【轉貼】瞭解什麼是HIPS?HIPS有哪些軟體可用?

轉貼自 探索者空間雜誌

所謂hips(主機入侵防禦系統),也就是現在大家所說的系統防火牆,它有別於傳統意義上的網絡防火牆nips.

二者雖然都是防火牆,但是在功能上其實還是有很大差別的:傳統的nips網絡防火牆說白了就是只有在你使用網絡的時候能夠用上,通過特定的 tcp/ip協議來限定用戶訪問某一ip地址,或者也可以限制網際網路用戶訪問個人用戶和服務器終端,在不連網的情況下是沒有什麼用處的;而hips系統防 火牆就是限制諸如a進程調用b進程,或者禁止更改或者添加註冊表文件–打個比方說,也就是當某進程或者程序試圖偷偷運行的時候總是會調用系統的一些其他 的資源,這個行為就會被hips檢測到然後彈出警告詢問用戶是否允許運行,用戶根據自己的經驗來判斷該行為是否正確安全,是則放行允許運行,否就不使之運 行,一般來說,在用戶擁有足夠進程相關方面知識的情況下,裝上一個hips軟件能非常有效的防止木馬或者病毒的偷偷運行,這樣對於個人用戶來說,中毒插馬 的可能性就基本上很低很低了.但是,只是裝上個hips也不是最安全的,畢竟–用戶穿上的只是個全透明防彈衣也還是會被某些別有用心的人偷窺去用戶的個 人隱私的,所以,選用一款功能強大而小巧的防火牆也是很重要的–起碼有防止DDOS攻擊和防arp欺騙攻擊功能(對內網用戶尤為重要)!
上面是對hips和防火牆作個區別,因為殺軟和這兩類軟件差別比較大,就不拿到這裡來說了,下面我具體介紹一下hips以及常見的幾款hips安全軟件,希望對各位有所裨益!

我們個人用的HIPS可以分為3D:
AD(Application Defend)應用程序防禦系統
RD(Registry Defend)註冊表防禦系統
FD(File Defend)檔案防禦系統

常用的HIPS軟體有:
國外的SNS(Safe’n’Sec Personal)–AD+FD+RD,
SSM (System Safety Monitor),PG(ProcessGuard和Port Explorer)–AD+RD,
GSS (Ghost Security Suite)–AD+RD,SS(SafeSystem 2006)–FD.

其實我覺得這些hips軟體在功能上也大多差不多,更多的我們其實也就是比較一下誰的生命力更頑強(不容易被其他進程幹掉),誰更適合國人所需,誰更簡單易操作,下面我就這些方面做個相對比較簡單的介紹吧!
首先是SSM(System Safety Monitor) –因為我比較喜歡這款:

大致上有以下特點

  • 提供商業版和免費版兩種版本
  • 註冊表監視
  • 基本進程監視
  • 基本底層磁碟訪問控制
  • 底層鍵盤訪問控制
  • NT服務監視
  • 基本 IE設置跟蹤
  • 友善操作界面

SSM在聲譽上面是相當不錯的,而且也相對很穩定–雖然能被ICEword幹掉,不過其他的hips類好像也都是能被幹掉的,這個不是重點,因為在 冰刃要幹掉他們之前,hips軟件已經會報警詢問是否允許該項操作,雖然說確了個FD功能,不過我覺得對個人用戶來說已經相當足夠,起碼我已經有半年時間 未中毒插馬了–當然,如果你還是不放心,再裝上個SS補足3D功能也是可以的,最關鍵的是SSM商業版已經被成功破解了(該軟件有簡體中文版),唯一覺 得不爽的可能就是早期使用比較繁瑣,畢竟什麼東西的運行都要選擇允許還是禁止也是一件頭疼事,所以一般在剛裝上的時候,我個人建議還是先全部運行一遍所有 的你要經常用到的東西就可以了,佔用資源也還可以,一般是一個進程10M左右,cpu基本沒感覺.我給SSM打90分

其次是SNS(Safe’n’Sec Personal)–他是唯一3D的哦,它建立在行為分析的基礎上,有最先進的預先偵查系統,可以防止病毒滲 透計算機,破壞信息,對計算機多了一層保護,在計算機保護方面實現重大突破。同時,快速安裝,易於操作的界面,和反病毒軟件和個人防火牆極好的兼容性,智 能的決策技術,最強的保護和對系統運行的最小影響等特點更增加了Safe’n’sec的魅力–汗,這個是官方介紹,我自己覺得是相當的牛了,不過我自己 還沒有用過–這是全英文版本英語太菜,而且沒有破解(專業加密公司出品,想破解難度好大的),在網上看過測評,據說是比GSS+SS還要猛的..我給 SNS打95分

再下來就是GSS(Ghost Security Suite) ,其實用的時間並不是很長,可能沒有多大發言權,不過我個人不是很喜歡這 款,因為貌似不太穩定,在運行大型遊戲的時候,似乎CPU容易飆升,這個不少人如此,不知道是不是此軟件本來就是如此,但是GSS還是相當不錯的–簡單 明瞭,有自己的操作模式,不如SSM來的細緻繁瑣,但是也是相當安全,特別是在配合SS使用之下.不過最不爽的是容易被任務管理器幹掉,我昏,而且長時間 沒有更新了,不知道搞什麼!不過話說回來,現在網路廣泛流傳的GSS亞爾迪破解版還是很不錯的.我給GSS打88分,GSS+SS打92分

最後簡單說下PG和SS,SS規則完善但不夠穩定,PG簡單穩定,大致上PG感覺和SSM以及GSS差不多,就看用戶個人喜好了~~~
最後還提一款hips軟件–Winpooch(因為沒有用過,所以就只能借用別人的話來說了),相對GSS而言,無疑,GSS的穩定性比 Winpooch略強,但是GSS的規則添加到500條左右的時候就會變得很慢,而且GSS只能監控註冊表,但是,Winpooch不只可以監控註冊表, 還可以監控文件的讀取、寫入,還可以監控網絡連接,而且目前Winpooch已經有600多條規則了,對系統的影響還是很小,軟體推薦給你了,好不好用還 得你自己測試才最實際。

一、 關於Hips的基本概念.
HIPS:
Host Intrusion Prevent System 主機入侵防禦系統。HIPS是一種能監控你電腦中檔案的運行和檔案運用了其他的檔案以及檔案對註冊表的修改,並向你報告請求允許的軟件。如果你阻止了,那麼它將無法運行或者更改。比如你執行了一個含病毒的程式,HIPS軟體跳出來提醒你而你阻止 了,那麼病毒就能阻止他運行。引用一句話:」病毒天天變種天天出新,使得防毒軟體可能跟不上病毒的腳步,而HIPS能解決這些問題。」。 HIPS是以後系統 安全發展的一種趨勢,只要你有足夠的專業知識,你可以只用HIPS而不需防毒軟體。但是HIPS並不能稱為防火牆,最多只能叫做系統防火牆,它不能阻止網路上其他電腦對你電腦的攻擊行為。
因為病毒天天變種天天出新,使得防毒軟體可能跟不上病毒的腳步,而HIPS能解決這些問題。

二、HIPS原理以及和防毒軟體、防火牆的區別.

防毒軟體:
電腦病毒指的是一些具有惡意代碼可能危害電腦的程序。
防毒軟體基本上應當具有以下兩個基本功能:
1:殺毒– 即對帶毒檔案或病毒本身進行查殺的功能。
2:監控– 一般具有文件監控,網頁監控(即監控遠程80/8080等常用PORT),郵件監控(即監控POP和SMTP PORT),等。
能夠殺毒防毒的是防毒軟體,不是防火牆。

防火牆:
簡單的解釋,防火牆是架在兩個互相通信主機之間的一個屏障,對非法數據包進行過濾。
我們使用的多數個人防火牆基本具有:防止非法入侵(防止內連) 與 防止本地非法外連 的功能,而XP SP2系統提供的防火牆沒有後者的功能。

基於這兩點,我們可以簡單解釋防火牆的兩個作用:
1:通過阻止非法數據包,防止駭客通過某些手段入侵。
2:防止木馬發生外連盜取自身電腦機密訊息。個人防火牆沒有殺木馬的功能,它所做的是在中了木馬之後,通過規則禁止其外連以免丟失數據。

現在有不少廠商將自己的殺軟和防火牆做成一個網絡防護體系,比如:KIS(卡巴) NIS(諾頓) MIS(咖啡)等。。。

HIPS:Host Intrusion Prevent System 主機入侵防禦系統
所謂hips(主機入侵防禦體系),亦即系統防火牆。它有別於傳統意義上的網絡防火牆(nips)。二者但主要區別是:傳統的nips網絡防只有在你使用 網絡的時候,通過特定的 tcp/ip協議來限定用戶訪問某一ip地址,或者也可以限制互聯網用戶訪問個人用戶和服務器終端;而hips是限制進程被調用,或 者禁止更改或者添加註冊表檔案。當某進程或者程序試圖偷偷運行時,這個行為就會被所hips檢測,然後彈出警告,詢問用戶是否允許放行。一般來說,在用戶 擁有足夠進程相關方面知識的情況下,裝上一個hips軟件能非常有效的防止木馬或者病毒的偷偷運行,以防中毒、插馬的可能性。
比如卡巴,咖啡等也具備有一些hips的功能,但功能上比不了專業的hips軟件.

三、 HIPS功能的類別
HIPS功能的類別可以分為3D:
1.AD(Application Defend)應用程序防禦體系
2.RD(Registry Defend)註冊表防禦體系
3.FD(File Defend)檔案文件防禦體系

它通過可定制的規則對自身電腦的運行程序、註冊表的讀寫操作、以及檔案讀寫操作進行判斷並允許或禁止。

目前在有些防毒軟體或防火牆中,也含HIPS功能。

四、 Hips軟件的大全

  1. Tiny Firewall (網絡防火牆),http://www.tinysoftware.com/ (AD+RD+FD),
  2. Safe’n’Sec (簡稱SNS或犀牛), http://www.safensoft.com/ (AD+FD+RD),
  3. SystemSafeMonitor(簡稱SSM), http://syssafety.com/ (AD+RD)
  4. SafeSystem (簡稱ss) , http://www.gemiscorp.com/english/main.html(SS(SafeSystem 2006)–FD)
  5. GhostSecuritySuite(簡稱GSS),http://www.ghostsecurity.com/(AD+RD)
  6. ProcessGuard(簡稱PG), http://www.diamondcs.com.au/processguard/(AD+RD])
  7. Winpooch ,http://sourceforge.net/projects/winpooch (一條忠實的「看家狗」, 使用api hook技術,可以對幾乎所有的可疑操作進行監控、報告或阻止。)
  8. Parador File Protection PE http://www.e-securion.com/(FD)
  9. EQSecure for System, http://www.eqsecure.com/(AD+FD+RD, 一款中國自製HIPS軟件)
  10. ProSecurity, http://www.proactive-hips.com/(FD+RD,作者是中國人)

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s