`
wezly
  • 浏览: 487375 次
  • 性别: Icon_minigender_1
  • 来自: 长沙
社区版块
存档分类
最新评论

基于主机的入侵防御系统

 
阅读更多

百科名片

HIPS  
HIPS

Host-based Intrusion Prevention System HIPS,基于主机的入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。


hips简介

Host-based Intrusion Prevention System :基于主机的入侵防御系统。  我们个人用的HIPS可以分为3D,AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。  AD(Application Defend)应用程序防御体系  RD(Registry Defend)注册表防御体系  FD(File Defend)文件防御体系  它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。   所谓hips(主机入侵防御体系),也就是现在大家所说的系统防火墙,它有别于传统意义上的网络防火墙nips,它不能阻止网络上其他计算机对你计算机的攻击行为。二者虽然都是防火墙,但是在功能上其实还是有很大差别的:传统的Nips网络防火墙说白了就是只有在你使用网络的时候能够用上,通过特定的tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端,在不联网的情况下是没有什么用处的;而hips系统防火墙就是限制诸如a进程调用b进程,或者禁止更改或者添加注册表文件--打个比方说,也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源,这个行为就会被hips检测到然后弹出警告询问用户是否允许运行,用户根据自己的经验来判断该行为是否正确安全,是则放行允许运行,否就不使之运行,一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行,这样对于个人用户来说,中毒插马的可能性就基本上很低很低了.但是,只是装上个hips也不是最安全的,毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的,所以,选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)!  上面是对hips和防火墙作个区别,因为杀软和这两类软件差别比较大,就不拿到这里来说了,下面我具体介绍一下hips以及常见的几款hips安全软件,希望对各位有所裨益!

编辑本段常用HIPS软件

SNS(Safe'n'Sec Personal)--AD+FD+RD,  SSM(System Safety Monitor),--免费版AD+RD,商业注册版AD+FD+RD  PG(ProcessGuard和Port Explorer)--AD+RD,  GSS(Ghost Security Suite)--AD+RD,  SS(SafeSystem 2006)--FD.  EQSecure(国产的E盾)--AD+FD+RD  Malware Defender(奇虎360旗下软件)--AD+FD+RD+ND  McAfee Host Intrusion Prevention  其实我觉得这些hips软件在功能上也大多差不多,更多的我们其实也就是比较一下谁的生命力更顽强(不容易被其他进程干掉),谁更适合国人所需,谁更简单易操作,下面我就这些方面做个相对比较简单的介绍吧!

编辑本段常用的hips防火墙软件

常用的Hips软件中功能最全、最强大的是应是Tiny,它是集AD+RD+FD+传统网络防火墙,而且在启动时不拖不卡,资源占用很少又很稳定(用SS经常蓝屏重起),自定义。当然上手起来稍微慢一点儿。  (下面是某位网友测试报告,仅供参考)

1、SNS

—— 俗称犀牛,用了两天。  优点:3D全有。系统栏里小犀牛头的图标挺Cool的。警告时有危险等级显示。  缺点:(1)FD功能在设置上不方便也不全面。说不方便,是因为没有单独的大项设置,和AD+RD的规则混在一起,几百条规则在一起,眼都看花了。说不全面,是FD自定义设置里只有”Creat"、“open”和“Delet”(即“创建”、“打开”和“删除“),而全面的设置应该是”Creat“、”Write"、“Read”和“Delet"。它的”open“,我试了一下就是禁止使用,关键的系统程序肯定不能用这一项来保护,要是恶意程序或病毒程序改动了已经存在的系统关键程序,犀牛的FD保护就无能为力了。(2)装上犀牛后不知是不是试用版的原因,所有预设规则都不能改动,而且其中的几百条规则的名称用的是序号,看的头大。而且AD+RD+FD所有规则混在一起,没有分类。(3)装后电脑启动巨慢;(4)没有序列号和注册机,及2.5版的破解版,试用期限一个月。不喜欢。(5) 似乎没有磁盘底层保护。

2、SSM(System Safety Monitor)

因为我比较喜欢这款: 商业版免费版 注册表监视: 高级 基本过程监视: 高级 基本底层磁盘访问控制:有 无底层键盘访问控制: 有 无 NT服务监视: 高级 基本 IE设置跟踪:高级 基本用户程序友好对话: 有 无优先支持: 高 低开发优先: 高 低 Win9x支持: 无 有  SSM在声誉上面是相当不错的,而且也相对很稳定--虽然能被IceSword干掉,不过其他的HIPS类好像也都是能被干掉的,这个不是重点,因为在冰刃要干掉他们之前,HIPS软件已经会报警询问是否允许该项操作,虽然说缺了个FD功能,不过我觉得对个人用户来说已经相当足够,起码我已经有半年时间未中毒插马了--当然,如果你还是不放心,再装上个SS补足3D功能也是可以的,最关键的是SSM商业版已经被成功破解了(该软件有简体中文版),唯一觉得不爽的可能就是早期使用比较繁琐,毕竟什么东西的运行都要选择允许还是禁止也是一件头疼事,所以一般在刚装上的时候,我个人建议还是先全部运行一遍所有的你要经常用到的东西就可以了,占用资源也还可以,一般是一个进程10M左右,cpu基本没感觉.我给SSM打90分

3、SS

—— 前几个星期通过了解知道hips要3D都有才够安全。下了SS,有了SSM+SS的组合。3D全有。  优点:SS的自定义规则方便、直观。有试用版的破解版本。  缺点:(1)SS的拦截机制是“先斩后奏”,等于是拦完了后弹出框告诉你刚才它做了什么,再同时问你下次怎样做,不能在拦的时候提示询问你如何操作,晕。所有用过的Hips里就SS有这个“特性”。(2) 运行不稳定。只要一打开VeryCD网站就蓝屏重起。网上查找资料时也经常蓝屏死机。遂放弃。

4、GSS(Ghost Security Suite)

其实用的时间并不是很长,可能没有多大发言权,不过我个人不是很喜欢这款,因为貌似不太稳定,在运行大型游戏的时候,似乎CPU容易飙升,这个不少人如此,不知道是不是此软件本来就是如此,但是GSS还是相当不错的--简单明了,有自己的操作模式,不如SSM来的细致繁琐,但是也是相当安全,特别是在配合SS使用之下.不过最不爽的是容易被任务管理器干掉,我昏,而且长时间没有更新了,不知道搞什么!不过话说回来,现在网路广泛流传的GSS亚尔迪破解版还是很不错的.我给GSS打88分,GSS+SS打92分  简单说下PGSS,SS规则完善但不够稳定,PG简单稳定,大致上PG感觉和SSM以及GSS差不多,就看用户个人喜好了~~~

5、Winpooch

(因为没有用过,所以就只能借用别人的话来说了),相对GSS而言,无疑,GSS的稳定性比Winpooch略强,但是GSS的规则添加到500条左右的时候就会变得很慢,而且GSS只能监控注册表,但是,Winpooch不只可以监控注册表,还可以监控文件的读取、写入,还可以监控网络连接,而且目前Winpooch已经有600多条规则了,对系统的影响还是很小,软件推荐给你了,好不好用还得你自己测试才最实际。  HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。  HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。

6、Parador File Protection PE

—— 只有FD,装后系统启动比较慢,而且FD功能不全,可以阻止程序创建文件,不能阻止程序修改已创建的文件。有个现象一直没有人提,不知道是不是只有我一个人有,就是装了PFP后,开机进系统再插上移动硬盘,系统没有任何反应,也看不到移动硬盘的盘符,卸了PFP之后就没问题。

7、Viguard

—— 据说是Hips No.1,法国的。装后五六次启动只有一次能进入系统,但拖的要我小命,电脑没法用。只有在安全模式下删了。目前只有试用版。

8、Tiny-AD+RD+FD

—— 都有,还有一般网络防火墙的功能,自定义设置全面,而且有组管理的概念。不拖系统,与SSM兼容性很好,Tiny是所有hips软件中兼容性和稳定性,及在功能上最好的。有Pro版的注册码。推荐安全组合:Tiny+SSM+小红伞Workstation。  缺点:上手稍感复杂。好像没有磁盘底层保护。

9、McAfee Host Intrusion Prevention

McAfee Host Intrusion Prevention 可以监控并拦截此类恶意攻击活动。Host Intrusion Prevention可以保持服务器正常运转,并为应用程序、客户信息以及数据库等企业资产提供保护。 它运用多种成熟的防护方法,包括系统防火墙、签名分析和活动分析。

编辑本段4D的HIPS:

4D的HIPS相比于3D多了一个ND(Network Defend)保护,也就是一个网络防御。  很荣幸的,国产就有一款4D的HIPS软件——中网S3  介绍:

编辑本段中网S3(System Security and Safety)

是一款主机系统安全工具,主要功能包括:  (1) 网络控制:基于Windows的状态检测包过滤双路多层防火墙。  (2) 应用控制:在Windows上增加系统自主访问控制和基于规则的强制访问控制。  (3) 系统监控:主机系统安全的监控、检测和审计等。  中网S3主机安全系统,可以解决网络攻击、网络入侵、僵尸网络、社会工程攻击、蠕虫病毒、间谍木马软件等系列安全问题。  如果你需要  一款功能强大的Windows防火墙,  一款Windows主机入侵检测和防御系统,  一款Windows主机完整性包含软件,  一款Windows蠕虫病毒免疫系统,  一款积极防御的Windows的防间谍软件等,  中网S3主机安全系统可能是你合适的选择。

编辑本段经典HIPS

经典HIPS指需要手工制定完整的防御策略(规则)才能对系统实施保护的一类HIPS,较早出现的HIPS基本上都为这一类型。  CA HIPS & Tiny Firewall Pro(CA、Tiny)  Comodo Firewall Pro V3(CFP、毛豆)  CORE FORCE(CF)  DriveSentry  魔法盾EQSecure(E盾、EQ)  Ghost Security Suite(GSS)  Malware Defender(MD)  ProSecurity(PS)  Safe'n'Sec(犀牛、SNS)  System Safety Monitor(SSM)  中网S3

编辑本段智能HIPS

智能HIPS指不需要或者较少需要使用者手工制定的防御策略(规则)即可对系统实施保护的一类HIPS,通常这类HIPS内置了一定的判断方法和处理规则或者通过网络升级下载规则库,因此能够根据程序行为的危险程度进行自动判断和处理,对于少量难以判断的程序行为才会提示使用者并由使用者判断处理。体现出一定的智能性,但存在一定的误报和漏报几率。  因为再怎么鼓吹“专家系统”(或者称行为拦截技术)也不能保证真的有一个“专家”能帮用户进行所有选择,毕竟现在计算机技术还没发展到人工智能AI的水准。  再者说来,windows系统本身就是一个巨大的间谍软件,1996年,澳大利亚海军就发现舰艇使用的Windows 95会悄悄向微软发送机器中的信息;1999年3月,人们发现 Windows 98会根据用户计算机的硬件配置情况,生成与用户名和地址相关的、全球唯一的识别码,通过操作系统的注册程序自动传送给微软;在Vista的开发中,美国国家安全局扮演了重要角色,并坦言参与测试出于美国国家利益考虑,且留有后门,windows 7发布后国外也有windows系统后门的论战,而微软为了自身的利益,一直矢口否认,但是后门确实存在,而且大部分带有木马行为的后门程序本身也是重要的系统文件,如果采用行为拦截型HIPS,那么无法避免的会有大量的系统程序被阻止无法运行,那么结果只是windows直接关机并再也无法启动。  Dynamic Security Agent(DSA)  GKR内核加固免疫系统  Mamutu(马马屠)  Norton AntiBot(NAB)  Prevx  Threatfire(TF)  Mp(微点) 国产的。

编辑本段沙盘HIPS

沙盘英文名sandbox,也叫沙箱,顾名思义可以看做是一种容器,里面所做的一切都可以推倒重来,军事上常用沙盘来进行一些战争区域的地形模拟,这个你见过吧?不用了可以把沙子推平重来。  我们所说的沙盘是一种安全软件,可以将一个程序放入沙盘运行,这样它所创建修改删除的所有文件和注册表都会被虚拟化重定向,也就是说所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。另外现在沙盘一般都有部分或完整的类似HIPS的程序控制功能,程序的一些高危活动会被禁止,如安装驱动,底层磁盘操作等。目前沙盘主要有两大类,一是采用虚拟技术的传统沙盘,另一个就是采用策略限制的沙盘。  BufferZone、Defensewall、Geswall、SafeSpace、Sandboxie、Software Virtualization Solution、VElite、WindowZones  其它HIPS  Hautesecure、LinkScanner

分享到:
评论

相关推荐

    主机入侵防御系统源代码

    【主机入侵防御系统源代码】是一个深度探讨计算机安全领域的学习资源,主要涵盖了驱动程序开发以及用户界面设计。这个系统的核心在于使用C语言编写的驱动部分,这是系统内核级的安全组件,负责对操作系统的关键功能...

    HIPS主机的入侵防御系统

    **主机入侵防御系统(HIPS)详解** 主机入侵防御系统(Host Intrusion Prevention System,简称HIPS)是一种主动式安全技术,旨在保护个人计算机或网络服务器免受恶意软件、黑客攻击和其他潜在威胁的侵害。HIPS通过...

    一款沙盘程序

    一款基于主机入侵防御系统的沙盘工具。允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹,也可用来还原收藏夹、主页、注册表,此外,还可用于测试软件,...

    基于Linux入侵检测系统的设计与实现毕业论文.docx

    * 基于主机入侵检测系统:监控主机系统调用和用户行为,检测主机入侵活动。 * 基于分布式入侵检测系统:监控多个网络或主机,检测分布式入侵活动。 三、入侵检测系统架构 * 总体架构:包括数据采集、数据分析、...

    Sandboxie(沙盘软件) v5.23.5.zip

    Sandboxie是一款专业的基于主机入侵防御系统的共享版沙盘工具软件。软件最大的功能室只要在此环境中运行的软件,浏览器或注册表信息等等都可以完整的进行清空,不留一点痕迹。同时可以防御一些带有木马或者病毒的...

    基于网络的入侵检测检测系统ids

    入侵检测系统分为两种主要类型:基于主机的IDS(HIDS)和基于网络的IDS(NIDS)。 1. 基于网络的入侵检测系统(NIDS): NIDS部署在网络的关键点,如交换机或路由器旁,监控所有通过的数据包。它分析网络流量,...

    大黄蜂硬件反病毒节点监视器 v3.19.zip

    硬件反病毒系列产品是从数年成功的特种行业信息安防发展而来,是全面执行中国人民解放军军用标准的业内领先高智能反病毒、反恶意、反黑客的实体硬件类信息安全产品,其中独立的嵌入式硬件基于主机入侵防御系统(可...

    基于云的入侵检测系统

    2. **基于主机的攻击(Host-Based Attacks)**:这类攻击通常发生在马甲攻击之后,导致异常的用户行为。 3. **基于网络的攻击(Network-Based Attacks)**:攻击者利用网络漏洞对系统进行破坏或非法访问。 #### 三...

    网络安全原理与应用:入侵防御系统.pptx

    网络安全是信息技术领域至关重要的一环,而入侵防御系统(Intrusion Prevention System,简称IPS)作为其中的关键组件,扮演着防止网络攻击的重要角色。本篇主要介绍了IPS的基本概念、与入侵检测系统(Intrusion ...

    入侵检测技术课件:第4章 基于主机的入侵检测技术.ppt

    1. **审计数据的获取**:主机入侵检测系统依赖于审计数据来识别异常行为。审计数据包括文件访问、系统访问、资源消耗和进程创建等关键事件。例如,IDES系统在Sun UNIX环境中收集的审计数据分为四类:文件访问(如...

    Sandboxie-Plus-x64-v0.7.2.exe

    sandboxie 基于主机入侵防御系统的沙盘工具。允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹,也可用来还原收藏夹、主页、注册表。此外,还可用于测试...

    Tripwire主机入侵检测和损失评估解决方案

    Tripwire主机入侵检测和损失评估解决方案是应对当前信息安全挑战的关键技术之一。在信息化时代,网络安全威胁日益严重,传统的安全工具往往难以准确识别和防御新型攻击。Tripwire软件以数据和网络完整性(DNI)为核心...

    Sandboxie4.16完美激活32-64位

    sandboxie 基于主机入侵防御系统的沙盘工具。允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹,也可用来还原收藏夹、主页、注册表。此外,还可用于测试...

    基于机器学习的入侵检测系统.pdf

    基于机器学习的入侵检测系统的优点在于可以检测到未知的攻击类型,提高了入侵检测系统的检测率和防御能力。该系统使用机器学习算法来学习和分析网络流量数据,检测和识别恶意攻击。机器学习算法可以根据网络流量数据...

    入侵检测系统综述

    - **基于主机的IDS (Host-based IDS, HIDS)**:这类IDS通过监控和分析主机系统的审计日志来发现攻击行为。它的优势在于能够准确地确定攻击是否成功,并且适用于加密和交换的环境。不过,HIDS通常只能保护单一主机,...

    基于SNORT的入侵检测系统的研究与应用

    SNORT是一个开源的网络入侵防御系统(NIDS),它能够执行实时流量分析和数据包记录,并且能够探测各种攻击和政策违规行为。SNORT以其高效性、灵活性以及强大的社区支持著称。 研究中提到的SNORT入侵检测系统包含...

    基于人工免疫的入侵检测系统

    基于主机的入侵检测系统和基于网络的入侵检测系统是两种常见的实施方式,前者专注于监测单个主机的活动,后者则监控整个网络流量。 ### 二、人工免疫系统与入侵检测 人工免疫系统模仿生物免疫系统的工作原理,尤其...

    Linux环境下入侵检测系统的研究与实现.pdf

    基于主机的入侵检测技术的检测对象是系统内部,主要的数据来源是系统日志。入侵检测系统通过监视系统全部或部分的动态行为来获得整个计算机系统的状态,一般而言,入侵者在入侵之后会留下痕迹,入侵检测系统可以对...

Global site tag (gtag.js) - Google Analytics