HIPS[計算機術語]

Host-based Intrusion Prevention System HIPS,基於主機的入侵防禦系統。HIPS是一種系統控制軟體,它能監控電腦中檔案的運行,對檔案的調用,以及對註冊表的修改。

簡介

Host-based Intrusion Prevention System :基於主機的入侵防禦系統。

我們個人用的HIPS可以分為3D,AD(Application Defend)--應用程式防禦體系、RD(Registry Defend)註冊表防禦體系、FD(File Defend)檔案防禦體系。

AD(Application Defend)應用程式防禦體系

RD(Registry Defend)註冊表防禦體系

FD(File Defend)檔案防禦體系

它通過可定製的規則對本地的運行程式、註冊表的讀寫操作、以及檔案讀寫操作進行判斷並允許或禁止。如果你阻止了,那么它將無法運行或者更改。比如你雙擊了一個病毒程式,HIPS軟體跳出來報告而你阻止了,那么病毒還是沒有運行的。引用一句話:”病毒天天變種天天出新,使得殺軟可能跟不上病毒的腳步,而HIPS能解決這些問題。”HIPS是以後系統安全發展的一種趨勢,只要你有足夠的專業水平,你可以只用HIPS而不需防毒軟體。

所謂hips(主機入侵防禦體系),也就是現在大家所說的系統防火牆,它有別於傳統意義上的網路防火牆nips,它不能阻止網路上其他計算機對你計算機的攻擊行為。二者雖然都是防火牆,但是在功能上其實還是有很大差別的:傳統的Nips網路防火牆說白了就是只有在你使用網路的時候能夠用上,通過特定的tcp/ip協定來限定用戶訪問某一ip地址,或者也可以限制網際網路用戶訪問個人用戶和伺服器終端,在不聯網的情況下是沒有什麼用處的;而hips系統防火牆就是限制諸如a進程調用b進程,或者禁止更改或者添加註冊表檔案--打個比方說,也就是當某進程或者程式試圖偷偷運行的時候總是會調用系統的一些其他的資源,這個行為就會被hips檢測到然後彈出警告詢問用戶是否允許運行,用戶根據自己的經驗來判斷該行為是否正確安全,是則放行允許運行,否就不使之運行,一般來說,在用戶擁有足夠進程相關方面知識的情況下,裝上一個hips軟體能非常有效的防止木馬或者病毒的偷偷運行,這樣對於個人用戶來說,中毒插馬的可能性就基本上很低很低了.但是,只是裝上個hips也不是最安全的,畢竟--用戶穿上的只是個全透明防彈衣也還是會被某些別有用心的人偷窺去用戶的個人隱私的,所以,選用一款功能強大而小巧的防火牆也是很重要的--起碼有防止DDOS攻擊和防arp欺騙攻擊功能(對區域網路用戶尤為重要)。

常用軟體

CFW(COMODO Fire Wall)--AD+FD+RD+ND

SNS(Safe'n'Sec Personal)--AD+FD+RD,

SSM(System Safety Monitor),--免費版AD+RD,商業註冊版AD+FD+RD

PG(ProcessGuard和Port Explorer)--AD+RD,

GSS(Ghost Security Suite)--AD+RD,

SS(SafeSystem 2006)--FD.

EQSecure(國產的E盾)--AD+FD+RD

Malware Defender(奇虎360旗下軟體)--AD+FD+RD+ND

McAfee Host Intrusion Prevention

ESET(ESET NOD32 Antivirus)

Mamatu(現歸為Emsisoft的主防)

其實我覺得這些hips軟體在功能上也大多差不多,更多的我們其實也就是比較一下誰的生命力更頑強(不容易被其他進程幹掉),誰更適合國人所需,誰更簡單易操作,下面我就這些方面做個相對比較簡單的介紹吧!

常用防火牆

常用的Hips軟體中功能最全、最強大的是應是Tiny,它是集AD+RD+FD+傳統網路防火牆,而且在啟動時不拖不卡,資源占用很少又很穩定(用SS經常藍屏重啟),自定義。當然上手起來稍微慢一點兒。

(下面是某位網友測試報告,僅供參考)

SNS

—— 俗稱犀牛,用了兩天。

優點:3D全有。系統欄里小犀牛頭的圖示挺Cool的。警告時有危險等級顯示。

缺點:⑴FD功能在設定上不方便也不全面。說不方便,是因為沒有單獨的大項設定,和AD+RD的規則混在一起,幾百條規則在一起,眼都看花了。說不全面,是FD自定義設定里只有”Creat"、“open”和“Delet”(即“創建”、“打開”和“刪除“),而全面的設定應該是”Creat“、”Write"、“Read”和“Delet"。它的”open“,我試了一下就是禁止使用,關鍵的系統程式肯定不能用這一項來保護,要是惡意程式或病毒程式改動了已經存在的系統關鍵程式,犀牛的FD保護就無能為力了。⑵裝上犀牛後不知是不是試用版的原因,所有預設規則都不能改動,而且其中的幾百條規則的名稱用的是序號,看的頭大。而且AD+RD+FD所有規則混在一起,沒有分類。⑶裝後電腦啟動巨慢;⑷沒有序列號和註冊機,及2.5版的破解版,試用期限一個月。不喜歡。⑸ 似乎沒有磁碟底層保護。

SSM

(System Safety Monitor)

因為我比較喜歡這款:商業版免費版 註冊表監視:高級 基本過程監視:高級 基本底層磁碟訪問控制:有 無底層鍵盤訪問控制:有 無 NT服務監視:高級 基本 IE設定跟蹤:高級 基本用戶程式友好對話:有 無優先支持:高 低開發優先:高 低 Win9x支持:無 有

SSM在聲譽上面是相當不錯的,而且也相對很穩定--雖然能被IceSword幹掉,不過其他的HIPS類好像也都是能被幹掉的,這個不是重點,因為在冰刃要幹掉他們之前,HIPS軟體已經會報警詢問是否允許該項操作,雖然說缺了個FD功能,不過我覺得對個人用戶來說已經相當足夠,起碼我已經有半年時間未中毒插馬了--當然,如果你還是不放心,再裝上個SS補足3D功能也是可以的,最關鍵的是SSM商業版已經被成功破解了(該軟體有簡體中文版),唯一覺得不爽的可能就是早期使用比較繁瑣,畢竟什麼東西的運行都要選擇允許還是禁止也是一件頭疼事,所以一般在剛裝上的時候,我個人建議還是先全部運行一遍所有的你要經常用到的東西就可以了,占用資源也還可以,一般是一個進程10M左右,cpu基本沒感覺.我給SSM打90分

SS

—— 前幾個星期通過了解知道hips要3D都有才夠安全。下了SS,有了SSM+SS的組合。3D全有。

優點:SS的自定義規則方便、直觀。有試用版的破解版本。

缺點:⑴SS的攔截機制是“先斬後奏”,等於是攔完了後彈出框告訴你剛才它做了什麼,再同時問你下次怎樣做,不能在攔的時候提示詢問你如何操作,暈。所有用過的Hips里就SS有這個“特性”。⑵ 運行不穩定。只要一打開VeryCD網站就藍屏重起。網上查找資料時也經常藍屏當機。遂放棄。

GSS

(Ghost Security Suite)

其實用的時間並不是很長,可能沒有多大發言權,不過我個人不是很喜歡這款,因為貌似不太穩定,在運行大型遊戲的時候,似乎CPU容易飆升,這個不少人如此,不知道是不是此軟體本來就是如此,但是GSS還是相當不錯的--簡單明了,有自己的操作模式,不如SSM來的細緻繁瑣,但是也是相當安全,特別是在配合SS使用之下.不過最不爽的是容易被任務管理器幹掉,我昏,而且長時間沒有更新了,不知道搞什麼!不過話說回來,網路廣泛流傳的GSS亞爾迪破解版還是很不錯的.我給GSS打88分,GSS+SS打92分

簡單說下 PGSS,SS規則完善但不夠穩定,PG簡單穩定,大致上PG感覺和SSM以及GSS差不多,就看用戶個人喜好了~~~

Winpooch

(因為沒有用過,所以就只能借用別人的話來說了),相對GSS而言,無疑,GSS的穩定性比Winpooch略強,但是GSS的規則添加到500條左右的時候就會變得很慢,而且GSS只能監控註冊表,但是,Winpooch不只可以監控註冊表,還可以監控檔案的讀取、寫入,還可以監控網路連線,而且Winpooch已經有600多條規則了,對系統的影響還是很小,軟體推薦給你了,好不好用還得你自己測試才最實際。

HIPS是一種能監控你電腦中檔案的運行和檔案運用了其他的檔案以及檔案對註冊表的修改,並向你報告請求允許的的軟體。

HIPS是以後系統安全發展的一種趨勢,只要你有足夠的專業水平,你可以只用HIPS而不需防毒軟體。但是HIPS並不能稱為防火牆,最多只能叫做系統防火牆,它不能阻止網路上其他計算機對你計算機的攻擊行為。

FD

Parador File Protection PE

—— 只有FD,裝後系統啟動比較慢,而且FD功能不全,可以阻止程式創建檔案,不能阻止程式修改已創建的檔案。有個現象一直沒有人提,不知道是不是只有我一個人有,就是裝了PFP後,開機進系統再插上移動硬碟,系統沒有任何反應,也看不到移動硬碟的盤符,卸了PFP之後就沒問題。

Viguard

—— 據說是Hips No.1,法國的。裝後五六次啟動只有一次能進入系統,但拖的要我小命,電腦沒法用。只有在安全模式下刪了。只有試用版。

Tiny

Tiny-AD+RD+FD

—— 都有,還有一般網路防火牆的功能,自定義設定全面,而且有組管理的概念。不拖系統,與SSM兼容性很好,Tiny是所有hips軟體中兼容性和穩定性,及在功能上最好的。有Pro版的註冊碼。推薦安全組合:Tiny+SSM+小紅傘Workstation。

缺點:上手稍感複雜。好像沒有磁碟底層保護。

Host

McAfee Host Intrusion Prevention 可以監控並攔截此類惡意攻擊活動。Host Intrusion Prevention可以保持伺服器正常運轉,並為應用程式、客戶信息以及資料庫等企業資產提供保護。它運用多種成熟的防護方法,包括系統防火牆、簽名分析和活動分析。

4D系統

4D的HIPS相比於3D多了一個ND(Network Defend)保護,也就是一個網路防禦。

很榮幸的,國產就有一款4D的HIPS軟體——中網S3

介紹:

中網S3

(System Security and Safety)是一款主機系統安全工具,主要功能包括:

⑴網路控制:基於Windows的狀態檢測包過濾雙路多層防火牆。

⑵ 套用控制:在Windows上增加系統自主訪問控制和基於規則的強制訪問控制。

⑶ 系統監控:主機系統安全的監控、檢測和審計等。

中網S3主機安全系統,可以解決網路攻擊、網路入侵、殭屍網路、社會工程攻擊、蠕蟲病毒、間諜木馬軟體等系列安全問題。

如果你需要

一款功能強大的Windows防火牆,

一款Windows主機入侵檢測和防禦系統,

一款Windows主機完整性包含軟體,

一款Windows蠕蟲病毒免疫系統,

一款積極防禦的Windows的防間諜軟體等,

中網S3主機安全系統可能是你合適的選擇。

經典

經典HIPS指需要手工制定完整的防禦策略(規則)才能對系統實施保護的一類HIPS,較早出現的HIPS基本上都為這一類型。

CA HIPS & Tiny Firewall Pro(CA、Tiny)

Comodo Firewall Pro V3(CFP、毛豆)

CORE FORCE(CF)

DriveSentry

魔法盾EQSecure(E盾、EQ)

Ghost Security Suite(GSS)

Malware Defender(MD)

ProSecurity(PS)

Safe'n'Sec(犀牛、SNS)

System Safety Monitor(SSM)

中網S3

智慧型

智慧型HIPS指不需要或者較少需要使用者手工制定的防禦策略(規則)即可對系統實施保護的一類HIPS,通常這類HIPS內置了一定的判斷方法和處理規則或者通過網路升級下載規則庫,因此能夠根據程式行為的危險程度進行自動判斷和處理,對於少量難以判斷的程式行為才會提示使用者並由使用者判斷處理。體現出一定的智慧型性,但存在一定的誤報和漏報幾率。

因為再怎么鼓吹 “專家系統”(或者稱行為攔截技術)也不能保證真的有一個 “專家”能幫用戶進行所有選擇,畢竟計算機技術還沒發展到人工智慧AI的水準。

Dynamic Security Agent(DSA) GKR核心加固免疫系統

Mamutu(馬馬屠)

Norton AntiBot(NAB)

Prevx

Threatfire(TF)

Mp(微點) 國產的。

沙盤

沙盤英文名sandbox,也叫沙箱,顧名思義可以看做是一種容器,裡面所做的一切都可以推倒重來,軍事上常用沙盤來進行一些戰爭區域的地形模擬,這個你見過吧?不用了可以把沙子推平重來。

我們所說的沙盤是一種安全軟體,可以將一個程式放入沙盤運行,這樣它所創建修改刪除的所有檔案和註冊表都會被虛擬化重定向,也就是說所有操作都是虛擬的,真實的檔案和註冊表不會被改動,這樣可以確保病毒無法對系統關鍵部位進行改動破壞系統。另外現在沙盤一般都有部分或完整的類似HIPS的程式控制功能,程式的一些高危活動會被禁止,如安裝驅動,底層磁碟操作等。目前沙盤主要有兩大類,一是採用虛擬技術的傳統沙盤,另一個就是採用策略限制的沙盤。

BufferZone、Defensewall、Geswall、SafeSpace、Sandboxie、Software Virtualization Solution、VElite、WindowZones

其它HIPS

Hautesecure、LinkScanner

相關詞條

相關搜尋

熱門詞條

聯絡我們