这是转来的,转的地址在最下面。
由于这篇文章写的浅显易懂,有利于大家对HIPS有一定的了解。大家好好看看。
本文不打算讨论HIPS的理论层面,因此仅仅简单介绍一下它能干些什么。名词呢,简单说一下,HIPS是主机入侵防御系统的英文单词第一个字母的缩 写,前面已经提到了,Host Intrusion Prevent System。在了解它能如何保护你的系统之前,请先试着去理解这几个简单的概念:
1,你是一座庄园的主人;2,庄园有围墙;3,你聘用了一帮工人分别负责庄园各座建筑的管理维护修缮工作;
好了,庄园主大人,为了确保自己的财产不被外贼窃取,你又驯养了一群护院狗。现在,可以确信一点,只要护院狗尽职尽责,只要有外贼侵入,它们会立即吠咬报警,必要时将其撕咬成碎片,庄园的安全,看起来不成问题了。
庄园里的鲁莽护院狗
然而有一天你发现,有一个聪明的贼,在侵入庄园的时候,把自己打扮成你的一个熟人,结果护院狗没吭声;又有一天,你邀请一位朋友来作客,而护院狗分 不清敌我,把他干掉了;还有一天,一位面貌和善的过路人,声称只是进来歇个脚瞧瞧风景,保证不会打你庄园财产的什么主意,结果护院狗信以为真,把他放过 了……
现在,你应该明白,庄园就是你的计算机系统,护院狗就是我们信赖的杀毒软件,而财产,则是各种数据、文件。
杀毒软件有查杀率,有未知病毒侦测,有特征码识别,这取决于杀毒 软件的技术水准(引擎)和病毒库数量,然而我们必须知道,任何一款依赖病毒库和特征码的杀毒软件,都必然滞后于新病毒的产生——只有当新病毒被编写出来, 并被杀毒软件厂商的技术工程师捕捉,分析其特征之后才会放入病毒特征库以进行匹配——而就是这个看似不起眼的空档,一旦运气不佳撞上新病毒,就欲哭如泪 了。
庄园里新来的尽职管家
作为庄园主,为了保护自己的私有财产(貌似国内私有产权还在数十年如一日的继续讨论中),打算请一位管家。该管家不但要确保外贼不能未经允许进入庄园,还必须防范庄园的工人中不会出现内鬼,私自偷偷往墙外送东西。这位管家有一个作为优秀管家所必备的特点:一切惟主人是从。
有一天,管家来报,你的一个朋友来访,让不让他进来?又有一天,管家来报,有个带着长枪的陌生人要求进庄园取走什么东西,让不让他取?还有一天,管家又来报,一位工人想进来帮你修缮一下藏书楼的楼顶,可以不?
终于有一天,你火了:大事来找我,小事也来找我,拉个屎撒个尿也来找我,烦不烦?
烦是应该的,虽然他够尽职,但他不够聪明。有些小事,或者说无关痛痒的小关节,作为管家,他应该替主人分忧,做出不对主人利益造成损害的必要决定, 而不是事无巨细地一切向主人汇报,等主人指示下来了再照办。于是你就想,这个管家人品不错,但笨了点,该送他去蓝翔技校(谷哥推荐的准没错)进修一下。
事实上,HIPS产品刚刚出现的时候,弹窗(遇到危险动作弹出窗 口报警并询问处理意见)是一大软肋。确实,只要怀疑某个动作(包括对文件的操作、网络数据包的进包等等)就把是否放行的权力交到用户手上,对熟悉系统各个 环节的高手来说,无疑是安全了,但无疑太过繁琐。同时,也必不可免地把普通计算机用户却之门外。
管家进修回来了,带着一个笔记本
管家从蓝翔技校进修回来了,跟去之前不同的一点是,现在他兜里总是揣着一个笔记本,上面不知记了一些什么杂七杂八的东西。从此以后,再有事情向你汇 报的时候,他都会多问上一句:如果再发生这样的情况,是不是都按这次的处理意见办?如果你说是,那么他就会在笔记本上记下,如果你觉得遇上再说比较好,他 就不记。
慢慢地,你发现他向你汇报并询问处理办法的时候越来越少了,到后来甚至很少再见到他的人影儿,而庄园内的一切事务,不管是迎来送往、房屋修缮还是财务管理,一切都井井有条、按部就班地运行。这确实不错,看来蓝翔技校果然名不虚传,管家手里的笔记本大有文章啊。
管家的笔记本上究竟记了些什么呢?说穿了,其实就是HIPS的规 则。当HIPS拦截到疑似危险的行为时,会向主人报警,并提供此次行为的危险级别,同时询问该如何处理。主人发布处理命令,就是给管家授权,让管家执行自 己的命令。如果同意下次在发生同样的事情时采用同样的处理办法,管家就将其记录为一条规则,下次直接匹配规则而不用再次麻烦庄园主。
管家坦白,所有的一切紧紧围绕授权两个字
一天午后,管家在池心亭里,跟你解释了这段时间发生的一切以及它是如何发生的。他首先感谢了国家,接着感谢了政府,然后感谢了组织,最后感谢庄园主给了他所有权力——跟访客打交道的权力,修缮房宇的权力,管理工人的权力……
在此基础上,管家就成了庄园主的代表(代表一词太流行了,真的假的都有),代之行使管理庄园的职责。当有外人叫醒看门人,管家就立即分析来人的相 貌、衣着、所持物品等多种特征,然后翻开笔记本,查找庄园主对这类人有没有确定的处理意见。如果有,按意见办,如果没有,马上联网中央情报局的数据库,查 看来人是否属于其黑名单或白名单。属于白名单的,让他进来,同时寸步不离,监视他的一举一动,发现有不对劲立即阻止。如果属于黑名单,则根据庄园主对中央 情报局公示的黑名单人员的意见处理。如果上述一切都不能匹配其身份,管家也不敢擅作主张,飞报庄园主,来了个无名无姓不知高矮胖瘦的主儿,是杀是留听凭吩 咐。
管家还把庄园内所有的人员、财产作了详细的记录,任何一点的细微变动都逃不过他的眼睛。有个工人要往外寄东西,管家要先查验包裹里的物品是否允许外 带,是否从东门而不是从西门寄出。外面寄进东西,管家也要先查验东西是否安全是否违禁,然后让其从指定的门口而不是随便往里一扔……
HIPS就相当于庄园里的管家,庄园里任何可能产生问题的环节一 有风吹草动,立即会触发HIPS的相关模块。对所有可能带来危险的行为(除非已确定其为安全)都会先拦截、阻止,在确认其安全之后再放行。确认其是否安 全,有赖于庄园主的指令(或已形成规则的记录),也有赖于白名单和黑名单的记录。
管家坦言,工善其事先利其器
HIPS是怎么做到这一切的呢?管家坦言:首先,在蓝翔技校的培训没白花了钱,在那里学到了有可能对庄园产生不良后果的所有项目(元素),比如围 墙、所有的建筑、工人、财产登记表等等;其次,知道了如何查询和管理黑名单与白名单;再次,学会了如何将庄园主的指令写入到庄园的规章制度中,一切活动照 章办事。
所有危险的项目包括哪些呢?管家称,这与每个管家的领悟力和管理能力有关,像我,就能干以下的活儿:
AD:应用程序防护,即监控所有应用程序的行为;
FD:文件/文件夹系统防护,即监控所有的文件/文件夹的变动;
RD:注册表系统防护,即监控所有危险注册表项目、主键、值的变动修改;
ND:也就是Firewall,网络防火墙防护,即监控所有本机进出网络的行为、方向、端口和目的地;
VD:也就是Virtual Machine,或称Sandbox,即建立虚拟机/沙盘环境,让危险行为运行其上;
AV:杀毒模块,即传统的病毒特征码杀毒功能;
关于HIPS如何具体地在系统内发挥作用,各个模块之间如何相互搭配以发挥更大作用,流行HIPS软件的选择取舍,以及如何判断某一行为是否恶意等具体的内容,留待下一篇文档再说。
客观地说,要熟练使用HIPS,确实需要掌握一定的计算机基础知识, 对常用的API接口也应稍作了解。不过如今的HIPS软件已向智能化发展,国产的微点(尽管我个人严重不喜欢),国外超强的科摩多COMODO(国内网友 喜欢称其为毛豆,毛豆+小红伞杀毒软件,即驰名江湖已久的红豆组合)都比较好用。此外,COMODO还有强大的社区支持功能——非论坛形式,而是直接集成 于客户端界面,当触发弹窗报警时,软件会告诉你该威胁的严重程度,以及其他人是怎么处理同一威胁的。
尽管比较难掌握,我还是希望翻墙的伙计们,都祭出HIPS这把尚方宝 剑。不夸张地说,如果能熟练使用一款HIPS软件,尤其是像COMODO这样的多D套装,不管是病毒、木马,还是来自网络的威胁,都能无视之。甚至,只要 你设好权限,哪怕有人当着你的面操作你的机器,也甭想动那些你不希望他碰的文件/文件夹/程序或者别的什么。
PS:四大毒王在HIPS面前是小菜,监控QQ/TM数据流向、截断各类客户端带的广告,也全不在话下。
敬请期待下篇,详述各个功能模块之间的协作及授权。
原创文章,转载请注明:
转载自攻防日志
本文链接地址:翻墙之防泄密:主机入侵防御系统的前世今生
>> 若为原创,转载请注明: 转载自Laycher's Blog
>> 本文链接地址: 【转】翻墙之防泄密:主机入侵防御系统的前世今生
>> 订阅本站: http://feed.feedsky.com/laycher
编成这样的故事比较有趣~也很容易理解~哈~