hips(主机入侵防御系统)新一代防御病毒的软件
一、 关于Hips的基本概念.
HIPS:
Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
因为病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。
二、HIPS原理以及和杀毒软件、防火墙的区别.
杀毒软件:
计算机病毒指的是一些具有恶意代码可能危害计算机的程序。
杀毒软件基本上应当具有以下两个基本功能:
1:杀毒-- 即对带毒文件或病毒本身进行查杀的功能。
2:监控-- 一般具有文件监控,网页监控(即监控远程80/8080等常用端口),邮件监控(即监控POP和SMTP端口),等。
能够杀毒防毒的是杀毒软件,不是防火墙。
防火墙:
简单的理解,防火墙是架在两个互相通信主机之间的一个屏障,对非法数据包进行过滤。
我们使用的多数个人防火墙基本具有:防止非法入侵(防止内连) 与 防止本地非法外连 的功能,而SP2系统自带的墙没有后者的功能。
基于这两点,我们可以简单理解防火墙的两个作用:
1:通过阻止非法数据包,防止黑客通过某些手段入侵。
2:防止木马发生外连盗取本地机密信息。个人防火墙没有杀木马的功能,它所做的是在中了木马之后,通过规则禁止其外连以免丢失数据。
现在有不少厂商将自己的杀软和防火墙做成一个网络防护体系,比如:KIS(卡巴) NIS(诺顿) MIS(咖啡)等。。。
HIPS:Host Intrusion Prevent System 主机入侵防御系统
所谓hips(主机入侵防御体系),亦即系统防火墙。它有别于传统意义上的网络防火墙(nips)。二者但主要区别是:传统的nips网络防只有在你使用网络的时候,通过特定的 tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端;而hips是限制进程调,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被所hips检测,然后弹出警告,询问用户是否允许运行。一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行,以防中毒、插马的可能性。
比如卡巴,咖啡等也具备有一些hips的功能.
二、 HIPS功能的类别
HIPS功能的类别可以分为3D:
1.AD(Application Defend)应用程序防御体系、
2.RD(Registry Defend)注册表防御体系、
3.FD(File Defend)文件防御体系。
它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
目前在有些杀软或防火墙中,也含HIPS功能。
三、 Hips软件的大全
1.Tiny Firewall (网络防火墙)
功能:AD+RD+FD,
2.Safe'n'Sec (简称SNS或犀牛)
功能:AD+FD+RD
3.SystemSafeMonitor(简称SSM)
功能::AD+RD
4.SafeSystem (简称ss)
功能:SS(SafeSystem 2006)--FD
5.GhostSecuritySuite(简称GSS)
功能:AD+RD
6.ProcessGuard(简称PG)
功能:AD+RD
7. Winpooch
功能:一条忠实的“看家狗”, 使用api hook技术,可以对几乎所有的可疑操作进行监控、报告或阻止。
8. Parador File Protection PE
功能:FD
9. EQSecure for System,
功能: AD+FD+RD, 一款国产HIPS软件.
10. ProSecurity,
功能:FD+RD,作者是中国人
11. Privacyware Dynamic Security Agent
12. ANTIHOOK 澳大利亚的PD
13. Arovax Shied美国的
14. Malware Sweeper Pro
15. Core Force
16 . Watcher
17. DefenseWall
18. BufferZone SAE/Home/Pro
19. GreenBorder
20. Virtual Sandbox
21. VELite
22. SandBoxie
23. RunSafe
24. 1-Defender
25. All-Seeing-Eyes
26. GesWall
27. winpatrol
所谓hips(主机入侵防御体系),也就是现在大家所说的系统防火墙,它有别于传统意义上的网络防火墙nips.
二者虽然都是防火墙,但是在功能上其实还是有很大差别的:传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上,通过特定的tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端,在不联网的情况下是没有什么用处的;而hips系统防火墙就是限制诸如a进程调用b进程,或者禁止更改或者添加注册表文件--打个比方说,也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源,这个行为就会被hips检测到然后弹出警告询问用户是否允许运行,用户根据自己的经验来判断该行
为是否正确安全,是则放行允许运行,否就不使之运行,一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行,这样对于个人用户来说,中毒插马的可能性就基本上很低很低了.但是,只是装上个hips也不是最安全的,毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的,所以,选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)!
上面是对hips和防火墙作个区别,因为杀软和这两类软件差别比较大,就不拿到这里来说了,下面我具体介绍一下hips以及常见的几款hips安全软件,希望对各位有所裨益!
我们个人用的HIPS可以分为3D:
AD(Application Defend)应用程序防御体系
RD(Registry Defend)注册表防御体系
FD(File Defend)文件防御体系
它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
常用的HIPS软件有:国外的SNS(Safe'n'Sec Personal)--AD+FD+RD,SSM(System Safety Monitor),PG(ProcessGuard和Port Explorer)--AD+RD,GSS(Ghost Security Suite)--AD+RD,SS(SafeSystem 2006)--FD.
这些hips软件在功能上也大多差不多,其实也就是比较一下谁的生命力更顽强(不容易被其他进程干掉),谁更适合国人所需,谁更简单易操作,下面我就这些方面做个相对比较简单的介绍吧!
首先是SSM(System Safety Monitor):商业版免费版 注册表监视: 高级 基本过程监视: 高级基本底层磁盘访问控制:有 无底层键盘访问控制: 有 无 NT服务监视:高级 基本 IE设置跟踪:高级 基本用户程序友好对话: 有 无优先支持:高 低开发优先: 高 低 Win9x支持: 无 有
SSM在声誉上面是相当不错的,而且也相对很稳定--虽然能被ICEword干掉,不过其他的hips类好像也都是能被干掉的,这个不是重点,因为在冰刃要干掉他们之前,hips软件已经会报警询问是否允许该项操作,虽然说确了个FD功能,不过我觉得对个人用户来说已经相当足够,起码我已经有半年时间未中毒插马了--当然,如果你还是不放心,再装上个SS补足3D功能也是可以的,最关键的是SSM商业版已经被成功破解了(该软件有简体中文版),唯一觉得不爽的可能就是早期使用比较繁琐,毕竟什么东西的运行都要选择允许还是禁止也是一件头疼事,所以一般在刚装上的时候,我个人建议还是先全部运行一遍所有的你要经常用到的东西就可以了,占用资源也还可以,一般是一个进程10M左右,cpu基本没感觉.我给SSM打90分
其次是SNS(Safe'n'Sec Personal)--他是唯一3D的哦,它建立在行为分析的基础上,有最先进的预先侦查系统,可以防止病毒渗透计算机,破坏信息,对计算机多了一层保护,在计算机保护方面实现重大突破。同时,快速安装,易于操作的界面,和反病毒软件和个人防火墙极好的兼容性,智能的决策技术,最强的保护和对系统运行的最小影响等特点更增加了Safe'n'sec的魅力--汗,这个是官方介绍,我自己觉得是相当的牛了,不过我自己还没有用过--这是全英文版本英语太菜,而且没有破解(专业加密公司出品,想破解难度好大的),在网上看过测评,据说是比GSS+SS还要牛的.我给SNS打95分再下来就是GSS(Ghost Security Suite),其实用的时间并不是很长,可能没有多大发言权,不过我个人不是很喜欢这款,因为貌似不太稳定,在运行大型游戏的时候,似乎CPU容易飙升,这个不少人如此,不知道是不是此软件本来就是如此,但是GSS还是相当不错的--简单明了,有自己的操作模式,不如SSM来的细致繁琐,但是也是相当安全,特别是在配合SS使用之下.不过最不爽的是容易被任务管理器干掉,我昏,而且长时间没有更新了,不知道搞什么!不过话说回来,现在网路广泛流传的GSS亚尔迪破解版还是很不错的.我给GSS打88分,GSS+SS打92分
最后简单说下PG和SS,SS规则完善但不够稳定,PG简单稳定,大致上PG感觉和SSM以及GSS差不多,就看用户个人喜好了~~~
最后还提一款hips软件--Winpooch(因为没有用过,所以就只能借用别人的话来说了),相对GSS而言,无疑,GSS的稳定性比Winpooch略强,但是GSS的规则添加到500条左右的时候就会变得很慢,而且GSS只能监控注册表,但是,Winpooch不只可以监控注册表,还可以监控文件的读取、写入,还可以监控网络连接,而且目前Winpooch已经有600多条规则了,对系统的影响还是很小,软件推荐给你了,好不好用还得你自己测试才最实际。
用了hips软件,基本上,杀软可以卸载了,呵呵,但是防火墙还是一定得要的. 至于每款软件的具体教程,网上有很多,我这里也就不一一赘述了,感兴趣的人,我们倒是可以一起探讨,呵呵!另外说句,这类hips软件和杀软以及防火墙的选用一样,没有所谓的最好,只有对你个人而言的更好,所以,怎么选择,全看你自己!
附: 9种HIPS评测
其中国外6款,国内3款:
Safe’n’Sec Personal(SNS)
System Safety Monitor(SSM)
CA Host-Based Intrusion Prevention System(CA HIPS)
ProSecurity
Ghost Security Suit(GSS)
Winpooch
中网S3主机安全系统
微点主动防御软件
EQSecure
通过测试,对市场上HIPS产品有了一定的了解,其中3款产品留下了深刻印象。
CA Host-Based Intrusion Prevention System
CA HIPS是本次测试中当之无愧的第一名,无论在产品功能上还是在实际测试环境中都表现出了优良的品质,这与Tiny多年的个人防火墙积累和CA高超的产品质量控制有关,CA收购Tiny是明智之选。
特别值得指出的是,在pcflank(OLE行为)的测试中,仅有CA和中网S3顺利通过测试。CA HIPS也同时拥有丰富的预置规则,还为企业用户提供了管理平台,各种控制规则的颗粒度非常细,可以对计算机进行精确的保护。
唯一遗憾的是,目前还没有中文版本,HIPS软件本身就具有很高的复杂度,再加上语言差异,可能会把广大国内用户挡在门外。笔者自认为英文不错,但是有些地方还是花了很长时间才搞定。但是如果您英文不错,又有一定专业知识,CA HIPS重点推荐。
之所以将CA HIPS的评价定为4星半,除语言原因外,自身安全性不足也是一个重要问题。
Safe’n’Sec Personal
“大犀牛”是SNS的代名词,在测试的这段时间里,SNS是唯一让人感到惊讶的产品。
在整个测试成绩,特别是实际测试环境中,SNS只能说是不算坏,这恐怕与其预置规则有关。在将SNS与CA进行比较时,发现两者在规则颗粒度上几乎一样,拦截的系统函数也差不多,可是由于测试是在默认安装下进行,SNS没有表现出应有的水平。
在用户界面上,SNS有着几乎完美的软件界面和产品形象,“大犀牛”甚至在卸载时还有将犀牛装回箱子的图片,让人感觉软件整体性非常强。此外,SNS还在同一界面中提供了傻瓜模式和专家模式,傻瓜模式下用户几乎不用做什么动作,使用非常容易。在专家模式下,SNS也将强大的功能用逻辑性很强的界面表现了出来,使高级用户更加容易上手。
HIPS之所以没有普及是因为使用复杂,SNS在界面工程上进行了很多有价值的探讨,它将直接影响整个HIPS产业的推广。
中网S3主机安全系统
测试完中网S3主机安全系统后,再次为国产安全软件感到骄傲。
中网S3在某些程度上已经具备了与国际一流HIPS软件竞争的潜质,在功能上非常完备,是国内不多的同时具有AD/FD/RD/ND的HIPS软件。在实际测试环境中也表现出色,拿到的成绩竟然略优于久负盛名的SSM,而且在细节上很突出,这可能与中网公司10余年专业安全厂商的经验有关。
中网S3在自身安全性上存在欠缺,希望厂家能在下一版本中有所改进。
如果您希望尝试HIPS技术,又对庞大复杂的英文产品头疼,中网S3主机安全系统将是首选。
期待未来国内HIPS软件能够产生5星级产品。
HIPS未来趋势
测试过这些HIPS产品后,HIPS软件提出了两个重要思想,一是从应用程序行为入手。当我们不能识别一个应用程序本身是好是坏时,我们可以通过分析它们的行为判断其功能是否与我们的预期吻合,并借助HIPS的阻止功能禁止恶意行为执行。二是明确保护对象,将关键文件、关键注册表、网络作为资源对象进行保护,对资源的修改严格控制。
可以看出HIPS使用的是一种不同于特征码检查的技术方式,我们称之为“主动防御”方式。这种方式的好处是可以对未知应用程序进行控制,实时发现并阻止未知病毒、未知木马或流氓软件运行。在病毒产生和传播速度大大加快,特征库更新滞后的今天,“主动防御”技术无疑具有重大意义。
再从部署层次看,最早的安全保护手段试图在国际出口架设防火墙,但是随后发现无法阻止国内黑客攻击;随后开始架设企业防火墙,但企业内部依然有安全威胁。比尔盖茨在RSA Conference 2007上的讲话说得真好,“未来的网络边界将会消亡,我们要保护的是城堡中的国王,而不是城堡本身”。这句话预示了HIPS充满希望的未来,因为只有使用HIPS的主动防御技术,才能真正保护好我们的国王——计算机上的数据和程序。
但是,目前的HIPS软件还存在很多问题,这些问题如不能解决将大大影响HIPS的普及。
首先是易用性问题,目前的HIPS普遍配置复杂度较高,对用户要求较高,弹框数量较高。三高问题将很多初学者挡在了门外,未来的HIPS应当能对应用程序行为做系统化分析,同时对多个潜在威胁进行提问,减少些术语,多一些操作建议,并具有一定的自动化处理能力。这点在使用SSM时感触尤深,SSM可以捕获非常多的应用程序行为,但是弹框数量同样巨大,使得用户使用很烦,往往一路“允许”点下去,很容易放过恶意行为。
其次是预置规则问题,有效而完善的预置规则将提高HIPS的可用度,直接在后台阻拦恶意行为。这点SNS和CA HIPS做的不错,大量的预置规则保证了系统安全,有些规则所设计的细节甚至从未注意过。
再次是清理问题,在测试HIPS的过程中曾数次使计算机感染恶意软件,HIPS可以发现,但是由于缺乏清理机制使得对部分软件无法处理,特别是驱动方式引导以及有守护进程的恶意软件。HIPS像一个罩子,在它正常工作时可以保护系统免受大多数攻击,但是由于误操作或漏洞,操作系统一样会被感染,因此罩子内部的工作同样重要。这点中网S3和SSM的处理就比较优秀,提供了多种启动项清理,应用程序锁定等功能,可以对已感染系统进行一定修复,杀调守护进程。
最后是语言问题,HIPS的复杂度是显而易见的,因此对于中国用户来说,中文系统就变得更加重要。在这点上首推当然是国内软件,比较可喜的是某些中文HIPS已经具备了和国际产品抗衡的潜质,如中网S3和EQ,这是广大HIPS爱好者的福音。
总之,随着HIPS产品的不断成熟,端机安全领域即将发生一场重大变革,HIPS的前景是充满光明的,它的出现给对被动防御手段失望的您带来了一线希望,愿HIPS用户群不断扩大,国产HIPS厂商一路走好。
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
