当今的恶意软件数量众多,种类繁多,以至于安全专业人士早就知道,基于签名的解决方案将不再能够单独解决它。不仅每天都有太多新的恶意软件文件,其中一些文件还能够在运行过程中更改其形状和签名。但是,如果你不能通过它的外表来识别它,你可以通过它的行为来对它进行分类。这就是HIPS(主机入侵防御系统)等方法发挥作用的地方。

根据定义,HIPS是一个已安装的软件包,它通过分析主机内发生的事件来监视单个主机的可疑活动。换句话说,主机入侵防御系统(HIPS)旨在通过监视代码的行为来阻止恶意软件。这有助于确保系统安全,而无需依赖于要添加到检测更新中的特定威胁。

历史上,HIPS和防火墙密切相关。如果防火墙根据规则集调节进出计算机的流量,HIPS的作用大致相同,但对计算机所做的主要更改除外。

臀部照片

创建规则集时允许程序进行的主要更改

HIPS解决方案保护计算机免受已知和未知的恶意攻击。当黑客或恶意软件试图进行重大更改时,HIPS会阻止该操作并提醒用户,这样就可以做出适当的决定。HIPS认为主要的改变是什么?我列出了可能的主要改变,以及恶意软件为什么要这样做。这份清单还远远不够完整,但更像是你的HIPS应该保护的最低标准:

  • 控制其他程序。例如,使用默认邮件客户端发送邮件或将浏览器发送到某个站点以下载更多恶意软件。

  • 试图更改重要的注册表项,以便程序在某些事件中启动。

  • 结束其他节目。例如你的病毒扫描器。

  • 安装设备或驱动程序,以便它们在其他程序之前启动

  • 进程间内存访问,因此它可以将恶意代码注入受信任的程序。

你对一个好的髋部有什么期待?

至少它应该有能力(权威)停止活跃的恶意软件。如果在等待你的决定时无法停止另一个程序,那么这场战斗已经失败了。此外,它应该有一组基本的规则,任何用户都可以应用这些规则,直到他更熟悉软件和/或需要更详细的规则出现。调整或创建新规则应该是可能的(总是会有例外),并且应该是用户友好的。首先,用户必须非常清楚他的更改的结果是什么,否则他会发现自己在某个点上想知道为什么这个或那个不再工作。对于这些案例和其他帮助,我也会检查是否有论坛(或其他地方),你可以在个别案例中找到帮助。一个知识库并不总是足以找到所有的答案。

HIPS的正常方法是运行时检测。它会在动作发生时截获动作,但有些HIPS还提供执行前检测。这意味着在可执行文件运行之前,将对其性质进行分析,以检查是否存在可疑行为。

有什么风险吗?

与HIPS相关的风险是误报和错误的用户决策。HIPS对其他软件希望在您的系统上进行的某些更改作出响应。例如,任何HIPS都会监视注册表项HKEY\U LOCAL\U MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和其他类似项,Windows启动时会从这些项自动启动程序。但是很明显,有很多合法的程序也使用这个密钥。因此,当对该键的内容进行更改(添加额外值)时,用户将看到一个选项、阻止或允许。对于这个密钥,有很多在线资源,您可以根据这些资源做出明智的选择,但大多数用户都会点击Allow,尤其是在安装某些东西的过程中。一些HIPS会让你知道其他用户在这个特殊情况下的决定,但特别是当数字仍然很小时,这可能是欺骗,并且这实际上不是基于相关信息的决定。你只是希望在你正确之前,大多数用户都会这样做。该系统仅与用户对弹出警报的响应一样好。即使HIPS软件正确识别了威胁,用户可能会无意中批准错误操作,电脑仍可能受到感染。

结论:HIPS可以是分层防御的重要组成部分,但我建议至少添加一个基于检测的安全解决方案。虽然HIPS应该适合所有人,但要有效地使用HIPS,至少需要具备相当的计算知识。

来源:

http://www.techsupportalert.com/content/hips-explained.htm

http://en.wikipedia.org/wiki/Intrusion_prevention_system