淺析ＨＩＰＳ系統防火墻技術與發展

石　頭

發展軌跡

HIPS(主機入侵防御體系)，被網友俗稱為“系統防火墻”(非XPSP2防火墻)，是通過判斷規則、攔截行為等方式，為系統加載的一層“保護膜”。網絡防火墻與HIPS的區別是，當程序需要上網時會被網絡防火墻攔截詢問是否放行，攔截平臺僅限于互聯網出口與入口；而HIPS對應范圍更廣，通過AD+RD+FD防御體系，阻止程序調用危險的API。

主動防御與HIPS的發展

談到HIPS不得不談它與主動防御之間的關系。大約在3、4年前。殺毒軟件壓根沒有HIPS主動防御，頂多就是一個再簡單不過的文件監控。經歷了熊貓燒香的洗禮后逐漸受人重視，業內非?？春糜晌Ⅻc帶來攔截、分析、清除體系。2007年，主動防御技術得到了蓬勃發展，2008年主動防御已經遍地開花，最后還成了不少廠家的宣傳口號。

主動防御與HIPS的關系類似于集合中的交集、并集，它們有太多相似之處，通常情況下的不同之處在于，主動防御能刪除木馬病毒、注冊表殘留“自行善后”。關于主動防御與HIPS的技術帖網上很多，而我這里只想強調的因素是“人”。

從用戶的角度去看待主動防御與HIPS

從入門難度上講，HIPS大于主動防御。HIPS對于用戶積累有要求，相應的用戶入手難度會增大。但我們要看到，軟件BUG紕漏難免，智能化較高的主動防御未必能超過高手使用HIPS自我判斷。

從操作易用上就很難判斷了!你可以說，我用HIPS新手模式啊，我用的是智能型的HIPS。有些軟件的主動防御功能的繁瑣是客觀存在的，甚至超過了常用的HIPS!另一方面，即使兩款均有主動防御技術的軟件，也未必有同樣好的操作體驗!為何呢?

這里牽扯到了主動防御的成熟度了。目前市場上的殺毒軟件幾乎都有主動防御功能，當然一些不成熟的主動防御產品也混雜其中。同樣一個危險的動作攔截，成熟的主動防御產品能簡明扼要地把信息傳遞給用戶，“XX程序是木馬XXX”是否刪除?“YY危險行為已經攔截”之類的提示信息。有些會提示“XX試圖調用XXX”是否放行?“XX執行了高危行為”是否攔截?