[转帖] HIPS 主动防御
转自 [url=http://soft.deepin.org/read.php?tid=195788]http://soft.deepin.org/read.php?tid=195788[/url]HIPS介绍之菜鸟版
先给大家看一组数据:
据江民反病毒中心统计,从2008年1月1日到2008年6月30日,反病毒中心共截获新病毒206439种。江民KV病毒预警系统数据显示,1至6月全国共有9871681台计算机感染了病毒。
近日,瑞星发布了《2007年的安全分析报告》,该报告称:2007年瑞星公司共截获新病毒样本917839个,比去年增加70.7%
今年3月19日的华盛顿邮报报道,德国AV测试实验室(AV Test Labs)仅2007年就收集到550万个新病毒样本,这个数量是2006年的4倍,2005年的15倍。现在,国内外反病毒公司普遍认为2008年新病毒的数量将突破1000万个。
你可能会说:这不正说明杀毒软件的重要吗?病毒越猖獗,不越需要安装杀毒软件吗?错!
杀毒软件采取的是黑名单机制(病毒库就是一个黑名单),一个病毒,在病毒库就杀,不在就视为正常程序。这种做法的好处是不干扰正常程序运行,任何人都能用。在病毒还是稀有物种的年代,这种方法是十分有效的——病毒就那么几个,杀了就没事了。但这个年代早已成为甜蜜的回忆。现在的网络环境,病毒数量十分庞大,而且繁殖速度可以和老鼠苍蝇媲美——在一个到处是苍蝇的地方,拍死几只几十只几万只又能如何。
所以说杀毒软件治标不治本。无论升级多么频繁,无论病毒库多大,都只能包含一部分已知病毒,对大量新病毒无能为力。但是新病毒一样是病毒,一样能要人命,所以把保护系统安全的重任完全交给杀软是非常危险的。这一点已经被证明无数次了。
在这种情况下,主动防御应运而生了。
对于主动防御这个概念现在还没有明确的定义,个人认为,凡是不依赖特征码,病毒刚刚出炉就能防御的软件,都可称为主动防御软件。今天介绍的HIPS就是主动防御的一种。
[color=Red]HIPS,全称是Host Intrusion Prevent System,翻译过来是主机入侵防御系统。我们个人用的HIPS可以分为3D:AD(ApplicationDefend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。[/color]
其实HIPS本质上是行为控制软件,能做的事情很多,防范病毒只是它应用的一个方面。利用它你可以对操作系统和各种应用软件随意进行控制。你想让哪个程序运行,它就能运行,不想让哪个程序运行,它就不能运行;你想让哪类文件能创建,它就能创建,不想让哪类文件创建,它就不能创建。但是它又不像某些人想当然地认为的那样,每个动作都拦截,每一步都报警,“拦截!拦截!密不透风!”——如果真有这样的软件,谁用谁脑子有毛病。它是依据规则进行工作的,拦截什么,不拦截什么,操作是询问、允许还是阻止,全在规则。同一个软件,规则不同,效果可能有天壤之别。
由于HIPS依据规则进行工作,所以它没有病毒库,对病毒的识别能力为0,清除能力为0。你也许不放心:既不能识毒,又不能杀毒,如何保证安全?答:正是由于抛弃了病毒库,才超越了病毒库,彻底从病毒库的束缚中解脱出来,从“病毒出现→用户中毒→上报→分析病毒→更新病毒库→新的病毒出现”这一循环中跳出来,获得了极大自由!
为什么HIPS能防御未知病毒(当然已知病毒也不在话下)?未知病毒也是病毒,也会表现出病毒的[b][color=#ff0000]行为[/color][/b],比如将自身复制到系统关键目录,修改注册表实现自动运行,加载驱动取得系统控制权,感染可执行文件,监视键盘输入盗取用户密码等等。传统的杀毒软件,对这些是不管不问的。比如向系统关键目录写入可执行文件,这是典型的病毒行为,杀软只能眼睁睁看着——然后又眼睁睁地看着它进行下一个行为。因为[color=#ff0000][b]它不管病毒行为,只认特征码。[/b][/color]而[b][color=#ff0000]HIPS管的就是软件的行为[/color][/b],它就是专门干这个的。只要针对病毒常见行为编制好规则,将这些行为禁止,再牛的病毒也得废。
下面分别说说3D的作用,即它是怎么对付病毒的。
AD:
最简单最有效的方法是阻止未知程序运行。
全球目前病毒超过数百万种,每天更新在五位数以上,而且呈加速度增长。正常程序全球只有2万种,而且更新很慢。
看了这段话,你会想到什么呢?
很明显,杀毒软件着眼于前者,研究这每天不断增加和更新、数量庞大的病毒,提取其特征码,然后更新病毒库。这样做的结果是显而易见的。而HIPS不同,它着眼于后者。正常程序全球只有2万种,具体到每台电脑,数量就更少了。请你看看自己的电脑,除了系统自带的程序以外,你常用的程序是否超过100个?一般人二三十个就足够使用了。我只允许这二三十个程序运行,其余一律禁止。外面的世界病毒再嚣张,与我何干?
当然一个病毒即使成功运行,靠AD也是可以防范的,因为病毒要进行破坏,必须进行一系列操作,而这些操作都处在HIPS的监控之下。
RD:
没有安装HIPS的电脑,其注册表是不设防的,任何程序均可随意修改,包括重要和危险键值。而有了HIPS,就可以把这些键值保护起来。略举一例:任何病毒都需要修改注册表,实现开机启动。如果把这些键值保护起来,使病毒不能随系统启动,那它就只能称为垃圾而没有任何危害。还用得着杀吗?任何危险的能被病毒利用的地方,都可以保护起来。
FD:
病毒的实质是什么?程序。它以什么形式存在?文件。因此,只要设好规则,禁止特定文件建立,就可以有效杜绝病毒入侵。就像人是以肉体的形式存在,没有了肉体,怎能做坏事?
除了能够防御未知病毒以外,HIPS还有杀软不可企及的优点:防患于未然。只要规则设置得当,除非你故意下载,病毒不会进入系统(3DHIPS)。即使进入,除非你双击,病毒不会运行。即使运行,除非你给它设置例外规则,病毒不会造成破坏。就是说,在它保护下,中毒将是遥不可及的事,你不会有什么损失。而杀软是典型的事后补救型。很明显,防应重于杀——爱姬(爱机)被罪犯侵犯过后,即使杀了他泄愤,也不可能恢复到象什么都没发生过啦。
如果说杀毒软件是药物,HIPS就是疫苗了。和人类使用的疫苗不同的是,它不针对某一种具体的疾病,而是免疫各种各样的疾病(要是有用于人体的这种疫苗就好了)。
既然HIPS如此神奇,为什么用者寥寥呢? 原因一是HIPS历史比较短,2006年才在中国兴起,大多数人从未听说过。二是人们普遍认为HIPS比较困难和麻烦。关于这一点,可以参考[url=http://soft.deepin.org/read.php?tid=660977&fpage=7]http://soft.deepin.org/read.php?tid=660977&fpage=7[/url]
谈到系统安全,无数人提到“良好的上网习惯”,甚至有人说“再好的杀软也抵不过一个好的上网习惯”、“养成好的上网习惯,裸奔也中不了毒”。对这种说法,我嗤之以鼻。这也是一种被动防御。啥叫“良好的上网习惯”?说白了就是自缚手脚这也不敢那也不敢这也要小心那也要注意。有人说“不上乱七八糟的网站,中毒几率就小的多”,这话我信,而且我还相信,只要关闭电源,中毒几率就会降为0。但是,你买电脑是为了什么呢?网络如此精彩,但是整天小心翼翼战战兢兢,还有什么乐趣?山珍海味满汉全席摆在你面前,但你总疑心别人要杀你,你能吃出味道?!豪华轿车买回来,却不敢上高速公路,岂非暴殄天物?!正确的做法是:不能逆来顺受,而要翻身作主人!不再看别人脸色行事!任你危机重重,我只视作无物!任何网站随便上,不明链接随便点!百花从中过,片叶不沾身!这才是真正的主动防御!这才是安全软件应该带给我们的安全体验!
使用了HIPS,还有必要安装杀软吗?个人意见,可以选用一款绿色的,定期扫描和用于下载新软件后查毒。 比较好的 HIPS 软件:
ThreatFire (TF) 智能型
Ghost Security Suite (GSS) 手动型
Safe'n'sec(SNS) 手动型
CA HIPS & Tiny Firewall Pro(CA、Tiny) 不过这类软件有个很麻烦的地方
如果没配好的话,可能练驱动都不让你装……
页:
[1]