了解HIPS主动防御软件

大家可以具体了解一下
    HIPS是英文“Host Intrusion Prevent System”的缩写，我们通常翻译为“主机入侵防御系统”。
    随着网络的不断普及，信息的传播速度越来越快，软件系统也越来越复杂，随之而来的是主机安全问题日益严峻，我们一旦接入互联网就会面临黑客的扫描、网页恶意代码、病毒、间谍软件、木马、流氓软件等各种威胁。为了解决这些问题，安全厂家先后研发出了个人防火墙、防病毒等安全产品，但是在2006年，这些产品受到了前所未有的挑战：  
    首先，传统的个人防火墙不再有效。传统的个人防火墙，如天网个人防火墙等，可以对经过本机的网络数据流量进行控制，做到不允许外部计算机扫描本机，同时本机只有指定的应用程序可以外出访问网络，高级些的防火墙还可以对外出访问的目标地址、端口和协议进行过滤。但是现在网络威胁已经远远不是终端机的主要威胁，黑客们更习惯在你访问某个网站时通过浏览器悄悄地下载一个恶意软件，然后想办法让它运行，进而盗走敏感信息，或者弹出广告窗口。在这种趋势下，仅简单对网络访问进行控制而不对应用程序行为进行控制的传统个人防火墙将难以应对。
  其次，基于特征码扫描技术的防病毒产品面临巨大挑战。2007年在美国旧金山举行的RSA Conference大会上，专家纷纷表示，“越来越复杂的恶意软件不断繁衍，传统的、以签名（特征码）为基础的安全软件对于病毒和蠕虫的阻挡能力正受到越来越多的质疑。”“仅2007年一年就会新出现至少20万种病毒及变种，签名技术正在网络黑客的攻击下摇摇欲坠。同时，反病毒软件公司的病毒库都平均落后于恶意软件两个月。”在国内，熊猫烧香病毒的肆虐也说明了这样一个问题，病毒已经和系统漏洞、流氓软件等进行了捆绑，变种更新和传播的速度远超想象，在没有新的特征库更新前防病毒软件对未知病毒束手无策。
  由于上述种种原因，安全厂家开始寻找新的解决方案，以主动防御为思想的主机入侵防御系统日渐成熟，在今天，可能只有HIPS才是能解决终端机上复杂安全问题的希望。
  HIPS软件以进程为核心，可以对进程所产生的行为，如运行、访问网络、访问注册表、访问文件、注册驱动、进程注入、组件调用等进行监控，并且可以向你发送行为报告，如果你阻止了某个异常行为，那么它将无法执行此行为。同时，HIPS还可以通过类似的监控手段对文件、注册表、网络等资源进行保护，防止未授权进程对其读写或扫描。举个例子，当你在上网的时候不小心下载了一个恶意软件，而这个恶意软件在试图进行执行、操作注册表获得下次启动入口、访问网络试图带出数据时，HIPS软件会根据您的策略弹出对话框询问或直接阻止这些行为，使得系统免受威胁。由于HIPS这种可以针对行为进行控制的特性，使得 HIPS可以防御未知恶意软件，你所要做的仅仅是判断未知应用程序的行为是否正常，在发现异常时及时阻止。
  用一句大家都很熟悉的话来说：“病毒变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。”

应用程序控制类 AD

  应用程序控制功能，也就是我们通常描述HIPS软件时所提到的AD（Applation Defend）功能，是HIPS软件最重要也是最基本的功能。在Windows系统上，应用程序的行为是造成Windows系统威胁的根本原因。我们的计算机感染病毒、被植入木马等问题的核心都是应用程序被执行且产生了恶意行为。在病毒、木马、流氓软件已经没有明显界限的今天，黑客们越来越重视对应用程序行为的研究，它们使用诸如进程隐藏、Rootkit、注入、进程伪装等手段“保护”恶意软件的行为不会被用户发现，进而偷偷地进行破坏，弹出窗口或带出敏感数据，这些问题是目前Windows系统上所面临的主要问题。

  应用程序控制功能需要对应用程序可能对操作系统带来危害的主要行为进行控制，使用户在使用HIPS后可以及时发现这些行为并及时阻止。高级些的HIPS还需要对应用程序的执行进行控制，对可执行文件的完整性进行校验。