献给菜鸟-HIPS初识+Hips及其智能化.doc

转帖献给菜鸟-HIPS初识+Hips及其智能化一、 关于Hips的基本概念.HIPS：Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。二、HIPS原理以及和杀毒软件、防火墙的区别.杀毒软件：计算机病毒指的是一些具有恶意代码可能危害计算机的程序。杀毒软件基本上应当具有以下两个基本功能：1：杀毒- 即对带毒文件或病毒本身进行查杀的功能。2：监控- 一般具有文件监控，网页监控（即监控远程80/8080等常用端口），邮件监控（即监控POP和SMTP端口），等。能够杀毒防毒的是杀毒软件，不是防火墙。防火墙：简单的理解，防火墙是架在两个互相通信主机之间的一个屏障，对非法数据包进行过滤。我们使用的多数个人防火墙基本具有：防止非法入侵（防止内连） 与 防止本地非法外连 的功能，而SP2系统自带的墙没有后者的功能。基于这两点，我们可以简单理解防火墙的两个作用：1：通过阻止非法数据包，防止黑客通过某些手段入侵。2：防止木马发生外连盗取本地机密信息。个人防火墙没有杀木马的功能，它所做的是在中了木马之后，通过规则禁止其外连以免丢失数据。现在有不少厂商将自己的杀软和防火墙做成一个网络防护体系，比如：KIS（卡巴） NIS（诺顿） MIS（咖啡）等。HIPS：Host Intrusion Prevent System 主机入侵防御系统所谓hips（主机入侵防御体系），亦即系统防火墙。它有别于传统意义上的网络防火墙（nips）。二者但主要区别是：传统的nips网络防只有在你使用网络的时候，通过特定的 tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端；而hips是限制进程调,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时，这个行为就会被所hips检测，然后弹出警告，询问用户是否允许运行。一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，以防中毒、插马的可能性。比如卡巴，咖啡等也具备有一些hips的功能,但功能上比不了专业的hips软件.三、 HIPS功能的类别HIPS功能的类别可以分为3D： 1.AD(Application Defend)应用程序防御体系、2.RD(Registry Defend)注册表防御体系、3.FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。目前在有些杀软或防火墙中，也含HIPS功能。四、 Hips软件的大全1Tiny Firewall (网络防火墙)，功能：AD+RD+FD,2SafenSec (简称SNS或犀牛)， /功能：AD+FD+RD,3SystemSafeMonitor(简称SSM),/功能：:AD+RD4SafeSystem (简称ss) ， /english/main.html功能：SS(SafeSystem 2006)-FD5GhostSecuritySuite（简称GSS），功能：AD+RD6ProcessGuard(简称PG), .au/processguard/功能：AD+RD7 Winpooch ，/projects/winpooch功能：一条忠实的“看家狗”, 使用api hook技术,可以对几乎所有的可疑操作进行监控、报告或阻止。8. Parador File Protection PE /功能：FD 9. EQSecure for System, 功能： AD+FD+RD, 一款国产HIPS软件.10. ProSecurity， /功能:FD+RD，作者是中国人11. Privacyware Dynamic Security Agent - 12. ANTIHOOK 澳大利亚的PD，.au/AntiHook.php13. Arovax Shied美国的，/download.php14. Malware Sweeper Pro，/15. Core Force，/in . e&page=download16 . Watcher，/kubicle/watcher/17. DefenseWall ， / 18. BufferZone SAE/Home/Pro ， / 19. GreenBorder ， /20. Virtual Sandbox ，/products/vsb/vsb.htm 21. VELite ， /22. SandBoxie ， / 23. RunSafe ， /24. 1-Defender ， /1-defender/25. All-Seeing-Eyes ， /ase26. GesWall ， / 27. winpatrol，/一、hips简介HIPS是英文“Host Intrusion Prevent System”的缩写，通常被翻译为“主机入侵防御系统”。HIPS如何防御入侵？一般来说，HIPS通过应用程序控制AD、文件保护FD、注册表保护RD、网络访问控制ND来实现。（一）应用程序控制类 AD 应用程序控制功能，也就是我们通常描述HIPS软件时所提到的AD（Application Defend）功能，是HIPS软件最重要也是最基本的功能。在Windows系统上，应用程序的行为是造成Windows系统威胁的根本原因。计算机感染病毒、被植入木马等问题的核心都是应用程序被执行且产生了恶意行为。 应用程序控制功能需要对应用程序可能对操作系统带来危害的主要行为进行控制，使用户在使用HIPS后可以及时发现这些行为并及时阻止。高级些的HIPS还需要对应用程序的执行进行控制，对可执行文件的完整性进行校验，已知程序运行控制，未知程序运行控制，已更改程序运行控制，自启动程序控制，创建子进程控制，打开进程控制，DLL注入控制，打开网络连接控制，OLE对象控制等。（二）文件控制类 FD文件控制功能就是通常所说的FD（File Defend）功能。HIPS对操作系统的文件读写进行控制。这种控制包括两个方面： 首先是对未知应用程序试图进行文件读写操作的行为进行控制。其次是对关键路径进行保护。未知程序向Windows、Windowssystem32、Documents and Settings等目录写文件都是非常危险的动作。（三）注册表控制类 RD 注册表控制类通常被成为HIPS的RD（Registry Defend）功能。注册表是应用程序运行的重要入口，在Windows系统中预留了类似于Run、RunOnce等特殊注册表项，用以在操作系统启动时自动运行相应的应用程序，此外注册表还决定了应用程序的引导方式，如作为驱动引导、作为服务引导还是作为一般应用程序引导，引导顺序也可以指定。HIPS对操作系统的注册表读写进行控制，这种控制包括两个方面： 首先是未知应用程序读写注册表的行为，HIPS软件应该可以及时进行控制，木马通常会在运行后将自身写入自动运行键以开启后门。 其次是对关键注册表项进行保护，防止恶意软件通过正常应用程序以授权权限写关键注册表项。（四）网络控制类 ND一般来说，在用户拥有足够进程相关方面知识的情况下，3D联防能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上不大可能了。但是，3D联防也不是最安全的，用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人*去用户的个人隐私的，所以，hips对网络控制也很重要。HIPS对网络行为进行控制，不仅需要完成主机、端口过滤，也需要对试图访问网络的应用程序进行控制，进方向连接控制 ，出方向连接控制 ，状态检测，IP监控等。二、hips“智能化”分析（一）微点的“智能化”模式对于智能化的hips尚没有一个权威的定义。目前市面上以“智能化hips”自称的大概是微点主动防御软件。该软件有四个模块：已知病毒识别、未知病毒识别、可疑程序诊断、进程来源分析。官方介绍：1、首创动态仿真反病毒专家系统：对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。 2、自动准确判定新病毒：分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口（API）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新病毒，明确报告诊断结论；有效克服当前安全技术大多依据单一动作，频繁询问是否允许修改注册表或访问网络，给用户带来困惑以及用户因难以自行判断，导致误判、造成危害产生或正常程序无法运行的缺陷。 3、程序行为监控并举：在全面监视程序运行的同时，智能分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表。 4、自动提取特征值实现多重防护：在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提取病毒特征码并自动更新本地未知特征库，实现捕获、分析、升级自动化，更有效阻止同一个病毒的再次感染，使用户系统得到安全高效的多重防护。 5、可视化显示监控信息：微点软件对所监控的程序行为，包括程序运行、程序生成、网络信息、攻击日志等大量信息可视化显示出来，用户能直观掌握系统的运行状态，并依据其分析系统的安全性。 从以上文字可以看出，该软件一再强调通过病毒行为之分析、监控病毒行为以达到主动防御之目的。这的确符合HIPS的主动防御是基于行为分析之原理。但是，该说明有一处应引起大家注意“病毒识别规则知识库”、“发现新病毒后自动提取病毒特征码并自动更新本地未知特征库，实现捕获、分析、升级自动化，更有效阻止同一个病毒的再次感染，使用户系统得到安全高效的多重防护”等，那么微点究竟是基于“行为分析”还是“病毒特征码分析”呢？还是两个都有？这难免给人一种闪烁其词的模糊感觉。当然，也有人认为，“主动防御将发展为病毒码方法的一系分支，只不过它所根据的并非程序码模式，而是行为”。这句话有点不可思议，至少从逻辑上可以这么认为：行为是行为，特征码是特征码，一个是动态的事实，一个是静态的文本，二者不可同日而语。不能把行为分析归入在病毒特征码分析，二者还是有明显的区别。无怪乎微点给我们第一印象是杀软。我们没有必要一味强调“行为分析”而排斥“病毒特征码分析”，也没有必要一味强调“病毒特征码分析”而降低“行为分析”的独立性。尽管“病毒特征码分析”和“行为分析”是有一定区别，但是并不排除hips磨合两个模块的可能，只是软件开发者在考虑到各种因素后而有所偏好或舍弃。（二）hips“智能化”概念微点有关程序（包括病毒）行为分析及其控制机制，为“智能化”之界定提供了一个比较清晰的模式：“动态监视所运行程序调用各种应用编程接口（API）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性”，“在全面监视程序运行的同时，智能分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表”等。可见，“智能化”是指对程序行为的自动判断、控制和处理行为。然而，“智能化”只能建立在软件开发者等对各种程序行为分析、归纳、总结基础上，得出的一般规律，制定默认规则，做出普遍的安全