止。
* 核心基础上的防护机制。用户程序通过系统指令享用资源 (如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。
* 对Library、Registry、重要文件和重要的文件夹进行防守和保护。
入侵预防系统类型
投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统
(HIPS: Hostbased Intrusion Prevension System)和网路入侵预防系统
(NIPS: Network Intrusion Prevension System)两种类型。
网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。
根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。
三:Image Packaging System 映像包管理系
Indiana全新的映像包管理系统(Image Packaging System,IPS)。在OpenSolaris Developer Preview版本当中包括了IPS的原型。虽然这个原型还没有实现所有的设计功能,但是我们还是可以根据这个原型来了解在下一代的Solaris操作系统中如何安装、升级和删除应用程序。IPS是一个软件生存周期管理(安装,升级和删除)的框架,它以包为单位来对软件进行管理。每个包使用一个出错管理资源标示(Fault Management Resource Identifier, FMRI)来代表。
四:应用诱导多能干细胞
美国哈佛大学研究人员采取添加特殊化合物的方法,将体细胞制造IPS的效率提高了100多倍。目前这项研究在大鼠实验中已获得成功,而在制造人类IPS时也可采取同样方法,以提高效率。该成果被业界称为IPS研究中的一大进步。
IPS是由一些多能遗传基因导入皮肤等细胞中制造而成。在制造过程中,美国研究人员使用了4种遗传基因,同时加入了7种包括可阻碍特定蛋白质合成的物质和酶在内的化合物,以研究其各自的制造效率。研究结果显示,没有添加化合物时,遗传基因的导入效率为0.01%—0.05%,而加入了一种叫“巴尔普罗酸”的蛋白质合成阻碍剂之后,导入效率竟升至9.6%—14%。
如果从这4种遗传基因中排除导致细胞癌化的遗传基因,只使用3种基因,过去的导入效率只有0.001%甚至更低,而加入“巴尔普罗酸”之后,其效率也提高了约50倍。研究人员认为,这很可能是因为“巴尔普罗酸”可以促进多能遗传基因的活性。今后,研究人员将就添加化合物是否会使遗传基因产生变异展开研究,以在提高制造效率的同时保证安全性
五:Industrial Polychemical Service
IPS(Industrial Polychemical Service)公司成立于1954年。五十年来,IPS公司在粘合塑料与塑料、塑料与其它不同材料的溶剂粘胶的发展和应用行业中一直处于领先地位。IPS公司是美国首家生产可靠的PVC、CPVC和ABS管道和管件粘胶的厂家,多年来一直密切地和美国标准材料测试协会(ASTM)合作建立起一系列的粘胶测试标准。2005年IPS公司在中国浙江嘉善投资建立了生产基地,我们的产品被广泛认为是高效、方便使用的产品。
五十多年来,IPS(Industrial Polychemical Service)公司在粘合塑料与塑料,塑料与其它不同材料的溶剂粘胶的发展和应用行业中一直处于领先地位。IPS公司是美国首家生产可靠的PVC和ABS管道和管件粘胶的厂家,多年来一直密切地和美国标准材料测试协会(ASTM)合作建立起一系列的粘胶测试标准。
如今,IPS始终保持着她在此行业内的全球领先地位,并提供一套最完整的溶剂粘胶系列,每一个WELD-ON配方都是根据各种特殊应用和市场需要而研发的。
WELD-ON粘胶是由本公司优秀的化学专家和技术人员应用现代化技术,在设备俱全的实验室里不断地钻研及检验出来的粘胶。从原料输送,加工,至抽样及化验成品过程,都有着严格的品控程序,监督产品品质。
IPS产品配方是在非常清洁的环境下进行混合及储存的,我们也严密地管理自动填充罐装过程,以保证最低限度的溶剂蒸汽污染。
IPS溶剂粘胶及其附属产品被广泛地销售至世界各地的建筑工业、农业、家具制造业、汽车工业、航空工业和一般制造业,IPS公司由工厂销售代表和全球网联代销人员竭诚为所有客户提供精心专业的服务。
六:国际天文馆学会
国际天文馆学会(IPS)成立于1970年,是天文教育者和天文馆工作人员及与天文科普相关的其他人员的全球性组织,拥有来自世界35个国家和地区的近700名会员。国际天文馆学会大会每两年召开一次,汇集了全球数百个天文科普领域的专家。
七:警察厅科学警察研究所(日本)
Institute of Police Science(IPS)科学警察研究所(法科学研究所)隶属警视厅,是为了犯罪搜查进行最尖端科学研究的组织。包括画像解析、声纹及声音分析、化学分析、生物学研究等。
随着核心应用业务逐渐网络化,网络安全成为企业网络管理人员最急需解决的问题,“系统入侵”目前是威胁企业网络信息安全的首要元凶,系统漏洞屡被攻击,病毒在网络泛滥,主动防御和应用安全的压力日益增大,我们需要一个能够实时有效的安全防护系统。
安全防护系统是一个多层次的保护机制,它既包括企业的安全策略,又包括防火墙、防病毒、入侵防护等多种产品的解决方案。传统的,我们会仅用防火墙或防毒墙来反击,但因为他们主要是防御直接的可疑流量,面对黑客攻击水平的不断提高,及内部因计算机操作而存在的安全隐患等混合威胁的不断发展,这种单一的防护措施已经显得力不从心。
IDS入侵检测系统一直以来充当了安全防护系统的重要角色,IDS技术是通过从网络上得到数据包进行分析,从而检测和识别出系统中的未授权或异常现象。IDS注重的是网络监控、审核跟踪,告知网络是否安全,发现异常行为时,自身不作为,而是通过与防火墙等安全设备联动的方式进行防护。
IDS目前是一种受到企业欢迎的解决方案,但其目前存在以下几个显著缺陷:一是网络缺陷(用交换机代替可共享监听的HUB使IDS的网络监听带来麻烦,并且在复杂的网络下精心的发包也可以绕过IDS的监听);二是误报量大(只要一开机,报警不停);三是自身防攻击能力差等缺陷,所以,IDS还是不足完成网络安全防护的重任。
IDS的缺陷,成就了IPS的发展,IPS技术能够对网络进行多层、深层、主动的防护以有效保证企业网络安全,IPS的出现可谓是企业网络安全的革命性创新。简单地理解,IPS等于防火墙加上入侵检测系统,但并不代表IPS可以替代防火墙或IDS。
防火墙在基于TCP/IP协议的过滤方面表现非常出色,IDS提供的全面审计资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。
目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样,IPS 中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。
下面,我们来分析一下市场上主流的IPS生产厂商,看看他们在设计IPS产品时,是如何有效实现IPS的主动入侵防护功能的。
从安全厂商来看,国外品牌McAfee、ISS、Juniper、Symantec、华为3Com,国内品牌如冰峰网络、绿盟科技等众多厂商都有多款百兆和千兆的IPS产品,国产品牌(如冰峰网络)的千兆IPS产品的性能相对过去,更是有了长足的发展,对大流量网络的适应能力明显增强。从对这些主流IPS 产品的评测来看,一个稳定高效的IPS产品,需要具备以下几个方面的能力:
检测机制:
由于需要具备主动阻断能力,检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍,Juniper产品中使用包括状态签名、协议异常、后门检测、流量异常、混合式攻击检测在内的“多重检测技术”,以提高检测和阻断的准确程度。
McAfee 公司则在自己的实验室里加强了对溢出型漏洞的研究和跟踪,把针对溢出型攻击的相应防范手段推送到IPS 设备的策略库中。国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术,通过研究漏洞特征,将其加入到过滤规则中,IPS就可以发现符合漏洞特征的所有攻击流量,在冲击波及其变种大规模爆发时,直接将其阻断,从而赢得打补丁的关键时间。
弱点分析:
IPS产品的发展前景取决于攻击阻截功能的完善。引入弱点分析技术是IPS完善攻击阻截能力的更要依据,IPS厂商通过
分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征,使IPS 能够主动保护脆弱系统。由于软件漏洞是不法分子的主要攻击目标,所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee也于日前收购了从事漏洞研究的 Foundstone公司,致力于把漏洞分析技术与入侵防护技术结合起来,Juniper设有一个专门的安全小组,密切关注新的系统弱点和蠕虫,国内的IPS厂商,如绿盟科技、冰峰网络等,虽然没有自己独立的弱点分析机构,但也在严密关注相关权威机构发布的弱点分析报告,及时更新过滤机制。
应用环境:
IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的,而对于另外的用户来说就是正常流量,这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段,以提高检测准确率。McAfee、Juniper、ISS、冰峰网络等公司同时都在IPS中提供了调优机制,使IPS通过自学习提高检测的准确性。
全面兼容:
所有的用户都希望用相对少的投入,建设一个最安全、最易管理的网络环境。IPS如若需达到全面防护工作,则还要把其它网络管理功能集成起来,如网络管理、负载均衡、日志管理等,各自分工,但紧密协作。
同侵入检测系统(IDS)一样,IPS 系统分为基于主机和网络两种类型。
基于主机的 IPS
基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或 API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。
基于网络的 IPS
基于网络的 IPS 综合了标准 IDS 的功能,IDS 是 IPS 与防火墙的混合体,并可被称为嵌入式 IDS 或网关 IDS(GIDS)。基于网络的 IPS 设备只能阻止通过该设备的恶意信息流。为了提高 IPS 设备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:
指定的网络领域中,需要高度的安全和保护。
该网络领域中存在极可能发生的内部爆发配置地址
能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。
概述:由LG和Hitachi共同开发的广视角液晶显示技术。由于视角大,颜色显示准确,成为唯一能真实还原色彩的液晶面板,因而被广泛用于医疗,印刷,科研行业。近年随成本下降,加压驱动解决了IPS严重的响应问题,DFC技术提高了对比度问题,开始进入民用市场。
原理: IPS(In-Plane Switching,平面转换)技术是日立于2001推出的面板技术,它也被俗称为“Super TFT”。我们知道,传统LCD显示器的液晶分子一般都在垂直-平行状态间切换,MVA和PVA将之改良为垂直-双向倾斜的切换方式,而IPS技术与上述技术最大的差异就在于,不管在何种状态下液晶分子始终都与屏幕平行,只是在加电/常规状态下分子的旋转方向有所不同。注意,MVA、PVA液晶分子的旋转属于空间旋转(Z轴),而IPS液晶分子的旋转则属于平面内的旋转(X-Y轴)。为了配合这种结构,IPS要求对电极进行改良,电极做到了同侧,形成平面电场。这样的设计带来的问题是双重的,一方面可视角度问题得到了解决,另一方面由于液晶分子转动角度大、面板开口率低(光线透过率),所以IPS也有响应时间较慢和对比度较难提高的缺点。
二: Intrusion Prevention System , 入侵防御系统
入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施,是对防病毒软体(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害信得网络资料传输行为。
网路安全
随着电脑的广泛应用和网路的不断普及,来自网路内部和外部的危险和犯罪也日益增多。20年前,电脑病毒(电脑病毒)主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软体。而今天,不仅病毒数量剧增,质量提高,而且通过网路快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软体失效。
目前流行的攻击程序和有害代码如 DoS (Denial of Service),DDoS (Distributed DoS),暴力猜解(Brut-Force-Attack),埠扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软体的漏洞和缺陷钻空子、干坏事,让人防不胜防。
网路入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软体失效。比如,在病毒刚进入网路的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网路、危害单机或网路资源,这就是所谓Zero Day Attack。
防火墙可以根据英特网地址(IP-Addresses)或服务埠(Ports)过滤数据包。但是,它对于利用合法网址和埠而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。
每种攻击代码都具有只属于它自己的特征 (signature), 病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。除病毒软体就是通过储存所有已知的病毒特征来辨认病毒的。
在ISO/OSI网路层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。
入侵预防系统也像入侵侦查系统一样,专门深入网路数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输重的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软体的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。
入侵预防技术
* 异常侦查。正如入侵侦查系统, 入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。
* 在遇到动态代码(ActiveX, JavaApplet,各种指令语言script languages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。
* 有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网路内部的有害代码实行有效阻止。
* 核心基础上的防护机制。用户程序通过系统指令享用资源 (如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。
* 对Library、Registry、重要文件和重要的文件夹进行防守和保护。
入侵预防系统类型
投入使用的入侵预防系统按其用途进一步可以划分为单机入侵预防系统
(HIPS: Hostbased Intrusion Prevension System)和网路入侵预防系统
(NIPS: Network Intrusion Prevension System)两种类型。
网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。
根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。
三:Image Packaging System 映像包管理系
Indiana全新的映像包管理系统(Image Packaging System,IPS)。在OpenSolaris Developer Preview版本当中包括了IPS的原型。虽然这个原型还没有实现所有的设计功能,但是我们还是可以根据这个原型来了解在下一代的Solaris操作系统中如何安装、升级和删除应用程序。IPS是一个软件生存周期管理(安装,升级和删除)的框架,它以包为单位来对软件进行管理。每个包使用一个出错管理资源标示(Fault Management Resource Identifier, FMRI)来代表。
四:应用诱导多能干细胞
美国哈佛大学研究人员采取添加特殊化合物的方法,将体细胞制造IPS的效率提高了100多倍。目前这项研究在大鼠实验中已获得成功,而在制造人类IPS时也可采取同样方法,以提高效率。该成果被业界称为IPS研究中的一大进步。
IPS是由一些多能遗传基因导入皮肤等细胞中制造而成。在制造过程中,美国研究人员使用了4种遗传基因,同时加入了7种包括可阻碍特定蛋白质合成的物质和酶在内的化合物,以研究其各自的制造效率。研究结果显示,没有添加化合物时,遗传基因的导入效率为0.01%—0.05%,而加入了一种叫“巴尔普罗酸”的蛋白质合成阻碍剂之后,导入效率竟升至9.6%—14%。
如果从这4种遗传基因中排除导致细胞癌化的遗传基因,只使用3种基因,过去的导入效率只有0.001%甚至更低,而加入“巴尔普罗酸”之后,其效率也提高了约50倍。研究人员认为,这很可能是因为“巴尔普罗酸”可以促进多能遗传基因的活性。今后,研究人员将就添加化合物是否会使遗传基因产生变异展开研究,以在提高制造效率的同时保证安全性
五:Industrial Polychemical Service
IPS(Industrial Polychemical Service)公司成立于1954年。五十年来,IPS公司在粘合塑料与塑料、塑料与其它不同材料的溶剂粘胶的发展和应用行业中一直处于领先地位。IPS公司是美国首家生产可靠的PVC、CPVC和ABS管道和管件粘胶的厂家,多年来一直密切地和美国标准材料测试协会(ASTM)合作建立起一系列的粘胶测试标准。2005年IPS公司在中国浙江嘉善投资建立了生产基地,我们的产品被广泛认为是高效、方便使用的产品。
五十多年来,IPS(Industrial Polychemical Service)公司在粘合塑料与塑料,塑料与其它不同材料的溶剂粘胶的发展和应用行业中一直处于领先地位。IPS公司是美国首家生产可靠的PVC和ABS管道和管件粘胶的厂家,多年来一直密切地和美国标准材料测试协会(ASTM)合作建立起一系列的粘胶测试标准。
如今,IPS始终保持着她在此行业内的全球领先地位,并提供一套最完整的溶剂粘胶系列,每一个WELD-ON配方都是根据各种特殊应用和市场需要而研发的。
WELD-ON粘胶是由本公司优秀的化学专家和技术人员应用现代化技术,在设备俱全的实验室里不断地钻研及检验出来的粘胶。从原料输送,加工,至抽样及化验成品过程,都有着严格的品控程序,监督产品品质。
IPS产品配方是在非常清洁的环境下进行混合及储存的,我们也严密地管理自动填充罐装过程,以保证最低限度的溶剂蒸汽污染。
IPS溶剂粘胶及其附属产品被广泛地销售至世界各地的建筑工业、农业、家具制造业、汽车工业、航空工业和一般制造业,IPS公司由工厂销售代表和全球网联代销人员竭诚为所有客户提供精心专业的服务。
六:国际天文馆学会
国际天文馆学会(IPS)成立于1970年,是天文教育者和天文馆工作人员及与天文科普相关的其他人员的全球性组织,拥有来自世界35个国家和地区的近700名会员。国际天文馆学会大会每两年召开一次,汇集了全球数百个天文科普领域的专家。
七:警察厅科学警察研究所(日本)
Institute of Police Science(IPS)科学警察研究所(法科学研究所)隶属警视厅,是为了犯罪搜查进行最尖端科学研究的组织。包括画像解析、声纹及声音分析、化学分析、生物学研究等。
随着核心应用业务逐渐网络化,网络安全成为企业网络管理人员最急需解决的问题,“系统入侵”目前是威胁企业网络信息安全的首要元凶,系统漏洞屡被攻击,病毒在网络泛滥,主动防御和应用安全的压力日益增大,我们需要一个能够实时有效的安全防护系统。
安全防护系统是一个多层次的保护机制,它既包括企业的安全策略,又包括防火墙、防病毒、入侵防护等多种产品的解决方案。传统的,我们会仅用防火墙或防毒墙来反击,但因为他们主要是防御直接的可疑流量,面对黑客攻击水平的不断提高,及内部因计算机操作而存在的安全隐患等混合威胁的不断发展,这种单一的防护措施已经显得力不从心。
IDS入侵检测系统一直以来充当了安全防护系统的重要角色,IDS技术是通过从网络上得到数据包进行分析,从而检测和识别出系统中的未授权或异常现象。IDS注重的是网络监控、审核跟踪,告知网络是否安全,发现异常行为时,自身不作为,而是通过与防火墙等安全设备联动的方式进行防护。
IDS目前是一种受到企业欢迎的解决方案,但其目前存在以下几个显著缺陷:一是网络缺陷(用交换机代替可共享监听的HUB使IDS的网络监听带来麻烦,并且在复杂的网络下精心的发包也可以绕过IDS的监听);二是误报量大(只要一开机,报警不停);三是自身防攻击能力差等缺陷,所以,IDS还是不足完成网络安全防护的重任。
IDS的缺陷,成就了IPS的发展,IPS技术能够对网络进行多层、深层、主动的防护以有效保证企业网络安全,IPS的出现可谓是企业网络安全的革命性创新。简单地理解,IPS等于防火墙加上入侵检测系统,但并不代表IPS可以替代防火墙或IDS。
防火墙在基于TCP/IP协议的过滤方面表现非常出色,IDS提供的全面审计资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。
目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样,IPS 中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。
下面,我们来分析一下市场上主流的IPS生产厂商,看看他们在设计IPS产品时,是如何有效实现IPS的主动入侵防护功能的。
从安全厂商来看,国外品牌McAfee、ISS、Juniper、Symantec、华为3Com,国内品牌如冰峰网络、绿盟科技等众多厂商都有多款百兆和千兆的IPS产品,国产品牌(如冰峰网络)的千兆IPS产品的性能相对过去,更是有了长足的发展,对大流量网络的适应能力明显增强。从对这些主流IPS 产品的评测来看,一个稳定高效的IPS产品,需要具备以下几个方面的能力:
检测机制:
由于需要具备主动阻断能力,检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍,Juniper产品中使用包括状态签名、协议异常、后门检测、流量异常、混合式攻击检测在内的“多重检测技术”,以提高检测和阻断的准确程度。
McAfee 公司则在自己的实验室里加强了对溢出型漏洞的研究和跟踪,把针对溢出型攻击的相应防范手段推送到IPS 设备的策略库中。国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术,通过研究漏洞特征,将其加入到过滤规则中,IPS就可以发现符合漏洞特征的所有攻击流量,在冲击波及其变种大规模爆发时,直接将其阻断,从而赢得打补丁的关键时间。
弱点分析:
IPS产品的发展前景取决于攻击阻截功能的完善。引入弱点分析技术是IPS完善攻击阻截能力的更要依据,IPS厂商通过
分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征,使IPS 能够主动保护脆弱系统。由于软件漏洞是不法分子的主要攻击目标,所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee也于日前收购了从事漏洞研究的 Foundstone公司,致力于把漏洞分析技术与入侵防护技术结合起来,Juniper设有一个专门的安全小组,密切关注新的系统弱点和蠕虫,国内的IPS厂商,如绿盟科技、冰峰网络等,虽然没有自己独立的弱点分析机构,但也在严密关注相关权威机构发布的弱点分析报告,及时更新过滤机制。
应用环境:
IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的,而对于另外的用户来说就是正常流量,这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段,以提高检测准确率。McAfee、Juniper、ISS、冰峰网络等公司同时都在IPS中提供了调优机制,使IPS通过自学习提高检测的准确性。
全面兼容:
所有的用户都希望用相对少的投入,建设一个最安全、最易管理的网络环境。IPS如若需达到全面防护工作,则还要把其它网络管理功能集成起来,如网络管理、负载均衡、日志管理等,各自分工,但紧密协作。
同侵入检测系统(IDS)一样,IPS 系统分为基于主机和网络两种类型。
基于主机的 IPS
基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或 API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。
基于网络的 IPS
基于网络的 IPS 综合了标准 IDS 的功能,IDS 是 IPS 与防火墙的混合体,并可被称为嵌入式 IDS 或网关 IDS(GIDS)。基于网络的 IPS 设备只能阻止通过该设备的恶意信息流。为了提高 IPS 设备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:
指定的网络领域中,需要高度的安全和保护。
该网络领域中存在极可能发生的内部爆发配置地址
能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。