浅析ＨＩＰＳ系统防火墙技术与发展

石　头

发展轨迹

HIPS(主机入侵防御体系)，被网友俗称为“系统防火墙”(非XPSP2防火墙)，是通过判断规则、拦截行为等方式，为系统加载的一层“保护膜”。网络防火墙与HIPS的区别是，当程序需要上网时会被网络防火墙拦截询问是否放行，拦截平台仅限于互联网出口与入口；而HIPS对应范围更广，通过AD+RD+FD防御体系，阻止程序调用危险的API。

主动防御与HIPS的发展

谈到HIPS不得不谈它与主动防御之间的关系。大约在3、4年前。杀毒软件压根没有HIPS主动防御，顶多就是一个再简单不过的文件监控。经历了熊猫烧香的洗礼后逐渐受人重视，业内非常看好由微点带来拦截、分析、清除体系。2007年，主动防御技术得到了蓬勃发展，2008年主动防御已经遍地开花，最后还成了不少厂家的宣传口号。

主动防御与HIPS的关系类似于集合中的交集、并集，它们有太多相似之处，通常情况下的不同之处在于，主动防御能删除木马病毒、注册表残留“自行善后”。关于主动防御与HIPS的技术帖网上很多，而我这里只想强调的因素是“人”。

从用户的角度去看待主动防御与HIPS

从入门难度上讲，HIPS大于主动防御。HIPS对于用户积累有要求，相应的用户入手难度会增大。但我们要看到，软件BUG纰漏难免，智能化较高的主动防御未必能超过高手使用HIPS自我判断。

从操作易用上就很难判断了!你可以说，我用HIPS新手模式啊，我用的是智能型的HIPS。有些软件的主动防御功能的繁琐是客观存在的，甚至超过了常用的HIPS!另一方面，即使两款均有主动防御技术的软件，也未必有同样好的操作体验!为何呢?

这里牵扯到了主动防御的成熟度了。目前市场上的杀毒软件几乎都有主动防御功能，当然一些不成熟的主动防御产品也混杂其中。同样一个危险的动作拦截，成熟的主动防御产品能简明扼要地把信息传递给用户，“XX程序是木马XXX”是否删除?“YY危险行为已经拦截”之类的提示信息。有些会提示“XX试图调用XXX”是否放行?“XX执行了高危行为”是否拦截?