病毒预报 第二百八十四期（2008.7.14-2008.7.20）

病毒预报 第二百八十三期（2008.7.7-2008.7.13）

病毒预报 第二百八十二期（2008.6.30-2008.7.6）

病毒预报 第二百八十一期（2008.6.23-2008.6.29）

病毒预报 第二百八十期（2008.6.16-2008.6.22）

病毒预报 第二百七十九期（2008.6.9-2008.6.15）

　　随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面企业网络感染病毒、遭受攻击的速度日益加快，另一方面企业网络受到攻击做出响应的时间却越来越滞后。解决这一矛盾，传统的防火墙或入侵检测技术(IDS)显得力不从心，这就需要引入一种全新的技术-入侵防护（Intrusion Prevention System，IPS）。

IPS的主要特点：
1.IPS为企业网络提供“虚拟补丁”
IPS预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量，使攻击无法到达目的主机，这样即使没有及时安装最新的安全补丁，企业网络仍然不会受到损失。IPS给企业提供了时间缓冲，在厂商就新漏洞提供补丁和更新之前确保企业的安全。
2.IPS提供“流量净化”
目前企业网络遭受越来越多的流量消耗类型的攻击方式，比如蠕虫、病毒造成网络瘫痪、BT、电驴等P2P下载造成网络带宽资源严重占用等。IPS过滤正常流量中的恶意流量，为网络加速，还企业一个干净、可用的网络环境。
3.IPS提供“反间谍”能力
企业机密数据被窃取，个人信息甚至银行账户被盗，令许多企业和个人蒙受重大损失。IPS发现并阻断间谍软件的活动，保护企业机密。
IPS的设计侧重访问控制，注重主动防御，而不仅仅是检测和日志记录，解决了入侵检测系统IDS的不足，为企业提供了一个全新的入侵保护解决方案。
4.在线安装(In-Line)
IPS保留IDS实时检测的技术与功能，但是却采用了防火墙式的在线安装，即直接嵌入到网络流量中，通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。

　　实际的安全防护过程中对入侵检测的需求很大，加之IDS的缺陷，于是孕育了IPS(入侵防护系统)在这两年的快速发展。
IPS技术能够对网络进行多层、深层、真正的防护，不仅能够发现恶意代码，而且还能够主动阻止恶意代码的攻击，以有效保证用户的网络安全。
发展历史：
IPS的产品最早出现于2000年，Network ICE公司在2000年最早提出这个概念，并且在2000年9月18日，推出了业界第一款IPS产品－BlackICE Guard，它第一次把基于旁路检测的IDS技术用于在线模式，直接分析网络流量，并把恶意包丢弃。
2002～2003年：
这段时期IPS得到了快速发展。当时随着产品的不断发展和市场的认可，欧美一些安全大公司通过收购小公司的方式获得IPS技术，推出自己的IPS产品。比如ISS公司收购Network ICE公司，发布了Proventia；NetScreen公司收购OneSecure公司，推出NetScreen-IDP；McAfee公司收购Intruvert公司，推出IntruShield。思科、赛门铁克、TippingPoint等公司也发布了IPS产品。
作为防火墙+IDS联动模式的替代者，IPS被认为相对于防火墙和IDS产品有着非常大的优势，是网络出口处安全防护产品的不二之选。IPS目前在国际上已经被广泛应用，并在很多地方已经全部取代了传统IDS和部分取代了防火墙的应用。
一般的高端IPS需要能够提供3G的实时吞吐流量，深入检查数据包。通过隔离、拦截和预防攻击，从而实现即时、高性能的应用安全。

1.IDS与IPS的比较
入侵检测产品IDS的使用过程中，暴露出了诸多的问题。特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出，并且严重影响了产品发挥实际的作用。
IDS是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般只能通过发送TCP reset包或联动防火墙来阻止攻击。IDS是检测，攻击进来后才改变防火墙策略，已经太迟了，攻击目的已经实现了。
而IPS则是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。
因此，从实用效果上来看，和IDS相比入侵防御系统IPS向前发展了一步，能够对网络起到较好的实时防护作用。
2.防火墙、IDS的技术优势
防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。
入侵检测技术(IDS)通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。
防火墙在基于TCP/IP协议的过滤方面表现非常出色，IDS提供的全面审计资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。
3.理想IPS应具备的因素
McAfee公司认为，一个理想的入侵防护解决方案应该包括以下8大特点：
(1)主动、实时预防攻击
IPS解决方案应该提供对攻击的实时预防和分析。它应该在任何未授权活动开始前找出攻击，并防止它进入重要的服务器资源。
(2)补丁等待保护
补丁管理是一个复杂的过程。在补丁被开发和安装之间，聪明的黑客会对服务器和重要数据造成破坏，入侵防御系统可为系统管理员提供补丁等待期内的保护和足够的时间，以测试并安装补丁。
(3)保护每个重要的服务器
服务器中有最敏感的企业数据，是大多数黑客攻击的主要目标。所以，拥有专门为服务器保护订制的入侵防御系统方案十分重要。
(4)签名和行为规则
检测入侵最有效的方法是采取混合方式，即整合针对具体攻击的签名和行为规则的力量。这一混合方式可提供已知和未知攻击保护，而同时将误报率保持在最低，从而无须做出任何损失性让步。
(5)深层防护
强大的安全都是基于深度防御的概念，可进行深层防护。
(6)可管理性
理想的入侵防御系统可使安全设置和政策被各种应用程序、用户组和代理程序利用，从而降低安装并维护大型安全产品的成本。
(7)可扩展性
企业级入侵防御系统必须可升级，以满足企业不断发展的需求，而同时保持最高水平的安全。可扩展性体现在可支持众多受保护的服务器、支持大流量和支持分散型安全管理，以满足大型分散式企业的需求。
(8)经验证的防护技术
企业要选择的IPS产品应考虑是否采用了业界先进的新技术，经过充分测试、使用，并应受到持续不断地维护。

    如果您对我们的培训有兴趣，请完整填写下表并提交
    ——您将有机会免费获得电子工业出版社图书一本。

    有相关问题也可通过以下联系方式咨询
    ①电话咨询：010-88254012；联系人：潘昕
    ②传真：010-88254490
    ③电子邮件：panxin@phei.com.cn