[原创] HIPS介绍

icexplorer

   
大家一定中过病毒吧,并且很多时候是杀毒软件无法查出的病毒,其实如果我们用传统的杀软是永远不能根除病毒的侵犯的,原因很简单这些杀软只能跟在病毒屁股后面,有没有不中毒的防护软件呢?"没有",很多人可能会这样回答,其实是有的,那就是HIPS防御系统.
   HIPS是一种用行为规则来阻止有害侵犯的,相对于传统的杀软这种方式能用来组织任何有害的行为.
   传统的杀软依靠的主要是病毒的特征码来判定有害程序的,这就是传统杀软最大的弊端.那么什么是特征码呢,特征码是一个程序特有的一组或几组代码,说的简单点病毒就好比一个罪犯,特征码就好比这个罪犯的样子,传统杀软就主要是依靠病毒的样本来确定病毒的"样子"的,然后再把这个样子做成升级包给我们升级,然后我们才能依靠他来认出新的有害程序的.这样就造成了这样一个现象,一旦病毒的作者捎加改变病毒源码,杀软就认不出他来了.
  而HIPS是完全相反的,他是完全不用特征码来识别病毒.通俗点就是他不用认罪犯的长相,身高等程序本身代码特点,那他是用什么来识别有害程序呢-行为,通俗点讲就是他是靠罪犯的行为特征来判断有害程序的.
  如果把传统的杀软和HIPS比做两个警察的话,传统杀软就好比是只会拿着警察局给的罪犯的外貌特征资料来抓人的(这当然是一种很苯的方法),如果罪犯捎加化装他就视而不见了,而HIPS
则是一个很有经验的警察,他只看罪犯的行为特征就知道这个人有没有问题.打个比方有了个抢劫犯在大街上转游,碰见了这两个警察,那么传统的哪个就会去查他的身份证,然后呢再和警局里的犯罪挡案做对比,如果警局里没有的话他就认为是好人,而HIPS呢他不用问哪个人的任何证件,他跟踪他的一切行动,最后发现他的行迹可疑,所以判断他不正常.

icexplorer

综上所述,面对病毒的飞速增长传统的杀软将越来越疲惫,而HIPS系统将会是日后的主流防毒产品,虽然个大传统杀软厂商现在使用了 '云' 系统来防御病毒但是,这种云系统的本质还是由杀软人工来确定的.
  '云' 系统大家可能不太了解,瑞星大家都用过把,记不记的他杀出病毒时会提示我们怎么操作,在这个窗口里,下面就有个 上报瑞星病毒网 意思就是把杀出的病毒信息告诉瑞星总部,有什么用呢,  瑞星就是根据用户杀出的病毒排行来关注病毒走势的,比如他发现最近灰鸽子被上报的次数很多他就多研究灰鸽子,在最近的更新中加入他新发现的灰鸽子的特征,进行查杀然后起到防止病毒进一步蔓延,而云系统有一点不一样 他把杀出的病毒信息 一部分上传给瑞星总部,瑞星总部根据上报的文件进行分析,如果发现问题就把病毒加入查杀的行列,这中间需要大量时间,并且对于上报量少的东西他们可能根本不去理会,他还会 共享 出自己杀毒的信息给云系统,就是他把怎么发现病毒,清除病毒的方法共享起来,给别的瑞星用户做参考,这样扩大了病毒信息的查处范围,还有就是各个杀软合作共享病毒信息,但是我觉得不可行,你想啊,如果都把自己的病毒信息共享了会不会出现'懒汗'呢,他自己不做研究靠别人的,所以这种方法不好,可能只能在低范围内合作.
---未完代续---



[ 本帖最后由 icexplorer 于 2009-1-25 14:59 编辑 ]

icexplorer

那么可能有人问了,为什么HIPS这么优越却没有看到有人用呢,其实并不是没有人用,有个叫SSM的,是美国银行和军方指定的安全产品,也就是说他现在在高端的应用比较多,这也是他的缺点,对用户的专业程度要求太高,对初次使用比较烦琐等,
  HIPS的出路在那呢,个人认为他应该对各个行业预定专门的应用程序规则采用传统杀软更新的方式,这样可以轻松进入普通用户手里,到那时我们上网在也不用担心杀软. "卡" ,误杀 等等麻烦,相信HIPS 会很快进入我们普通用户的手里!!\
---完-----有什么地方不好请高手多拍砖
申请100节点交流版

[ 本帖最后由 icexplorer 于 2009-1-26 15:50 编辑 ]

ocstev

那HIPS和IDS有什么区别呢？

icexplorer

HIPS是用在主机上的产品

老蔡

icexplorer兄继续啊，二者的区别还没介绍完哦，期待。。。。。