"橫霸霸"

2010年1月11日 星期一

瞭解什麼是HIPS?HIPS有哪些軟體可用?

來源: 探索者空間雜誌

所謂HIPS(主機入侵防禦系統),也就是現在大家所說的系統防火牆,它有別於傳統意義上的網路防火牆NIPS.

二者雖然都是防火牆,但是在功能上其實還是有很大差別的:傳統的NIPS網路防火牆說白了就是只有在你使用網路的時候能夠用上,通過特定的TCP/IP協議來限定用戶訪問某一IP地址,或者也可以限制網際網路用戶訪問個人用戶和伺服器終端,在不連網的情況下是沒有什麼用處的HIPS系統防火牆就是限制諸如a進程調用b進程,或者禁止更改或者添加登錄檔資料--打個比方說,也就是當某進程或者程式試圖偷偷執行的時候總是會調用系統的一些其他的資源,這個行為就會被HIPS檢測到然後彈出警告詢問用戶是否允許執行,用戶根據自己的經驗來判斷該行為是否正確安全,是則放行允許運行,否就不使之運行,一般來說,在用戶擁有足夠進程相關方面知識的情況下,裝上一個HIPS軟體能非常有效的防止木馬或者病毒的偷偷執行,這樣對於個人用戶來說,中毒掛馬的可能性就基本上很低很低了.但是,只是裝上個HIPS也不是最安全的,畢竟--用戶穿上的只是個全透明防彈衣也還是會被某些別有用心的人偷窺去用戶的個人隱私的,所以,選用一款功能強大而小巧的防火牆也是很重要的--起碼有防止DDOS攻擊和防ARP欺騙攻擊功能(對內網用戶尤為重要)!
上面是對HIPS和防火牆作個區別,因為防毒軟體和這兩類軟體差別比較大,就不拿到這裡來說了,下面我具體介紹一下NIPS以及常見的幾款NIPS安全軟體,希望對各位有所裨益!

我們個人用的HIPS可以分為3D:

AD(Application Defend)應用程式防禦系統
RD(Registry Defend)登錄檔防禦系統
FD(File Defend)檔案防禦系統

常用的HIPS軟體有:
國外的SNS(Safe'n'Sec Personal)--AD+FD+RD
SSM (System Safety Monitor)PG(ProcessGuard和Port Explorer)--AD+RD
GSS (Ghost Security Suite)--AD+RDSS(SafeSystem 2006)--FD

其實我覺得這些HIPS軟體在功能上也大多差不多,更多的我們其實也就是比較一下誰的生命力更頑強(不容易被其他進程幹掉),誰更適合國人所需,誰更簡單易操作,下面我就這些方面做個相對比較簡單的介紹吧!
首先是SSM (System Safety Monitor) --因為我比較喜歡這款:

大致上有以下特點:

* 提供商業版和免費版兩種版本
* 登錄檔監視
* 基本進程監視
* 基本底層磁碟訪問控制
* 底層鍵盤訪問控制
* NT服務監視
* 基本 IE設定跟蹤
* 友善操作界面

SSM在聲譽上面是相當不錯的,而且也相對很穩定--雖然能被ICEword幹掉,不過其他的HIPS類好像也都是能被幹掉的,這個不是重點,因為在冰刃要幹掉他們之前,HIPS軟體已經會報警詢問是否允許該項操作,雖然說確了個FD功能,不過我覺得對個人用戶來說已經相當足夠,起碼我已經有半年時間未中毒掛馬了--當然,如果你還是不放心,再裝上個SS補足3D功能也是可以的,最關鍵的是SSM商業版已經被成功破解了(該軟件有簡體中文版),唯一覺得不爽的可能就是早期使用比較繁瑣,畢竟什麼東西的執行都要選擇允許還是禁止也是一件頭疼事,所以一般在剛裝上的時候,我個人建議還是先全部執行一遍所有的你要經常用到的東西就可以了,佔用資源也還可以,一般是一個進程10M左右,cpu基本沒感覺.我給SSM打90分。

其次是SNS(Safe'n'Sec Personal)-- 他是唯一3D的哦,它建立在行為分析的基礎上,有最先進的預先偵查系統,可以防止病毒滲透計算機,破壞信息,對電腦多了一層保護,在電腦保護方面實現重大突破。同時,快速安裝,易於操作的界面,和防毒軟體和個人防火牆極好的相容性,智慧的決策技術,最強的保護和對系統執行的最小影響等特點更增加了Safe'n'sec的魅力--汗,這個是官方介紹,我自己覺得是相當的牛了,不過我自己還沒有用過--這是全英文版本英語太菜,而且沒有破解(專業加密公司出品,想破解難度好大的),在網上看過測評,據說是比GSS+SS還要猛的..我給 SNS打95分

再下來就是GSS (Ghost Security Suite) ,其實用的時間並不是很長,可能沒有多大發言權,不過我個人不是很喜歡這款,因為貌似不太穩定,在運行大型遊戲的時候,似乎CPU容易飆升,這個不少人如此,不知道是不是此軟件本來就是如此,但是GSS還是相當不錯的--簡單明瞭,有自己的操作模式,不如SSM來的細緻繁瑣,但是也是相當安全,特別是在配合SS使用之下.不過最不爽的是容易被任務管理器幹掉,我昏,而且長時間沒有更新了,不知道搞什麼!不過話說回來,現在網路廣泛流傳的GSS亞爾迪破解版還是很不錯的.我給GSS打88分,GSS+SS打92分

最後簡單說下PG和SS,SS規則完善但不夠穩定,PG簡單穩定,大致上PG感覺和SSM以及GSS差不多,就看用戶個人喜好了~~~
最後還提一款HIPS軟體--Winpooch(因為沒有用過,所以就只能借用別人的話來說了),相對GSS而言,無疑,GSS的穩定性比 Winpooch略強,但是GSS的規則添加到500條左右的時候就會變得很慢,而且GSS只能監控登錄檔,但是,Winpooch不只可以監控登錄檔,還可以監控檔案的讀取、寫入,還可以監控網路鏈接,而且目前Winpooch已經有600多條規則了,對系統的影響還是很小,軟體推薦給你了,好不好用還得你自己測試才最實際。

一、 關於HIPS的基本概念:

HIPS
Host Intrusion Prevent System 主機入侵防禦系統。HIPS是一種能監控你電腦中檔案的執行和檔案運用了其他的檔案以及檔案對登錄檔的修改,並向你報告請求允許的軟體。如果你阻止了,那麼它將無法執行或者更改。比如你執行了一個含病毒的程式,HIPS軟體跳出來提醒你而你阻止了,那麼病毒就能阻止他執行。引用一句話:」病毒天天變種天天出新,使得防毒軟體可能跟不上病毒的腳步,而HIPS能解決這些問題。」。 HIPS是以後系統安全發展的一種趨勢,只要你有足夠的專業知識,你可以只用HIPS而不需防毒軟體。但是HIPS並不能稱為防火牆,最多只能叫做系統防火牆,它不能阻止網路上其他電腦對你電腦的攻擊行為。
因為病毒天天變種天天出新,使得防毒軟體可能跟不上病毒的腳步,而HIPS能解決這些問題。

二、HIPS原理以及和防毒軟體、防火牆的區別:

防毒軟體:

電腦病毒指的是一些具有惡意代碼可能危害電腦的程式。
防毒軟體基本上應當具有以下兩個基本功能:

1:殺毒-- 即對帶毒檔案或病毒本身進行查殺的功能。
2:監控-- 一般具有檔案監控,網頁監控(即監控遠程80/8080等常用PORT),郵件監控(即監控POP和SMTP PORT),等。
能夠殺毒防毒的是防毒軟體,不是防火牆。

防火牆:

簡單的解釋,防火牆是架在兩個互相通信主機之間的一個屏障,對非法資料包進行過濾。
我們使用的多數個人防火牆基本具有:防止非法入侵(防止內連) 與防止本地端非法外連的功能,而XP SP2系統提供的防火牆沒有後者的功能

基於這兩點,我們可以簡單解釋防火牆的兩個作用:

1:通過阻止非法封包,防止駭客通過某些手段入侵。
2:防止木馬發生外連盜取自身電腦機密訊息。個人防火牆沒有殺木馬的功能,它所做的是在中了木馬之後,通過規則禁止其外連以免丟失資料。

現在有不少廠商將自己的防毒軟體和防火牆做成一個網路防護體系,比如:KIS(卡巴) NIS(諾頓) MIS(咖啡)等。。。

HIPS:Host Intrusion Prevent System 主機入侵防禦系統

所謂HIPS(主機入侵防禦體系),亦即系統防火牆。它有別於傳統意義上的網路防火牆(NIPS)。二者但主要區別是:傳統的NIPS網路防火牆只有在你使用網路的時候,通過特定的 TCP/IP協議來限定用戶訪問某一IP地址,或者也可以限制網際網路用戶訪問個人用戶和伺服器終端;而HIPS是限制進程被調用,或者禁止更改或者添加登錄檔檔案。當某進程或者程式試圖偷偷執行時,這個行為就會被所HIPS檢測,然後彈出警告,詢問用戶是否允許放行。一般來說,在用戶擁有足夠進程相關方面知識的情況下,裝上一個HIPS軟體能非常有效的防止木馬或者病毒的偷偷執行,以防中毒、掛馬的可能性。
比如卡巴,咖啡等也具備有一些HIPS的功能,但功能上比不了專業的HIPS軟體.

三、 HIPS功能的類別

HIPS功能的類別可以分為3D:

1.AD(Application Defend)應用程式防禦體系
2.RD(Registry Defend)登錄檔防禦體系
3.FD(File Defend)檔案資料防禦體系

它通過可定製的規則對自身電腦的執行程式、登錄檔的讀寫操作、以及檔案讀寫操作進行判斷並允許或禁止。

目前在有些防毒軟體或防火牆中,也含HIPS功能。

四、 HIPS軟體的大全

1. Tiny Firewall (網路防火牆),(AD+RD+FD)
2. Safe'n'Sec (簡稱SNS或犀牛),(AD+FD+RD)
3. SystemSafeMonitor(簡稱SSM),(AD+RD)
4. SafeSystem (簡稱ss) ,(SS(SafeSystem 2006)--FD)
5. GhostSecuritySuite(簡稱GSS),(AD+RD)
6. ProcessGuard(簡稱PG),(AD+RD])
7. Winpooch ,(一條忠實的「看家狗」, 使用api hook技術,可以對幾乎所有的可疑操作進行監控、報告或阻止。)
8. Parador File Protection PE(FD)
9. EQSecure for System,(AD+FD+RD, 一款中國自製HIPS軟體)
10. ProSecurity,(FD+RD,作者是中國人)

沒有留言: