论文部分内容阅读
几年前高手会凑到一起谈论哪个杀毒软件最好,当我们学会了杀毒软件的使用后,高手们又不玩这个了,大家都在拽一个词“HIPS”,我等菜鸟们又蒙了,“这是什么东东?”“主机入侵防御系统”,人群中你会听到这样的一个翻译而已,是杀毒软件?是防火墙?期待解惑的本文出现!
自报家门
HIPS是我英文名字的缩写,我的全名是Host Intrusion Prevent System,翻译成中文就是“主机入侵防御系统”。这个名字很晦涩,很多人又给我起了个通俗的名字——系统防火墙。不过我可不是大家常说的防火墙哦,大家常说的防火墙其实是“网络防火墙”。简单来说,我就像系统的一个起保护作用的监控程序,监控电脑中程序的运行、文件以及注册表的操作,一旦我觉得有操作有异常,就会给用户一个提示,得到用户指示后我再选择是允许还是禁止这个操作,只要用户不允许,病毒的运行就会被我拦截住。
当然,如果每个操作都提示,那不把用户烦死啊,于是用户教给我一些自己判断的方法,也就是指定一些规则。从理论上来说,只要规则设置得够全面、严密,就可以防止一切已知或未知病毒的入侵。说到这你会想到杀毒软件的主动防御吧!我和它可不是一回事,杀毒软件的主动防御监控的是病毒的恶意行为,而我HIPS是一个体系,出发点是系统整体控制,论拦截,我比它强哦!不过,我的特点也决定了要有一个懂规则的用户一起协作,这就决定了我还只是受到一部分人的喜爱。
敢揽瓷器活就要有金刚钻
听了HIPS的自述,我们有了大体的了解,但我们都在怀疑它是否有这么大本事?HIPS是如何达到防止病毒入侵的呢?HIPS事先进驻系统,进入系统核心底层工作,随时准备拦截各种具有潜在威胁的操作。HIPS软件的防护是三个环节同时进行的,它们具备3D的防护模块——AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。下面就以病毒入侵的过程来看看HIPS与病毒的过招!
第一回合:用户访问被黑客恶意挂载病毒的网页时,浏览器如果执行恶意代码将病毒下载到本地硬盘,这时HIPS通过FD(文件防御)来阻止病毒文件的创建。
第二回合:如果浏览器因恶意代码而运行病毒程序,这时HIPS可以通过AD(应用程序防御)来阻止病毒运行。
第三回合:如果病毒已经运行,那它会在注册表中添加信息来达到重启后还能运行的目的、劫持安全程序的运行、修改系统设置,这时HIPS可以通过RD(注册表防御)来进行防御(见图2)。
第四回合:随后如果病毒在硬盘里创建生成物、修改本地数据、修改系统文件,这时HIPS可以通过FD(文件防御)来进行防御。
最后如果病毒还通过一系列的操作来进行提升自身权限、控制系统、记录键盘等目的,这时HIPS可以通过AD(应用程序防御)来进行防御。如图3所示,HIPS软件通过AD(应用程序防御)拦截磁碟机病毒通过发送消息的方式关闭安全软件冰刃的行为。当用户选择“阻止该操作”后,病毒磁碟机便不能将冰刃关闭。也就是说,病毒的每一步操作都在HIPS的控制当中,通过这种层层监控、层层控制的特点,用户即可以在病毒刚进入系统的时候阻止它,也可以在病毒发作的任向一步阻止它。
是兄弟还是近邻?
既然HIPS如此优秀,那么HIPS可以代替杀毒软件或者防火墙么?或者说只安装HIPS可以么?答案是不能。
防火墙是根据连接网络的数据包、本地网络端口来进行监控,并阻止非法的外部联入、控制本地程序联网、防御网络攻击,如SYN洪水、IP攻击等。而HIPS则不会对网络进行防御,因为HIPS是基于主机的行为分析控制软件,它所针对的是本地程序及系统的行为,并不包括网络模块,因此不会针对进出本地系统的网络数据进行监控与控制。当然现在也有了同时具备HIPS与防火墙的安全套装,比如国产HIPS中网S3与国外的COMODO都是具有专业的HIPS模块与防火墙模块。
自报家门
HIPS是我英文名字的缩写,我的全名是Host Intrusion Prevent System,翻译成中文就是“主机入侵防御系统”。这个名字很晦涩,很多人又给我起了个通俗的名字——系统防火墙。不过我可不是大家常说的防火墙哦,大家常说的防火墙其实是“网络防火墙”。简单来说,我就像系统的一个起保护作用的监控程序,监控电脑中程序的运行、文件以及注册表的操作,一旦我觉得有操作有异常,就会给用户一个提示,得到用户指示后我再选择是允许还是禁止这个操作,只要用户不允许,病毒的运行就会被我拦截住。
当然,如果每个操作都提示,那不把用户烦死啊,于是用户教给我一些自己判断的方法,也就是指定一些规则。从理论上来说,只要规则设置得够全面、严密,就可以防止一切已知或未知病毒的入侵。说到这你会想到杀毒软件的主动防御吧!我和它可不是一回事,杀毒软件的主动防御监控的是病毒的恶意行为,而我HIPS是一个体系,出发点是系统整体控制,论拦截,我比它强哦!不过,我的特点也决定了要有一个懂规则的用户一起协作,这就决定了我还只是受到一部分人的喜爱。
敢揽瓷器活就要有金刚钻
听了HIPS的自述,我们有了大体的了解,但我们都在怀疑它是否有这么大本事?HIPS是如何达到防止病毒入侵的呢?HIPS事先进驻系统,进入系统核心底层工作,随时准备拦截各种具有潜在威胁的操作。HIPS软件的防护是三个环节同时进行的,它们具备3D的防护模块——AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。下面就以病毒入侵的过程来看看HIPS与病毒的过招!
第一回合:用户访问被黑客恶意挂载病毒的网页时,浏览器如果执行恶意代码将病毒下载到本地硬盘,这时HIPS通过FD(文件防御)来阻止病毒文件的创建。
第二回合:如果浏览器因恶意代码而运行病毒程序,这时HIPS可以通过AD(应用程序防御)来阻止病毒运行。
第三回合:如果病毒已经运行,那它会在注册表中添加信息来达到重启后还能运行的目的、劫持安全程序的运行、修改系统设置,这时HIPS可以通过RD(注册表防御)来进行防御(见图2)。
第四回合:随后如果病毒在硬盘里创建生成物、修改本地数据、修改系统文件,这时HIPS可以通过FD(文件防御)来进行防御。
最后如果病毒还通过一系列的操作来进行提升自身权限、控制系统、记录键盘等目的,这时HIPS可以通过AD(应用程序防御)来进行防御。如图3所示,HIPS软件通过AD(应用程序防御)拦截磁碟机病毒通过发送消息的方式关闭安全软件冰刃的行为。当用户选择“阻止该操作”后,病毒磁碟机便不能将冰刃关闭。也就是说,病毒的每一步操作都在HIPS的控制当中,通过这种层层监控、层层控制的特点,用户即可以在病毒刚进入系统的时候阻止它,也可以在病毒发作的任向一步阻止它。
是兄弟还是近邻?
既然HIPS如此优秀,那么HIPS可以代替杀毒软件或者防火墙么?或者说只安装HIPS可以么?答案是不能。
防火墙是根据连接网络的数据包、本地网络端口来进行监控,并阻止非法的外部联入、控制本地程序联网、防御网络攻击,如SYN洪水、IP攻击等。而HIPS则不会对网络进行防御,因为HIPS是基于主机的行为分析控制软件,它所针对的是本地程序及系统的行为,并不包括网络模块,因此不会针对进出本地系统的网络数据进行监控与控制。当然现在也有了同时具备HIPS与防火墙的安全套装,比如国产HIPS中网S3与国外的COMODO都是具有专业的HIPS模块与防火墙模块。