什么是HIPS什么是HIPS.doc

什么是HIPS ？ 我们为什么需要HIPS防护 什么是HIPS ？ 我们为什么需要HIPS防护写在前言此文将帮助大家深入了解HIPS的概念及其重要性...HIPS是英文“Host Intrusion Prevent System”的缩写，我们通常翻译为“主机入侵防御系统”。随着网络的不断普及，信息的传播速度越来越快，软件系统也越来越复杂，随之而来的是主机安全问题日益严峻，我们一旦接入互联网就会面临黑客的扫描、网页恶意代码、病毒、间谍软件、木马、流氓软件等各种威胁。为了解决这些问题，安全厂家先后研发出了个人防火墙、防病毒等安全产品，但是在2006年，这些产品受到了前所未有的挑战：首先，传统的个人防火墙不再有效。传统的个人防火墙，如天网个人防火墙等，可以对经过本机的网络数据流量进行控制，做到不允许外部计算机扫描本机，同时本机只有指定的应用程序可以外出访问网络，高级些的防火墙还可以对外出访问的目标地址、端口和协议进行过滤。但是现在网络威胁已经远远不是端机的主要威胁，黑客们更习惯在你访问某个网站时通过浏览器悄悄地下载一个恶意软件，然后想办法让它运行，进而盗走敏感信息，或者bomb出广告窗口。在这种趋势下，仅简单对网络访问进行控制而不对应用程序行为进行控制的传统个人防火墙将难以应对。其次，基于特征码扫描技术的防病毒产品面临巨大挑战。2007年在美国旧金山举行的RSA Conference大会上，专家纷纷表示，“越来越复杂的恶意软件不断繁衍，传统的、以签名（特征码）为基础的安全软件对于病毒和蠕虫的阻挡能力正受到越来越多的质疑。”“仅2007年一年就会新出现至少20万种病毒及变种，签名技术正在网络黑客的攻击下摇摇欲坠。同时，反病毒软件公司的病毒库都平均落后于恶意软件两个月。”在国内，熊猫烧香病毒的肆虐也说明了这样一个问题，病毒已经和系统漏洞、流氓软件等进行了捆绑，变种更新和传播的速度远超想象，在没有新的特征库更新前防病毒软件对未知病毒束手无策。 由于上述种种原因，安全厂家开始寻找新的解决方案，以主动防御为思想的主机入侵防御系统日渐成熟，在今天，可能只有HIPS才是能解决端机上复杂安全问题的希望。 HIPS软件以进程为核心，可以对进程所产生的行为，如运行、访问网络、访问注册表、访问文件、注册驱动、进程注入、组件调用等进行监控，并且可以向你发送行为报告，如果你阻止了某个异常行为，那么它将无法执行此行为。同时，HIPS还可以通过类似的监控手段对文件、注册表、网络等资源进行保护，防止未授权进程对其读写或扫描。举个例子，当你在上网的时候不小心下载了一个恶意软件，而这个恶意软件在试图进行执行、操作注册表获得下次启动入口、访问网络试图带出数据时，HIPS软件会根据您的策略bomb出对话框询问或直接阻止这些行为，使得系统免受威胁。由于HIPS这种可以针对行为进行控制的特性，使得HIPS可以防御未知恶意软件，你所要做的仅仅是判断未知应用程序的行为是否正常，在发现异常时及时阻止。 用一句大家都很熟悉的话来说：“病毒变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。” 我们个人用的HIPS可以分为3D： AD(Application Defend)应用程序防御体系 RD(Registry Defend)注册表防御体系 FD(File Defend)文件防御体系 它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。 HIPS(主机入侵防御体系)有别于传统意义上的网络防火墙HIPS.二者虽然都是防火墙，但是在功能上其实还是有很大差别的： 传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上，通过特定的tcp/ip协议来限定用户访问某一ip地址，或者也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用处的；而hips系统防火墙就是限制诸如a进程调用b进程，或者禁止更改或者添加注册表文件--打个比方说，也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被hips检测到然后bomb出警告询问用户是否允许运行，用户根据自己的经验来判断该行为是否正确安全，是则放行允许运行，否就不使之运行，一般来说，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上很低很低了.但是，只是装上个hips也不是最安全的，毕竟--用户穿上的只是个全透明防bomb衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DD