主动防御
3、 主动防御
杀毒软件具有滞后性,这是业界公认的一个杀毒软件弊端,而主动防御却很好的解决了这个问题,尤其是卡巴斯基6.0和东方微点将这一技术推广到了极致.其优秀的防御系统主动防御能够解决90%以上的未知病毒.这不仅能够解决病毒库更新的滞后性,同时也对技术人员的减负.但是此项技术的弊端就是容易出现误报现象,这也就是为什么说卡巴斯基老出现误报的原因之一.
我想这种弊端永远不会解决.例如误报过的QQ,QQ是国内IM市场的领头羊,有着75%以上的份额.所以用户非常之多,所以在QQ中,腾讯也加入了一些带有广告性质的程序.例如SOUSOU等,这些字符在主动防御体系里,有着极其危险的行为,所以出现了误报.当然这种错误,不是不能解决,现在主要修复途径为添加白名单和更新病毒库两种!
HIPS具体诠释
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件.如果你阻止了,那么它将无法运行或者更改.比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的.引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题.”. HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件.但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为.
因为病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题.
我们个人用的HIPS可以分为3D: AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系.它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止.
所谓hips(主机入侵防御体系),也就是现在大家所说的系统防火墙,它有别于传统意义上的网络防火墙nips.
二者虽然都是防火墙,但是在功能上其实还是有很大差别的:传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上,通过特定的tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端,在不联网的情况下是没有什么用处的;而hips系统防火墙就是限制诸如a进程调用b进程,或者禁止更改或者添加注册表文件.
打个比方说,也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源,这个行为就会被hips检测到然后bomb出警告询问用户是否允许运行,用户根据自己的经验来判断该行为是否正确安全,是则放行允许运行,否就不使之运行,一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个 hips软件能非常有效的防止木马或者病毒的偷偷运行,这样对于个人用户来说,中毒插马的可能性就基本上很低很低了.但是,只是装上个hips也不是最安全的,毕竟--用户穿上的只是个全透明防bomb衣也还是会被某些别有用心的人偷窥去用户的个人隐私的,所以,选用一款功能强大而小巧的防火墙也是很重要的-- 起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)!
此项技术运用出色的杀软:SCS、卡巴斯基6.0 7.0、东方微点、终结者(不完全HIPS)
SSM、 CA HIPS (下一页)
网友评论