基于内置行为规则的智能主机入侵防御系统.docVIP

基于内置行为规则的智能主机入侵防御系统 研究与实现 黄靓 (武汉理工大学 计算机科学与技术学院, 湖北 武汉 430063) 摘要: 主机入侵防御系统的出现很好的缓解了特征码在反恶意软件技术上先天的滞后问题, 前摄性防御体系也越来越受到安全业界的重视,然而如何在防御效果和用户体验二者之前寻找一个平衡点,逐渐成为业界关注的焦点.本文旨在探讨该问题的解决思路,并给出一种智能的主机入侵防御系统实现的方案. 关键词:主机入侵防御系统;Windows 内核;Native API; HOOK Research and Implementation of Host Intrusion Prevention System Based on Built-In Rules Huang Liang (School of Computer Science, Wuhan University of Technology., Wuhan 430063, China) Abstract: The emergence of Host intrusion defense system significantly ameliorated the lagging development of anti-malware technology, while proactive defense system also becomes a hot spot of the security industry. However, constructing the balance point of defensive effectiveness and friendly user experience has also gradually become the focus of Internet security. This paper is intended to provide the implementation of an intelligent host intrusion defense system and discuss the solution of the problem mentioned above. Key: Host intrusion defense system; Window Kernel; Native API; HOOK 1 引言 主机入侵防御系统(Host Intrusion Prevent System),简称HIPS. 这是一种能够对程序执行过程及安装程序对系统关键位置进行更改操作进行监控的解决方案。它能够对主动或被动执行操作的用户进行有效地预警提示。HIPS是以程序进程为核心，它可以对某些进程所产生的行为进行严格监控。比如在运行程序，访问网络，更改注册表，程序组件的调用和分配，写入驱动等一系列的操作上都可以对操作计算机的用户进行相应的警告。如果这些操作行为是非正常的，那么用户可以根据提示阻止这类行为的发生，防止未授权的进程对系统关键模块进行恶意篡改，以保障系统安全性。【1】相对于特征码防御,HIPS的防御并不需要依赖于病毒分析师对特定病毒所提取的特征码,可以称之为前摄性防御。但是因为它对系统全方位的监控就不可避免的导致了交互体验上的拙劣---将程序触发的所有主动被动行为都告知用户,而且传统的HIPS根本无法给用户操作的建议,用户必须自己做出判断,对于接触计算机较少的用户,这种将系统安全性完全交托给用户的做法无疑是个灾难。 2 相关工作 主机入侵防御系统至今已经发展了相当长的一段时间,也不乏许多成熟的产品,但是交互体验上的问题仍然是它们难以攻克的礁石. 1.Malware Defender是一款 HIPS 软件，用户可以自己编写规则来防范病毒、木马的侵害。另外，Malware Defender提供了很多有效的工具来检测和删除已经安装在您的计算机系统中的恶意软件。 推荐对计算机系统有较深入了解的用户使用。 ThreatFire : ThreatFire与传统防病毒产品不同，传统防病毒产品依赖过时的“特征码”技术，并且每当出现新威胁时都需要更新特征码。通过持续监控您计算机上的活动，ThreatFire 的 ActiveDefense 技术能够并消灭那些太新太过智能化的威胁，而传统的“基于特征码”的防病毒软件通常对这些威胁束手无策。因为甚至合法软件有时看上去也像是恶意软件，所以 ThreatFire 采用智能行为引擎，只在发现真正的恶意行为时才向您发出警报。这意味您只会在确实必要时才收到警报。 Windows系统中应用程序与操作系统本身是隔离的，操作系统内核代码运行在处理器的环