HIPS基于主机的入侵防御系统.docx
- 文档编号:13804033
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:9
- 大小:21.98KB
HIPS基于主机的入侵防御系统.docx
《HIPS基于主机的入侵防御系统.docx》由会员分享,可在线阅读,更多相关《HIPS基于主机的入侵防御系统.docx(9页珍藏版)》请在冰点文库上搜索。
HIPS基于主机的入侵防御系统
Host-basedIntrusionPreventionSystemHIPS,基于主机的入侵防御系统。
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件和文件对注册表的修改,并向你报告请求允许的的软件。
若是你阻止了,那么它将无法运行或更改。
比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒仍是没有运行的。
引用一句话:
”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。
”。
HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。
可是HIPS并非能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的解决行为。
因为病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。
咱们个人用的HIPS可以分为3D:
AD(ApplicationDefend)应用程序防御体系
RD(RegistryDefend)注册表防御体系
FD(FileDefend)文件防御体系
它通过可定制的规则对本地的运行程序、注册表的读写操作、和文件读写操作进行判断并允许或禁止。
所谓hips(主机入侵防御体系),也就是此刻大家所说的系统防火墙,它有别于传统意义上的网络防火墙nips.
二者虽然都是防火墙,可是在功能上其实仍是有很大不同的:
传统的nips网络防火墙说白了就是只有在你利用网络的时候能够用上,通过特定的tcp/ip协议来限定用户访问某一ip地址,或也可以限制互联网用户访问个人用户和服务器终端,在不联网的情况下是没有什么用途的;而hips系统防火墙就是限制诸如a进程挪用b进程,或禁止更改或添加注册表文件--打个例如说,也就是当某进程或程序试图偷偷运行的时候老是会挪用系统的一些其他的资源,这个行为就会被hips检测到然后弹出警告询问用户是不是允许运行,用户按照自己的经验来判断该行为是不是正确安全,是则放行允许运行,否就不使之运行,一般来讲,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能超级有效的避免木马或病毒的偷偷运行,这样对于个人用户来讲,中毒插马的可能性就大体上很低很低了.可是,只是装上个hips也不是最安全的,毕竟--用户穿上的只是个全透明防弹衣也仍是会被某些别有效心的人偷窥去用户的个人隐私的,所以,选用一款功能壮大而小巧的防火墙也是很重要的--最少有避免DDOS解决和防arp欺骗解决功能(对内网用户尤其重要)!
上面是对hips和防火墙作个区别,因为杀软和这两类软件不同比较大,就不拿到这里来讲了,下面我具体介绍一下hips和常见的几款hips安全软件,希望对列位有所裨益!
常常利用的HIPS软件有:
SNS(Safe'n'SecPersonal)--AD+FD+RD,
SSM(SystemSafetyMonitor),--免费版AD+RD,商业注册版AD+FD+RD
PG(ProcessGuard和PortExplorer)--AD+RD,
GSS(GhostSecuritySuite)--AD+RD,
SS(SafeSystem2021)--FD.
EQSecure(国产的E盾)--AD+FD+RD
其实我感觉这些hips软件在功能上也大多差不多,更多的咱们其实也就是比较一下谁的生命力更顽强(不容易被其他进程干掉),谁更适合国人所需,谁更简单易操作,下面我就这些方面做个相对比较简单的介绍吧!
首先是SSM(SystemSafetyMonitor)因为我比较喜欢这款:
商业版免费版注册表监视:
高级大体进程监视:
高级大体底层磁盘访问控制:
有无底层键盘访问控制:
有无NT服务监视:
高级大体IE设置跟踪:
高级大体用户程序友好对话:
有无优先支持:
高低开发优先:
高低Win9x支持:
无有
SSM在声誉上面是相当不错的,而且也相对很稳定--虽然能被ICEword干掉,不过其他的hips类仿佛也都是能被干掉的,这个不是重点,因为在冰刃要干掉他们之前,hips软件已经会报警询问是不是允许该项操作,虽说缺了个FD功能,不过我感觉对个人用户来讲已经相当足够,最少我已经有半年时间未中毒插马了--固然,若是你仍是不安心,再装上个SS补足3D功能也是可以的,最关键的是SSM商业版已经被成功破解了(该软件有简体中文版),唯一感觉不爽的可能就是初期利用比较繁琐,毕竟什么东西的运行都要选择允许仍是禁止也是一件头疼事,所以一般在刚装上的时候,我个人建议仍是先全数运行一遍所有的你要经经常利用到的东西就可以够了,占用资源也还可以,一般是一个进程10M左右,cpu大体没感觉.我给SSM打90分
其次是SNS(Safe'n'SecPersonal)--他是3D的哦,它成立在行为分析的基础上,有最先进的预先侦查系统,可以避免病毒渗透计算机,破坏信息,对计算机多了一层保护,在计算机保护方面实现重大冲破。
同时,快速安装,易于操作的界面,和反病毒软件和个人防火墙极好的兼容性,智能的决策技术,最强的保护和对系统运行的最小影响等特点更增加了Safe'n'sec的魅力--汗,这个是官方介绍,我自己感觉是相当的牛了,不过我自己尚未效过--这是全英文版本英语太菜,而且没有破解(专业加密公司出品,想破解难度好大的),在网上看过测评,听说是比GSS+SS还要牛的.我给SNS打95分
再下来就是GSS(GhostSecuritySuite),其实用的时间并非是很长,可能没有多大发言权,不过我个人不是很喜欢这款,因为貌似不太稳定,在运行大型游戏的时候,似乎CPU容易飙升,这个很多人如此,不知道是不是此软件本来就是如此,可是GSS仍是相当不错的--简单明了,有自己的操作模式,不如SSM来的细致繁琐,可是也是相当安全,特别是在配合SS利用之下.不过最不爽的是容易被任务管理器干掉,我昏,而且长时间没有更新了,不知道弄什么!
不过话说回来,此刻网路普遍流传的GSS亚尔迪破解版仍是很不错的.我给GSS打88分,GSS+SS打92分
简单说下PG和SS,SS规则完善但不够稳定,PG简单稳定,大致上PG感觉和SSM和GSS差不多,就看用户个人喜好了~~~
最后还提一款hips软件--Winpooch(因为没有效过,所以就只能借用他人的话来讲了),相对GSS而言,无疑,GSS的稳定性比Winpooch略强,可是GSS的规则添加到500条左右的时候就会变得很慢,而且GSS只能监控注册表,可是,Winpooch不只可以监控注册表,还可以监控文件的读取、写入,还可以监控网络连接,而且目前Winpooch已经有600多条规则了,对系统的影响仍是很小,软件推荐给你了,好不好用还得你自己测试才最实际。
EQSecure也是3D的,也是一款优秀的HIPS软件,官方介绍:
魔法盾EQSecure是一款Hips类型的软件,此类软件可以由用户通过编制规则来实现对系统各类操作的自由控制,计算机程序的每一个动作,经用户允许方可执行,未经允许则不能执行。
用户通过预设规则,对正常的操作给予允许,对有害动作加以阻止,从而防御有害程序的入侵和破坏,达到保护计算机系统的目的。
其与防毒程序的不同在于:
防毒程序是通过对已知病毒的查杀来起到保护作用,对新出现的未知病毒没有作用,具有滞后性;而Hips类软件是通过对程序操作动作的控制来实现防护作用,不依赖于病毒库,具有超前性,可以有效预防未知病毒等各类有害程序。
尤其在各类木马程序、流氓程序层出不穷的今天,传统杀毒软件疲于奔命,显得惨白无力,Hips类软件的防护作用就愈来愈突出。
魔法盾EQSecure正是这种软件中功能突出的一款国产软件。
目前包括应用程序控制、注册表控制和文件控制三个方面。
应用程序控制包括对应用程序的运行、库文件加载、驱动程序加载、物理内存访问、物理磁盘读写、服务安装等22项动作的控制;注册表控制包括对注册表项及值的创建、修改、删除的控制;文件控制包括对文件及文件夹的创建、读取、修改、删除和隐藏的控制,控制全面且细致。
一个病毒想要达到入侵并运行的目的,首先要能将自身文件复制到计算机的硬盘上,其次要通过写注册表等方式实现自动运行,而且在运行时不会受到拦截,其中只要有一个环节不成功,病毒就不能得逞。
而魔法盾EQSecure的防护是三个环节同时进行的,是三位一体的立体式防护,防护全面而完全,从理论上讲,只要规则设置得够全面、周密,就可以够避免一切已知或未知病毒的入侵。
不仅如此,魔法盾EQSecure还加入了沙盘的功能,通过开辟一块儿虚拟空间,使可疑程序对计算机系统的操作只在虚拟的空间里进行,保证程序正常运行的同时,避免实机系统受到病毒破坏。
HIPS与沙盘的有机结合,使魔法盾在安全性和易用性上都提升了一个台阶,这活着界上也是一个初创。
用了hips软件,大体上,杀软可以卸载了,呵呵,可是防火墙最好仍是要的.至于每款软件的具体教程,网上有很多,我这里也就不一一赘述了,感兴趣的人,咱们却是可以一路探讨,呵呵!
另外说句,这种hips软件和杀软和防火墙的选用一样,没有所谓的最好,只有对你个人而言的更好,所以,怎么选择,全看你自己。
●●●
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件和文件对注册表的修改,并向你报告请求允许的的软件。
若是你阻止了,那么它将无法运行或更改。
比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒仍是没有运行的。
HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。
可是HIPS并非能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的解决行为。
个人用的HIPS可以分为3D:
AD(ApplicationDefend)--应用程序防御体系、RD(RegistryDefend)注册表防御体系、FD(FileDefend)文件防御体系。
它通过可定制的规则对本地的运行程序、注册表的读写操作、和文件读写操作进行判断并允许或禁止。
目前在有些杀软或防火墙中,也含HIPS功能。
常常利用的HIPS软件:
常常利用的Hips软件中功能最全、最壮大的是应是Tiny,它是集AD+RD+FD+传统网络防火墙,而且在启动时不拖不卡,资源占用很少又很稳定(用SS常常蓝屏重起),自概念。
固然上手起来略微慢一点儿。
(下面是某位网友测试报告,仅供参考)
一、SNS--俗称犀牛,用了两天。
长处:
3D全有。
系统栏里小犀牛头的图标挺Cool的。
警告时有危险品级显示。
缺点:
(1)FD功能在设置上不方便也不全面。
说不方便,是因为没有单独的大项设置,和AD+RD的规则混在一路,几百条规则在一路,眼都看花了。
说不全面,是FD自概念设置里只有”Creat"、“open”和“Delet”(即“创建”、“打开”和“删除“),而全面的设置应该是”Creat“、”Write"、“Read”和“Delet"。
它的”open“,我试了一下就是禁止利用,关键的系统程序肯定不能用这一项来保护,如果歹意程序或病毒程序改动了已经存在的系统关键程序,犀牛的FD保护就无能为力了。
(2)装上犀牛后不知是不是试用版的原因,所有预设规则都不能改动,而且其中的几百条规则的名称用的是序号,看的头大。
而且AD+RD+FD所有规则混在一路,没有分类。
(3)装后电脑启动巨慢;(4)没有序列号和注册机,及2.5版的破解版,试用期限一个月。
不喜欢。
(5)似乎没有磁盘底层保护。
二、SSM——正在用的东东,已经在我的两台电脑上呆了两三个月了。
长处:
AD+RD的防护十分全面。
记得前段时间有个测试,十几、二十几种方式终止程序,SSM都通过。
PG只能过几项。
有磁盘底层保护。
还可保护*.INI文件。
商业版虽然只能用30天,不过通过修改注册表就可以够一直用,使每次开机都有30天的试用期,谢谢坛友们分享自己的经验。
运行稳定。
缺点:
固然是没有FD功能了;还有,没有危险品级提示,只能完全凭利用者的经验判断,有时弹出的框太频繁只能狂点,点的手都酸了。
3、SS——前几个礼拜通过了解知道hips要3D都有才够安全。
下了SS,有了SSM+SS的组合。
3D全有。
长处:
SS的自概念规则方便、直观。
有试用版的破解版本。
缺点:
(1)SS的拦截机制是“先斩后奏”,等于是拦完了后弹出框告知你适才它做了什么,再同时问你下次如何做,不能在拦的时候提示询问你如何操作,晕。
所有效过的Hips里就SS有这个“特性”。
(2)运行不稳定。
只要一打开VeryCD网站就蓝屏重起。
网上查找资料时也常常蓝屏死机。
遂放弃。
4、GSS——只用过单独RD的深山红叶版,用的那段时间没中过歹意软件的毒,比较壮大。
个人以为SSM与GSS的功能上相同,而且SSM有简体中文版,也常常升级。
GSS仿佛只有延长了试用天数的试用版,也没有什么升级,所以没有打算用GSS。
缺点固然是没有FD了。
五、Winpooch——可爱的狗狗,运行不太稳定,比较拖系统,功能也不全面。
装上后只用了两个小时不到就Kill了它。
六、ParadorFileProtectionPE-只有FD,装后系统启动比较慢,而且FD功能不全,可以阻止程序创建文件,不能阻止程序修改已创建的文件。
有个现象一直没有人提,不知道是不是只有我一个人有,就是装了PFP后,开机进系统再插上移动硬盘,系统没有任何反映,也看不到移动硬盘的盘符,卸了PFP以后就没问题。
7、Viguard-听说是HipsNo.1,法国的。
装后五六次启动只有一次能进入系统,但拖的要我小命,电脑无法用。
只有在安全模式下删了。
目前只有试用版。
八、Tiny-AD+RD+FD都有,还有一般网络防火墙的功能,自概念设置全面,而且有组管理的概念。
不拖系统,与SSM兼容性很好,Tiny是所有hips软件中兼容性和稳定性,及在功能上最好的。
有Pro版的注册码。
推荐安全组合:
Tiny+SSM+小红伞Workstation。
缺点:
上手稍感复杂。
仿佛没有磁盘底层保护。
4D的HIPS:
4D的HIPS相较于3D多了一个ND(NetworkDefend)保护,也就是一个网络防御。
很荣幸的,国产就有一款4D的HIPS软件——中网S3
介绍:
中网S3(SystemSecurityandSafety)是一款主机系统安全工具,主要功能包括:
(1)网络控制:
基于Windows的状态检测包过滤双路多层防火墙。
(2)应用控制:
在Windows上增加系统自主访问控制和基于规则的强制访问控制。
(3)系统监控:
主机系统安全的监控、检测和审计等。
中网S3主机安全系统,可以解决网络解决、网络入侵、僵尸网络、社会工程解决、蠕虫病毒、间谍木马软件等系列安全问题。
若是你需要
一款功能壮大的Windows防火墙,
一款Windows主机入侵检测和防御系统,
一款Windows主机完整性包括软件,
一款Windows蠕虫病毒免疫系统,
一款踊跃防御的Windows的防间谍软件等,
中网S3主机安全系统可能是你适合的选择。
●●●
经典HIPS
经典HIPS指需要手工制定完整的防御策略(规则)才能对系统实施保护的一类HIPS,较早出现的HIPS大体上都为这一类型。
CAHIPS&TinyFirewallPro(CA、Tiny)
ComodoFirewallProV3(CFP、毛豆)
COREFORCE(CF)
DriveSentry
魔法盾EQSecure(E盾、EQ)
GhostSecuritySuite(GSS)
MalwareDefender(MD)
ProSecurity(PS)
Safe'n'Sec(犀牛、SNS)
SystemSafetyMonitor(SSM)
中网S3
智能HIPS
智能HIPS指不需要或较少需要利用者手工制定的防御策略(规则)即可对系统实施保护的一类HIPS,通常这种HIPS内置了必然的判断方式和处置规则,因此能够按照程序行为的危险程度进行自动判断和处置,对于少量难以判断的程序行为才会提示利用者并由利用者判断处置。
表现出必然的智能性。
DynamicSecurityAgent(DSA)
GKR内核加固免疫系统
Mamutu(马马屠)
NortonAntiBot(NAB)
Prevx
Threatfire(TF)
沙盘HIPS
什么是沙盘?
沙盘英文名sandbox,也叫沙箱,顾名思义可以看做是一种容器,里面所做的一切都可以推倒重来,军事上常常利用沙盘来进行一些战争区域的地形模拟,这个你见过吧?
不用了可以把沙子推平重来。
咱们所说的沙盘是一种安全软件,可以将一个程序放入沙盘运行,这样它所创建修改删除的所有文件和注册表都会被虚拟化重定向,也就是说所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。
另外此刻沙盘一般都有部份或完整的类似HIPS的程序控制功能,程序的一些高危活动会被禁止,如安装驱动,底层磁盘操作等。
目前沙盘主要有两大类,一是采用虚拟技术的传统沙盘,另一个就是采用策略限制的沙盘。
BufferZone、Defensewall、Geswall、SafeSpace、Sandboxie、SoftwareVirtualizationSolution、VElite、WindowZones
其它HIPS
Hautesecure、LinkScanner
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- HIPS 基于 主机 入侵 防御 系统