» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 手动HIPS防火墙的局限性及发展探讨   作者: 标题: 手动HIPS防火墙的局限性及发展探讨 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #1  手动HIPS防火墙的局限性及发展探讨 一、手动HIPS要用好（在具体的某个环境下达到要求的安全度），一定要学习并掌握它，绝对不能拿现成的所谓规则包来直接套用。 1、目前的所有手动HIPS都只具备依据规则对程序单一行为进行判断和处理，不具备任何智能特性。 2、与此同时，针对各程序单一行为的处理而编写的规则集，不可能能够考虑到各种具体使用环境中的所有情况，因此，用户干预不可避免。 3、所以，不存在能包打天下的规则包，更不存在能“绝对安静”的所谓的“安静规则”。 4、同时，既然手动HIPS基于规则集，且用户干预不可避免，而由于手动HIPS是对程序具体单一行为进行处理，而这些行为往往是系统层面（元操作）的，不是应用层面的，HIPS向用户报告申请干预时的表述势必需要引用系统层面的术语。 5、所以，用户必须具备（或者说必须去学习并掌握）必要的系统知识和HIPS操作能力，否则在收到HIPS报告并进行干预时，无法理解报告内容，更谈何干预。 6、因此，不具备必要的系统知识和HIPS操作能力，又不肯花时间或没有时间学习的用户，不适合使用目前的手动HIPS。 二、手动HIPS自始至终都是一个面向中高端用户的产品。 1、既然使用手动HIPS需要用户具备一定的相关知识和能力，必然导致它无法覆盖低端用户。 2、手动HIPS无法普及的最根本原因，在于手动HIPS是依据规则对程序单一行为进行判断和处理，并在这一操作级别层面与用户交互。用户干预的底层性，是造成用户使用障碍的元凶。 3、因此，如果希望HIPS（这里不说手动HIPS了）能覆盖低端用户，首先必须改变HIPS与用户之间的交互层面（HIPS的处理层面必然是底层的）。 手动HIPS的未来 三、要提高与用户之间的交互层面，使之更直观简直浅显易懂到无须具备中高级系统知识，需要做下面几个工作。 1、从用户角度考虑问题，改变“报告程序行为”为“报告程序行为的后果”，同时，程序行为的后果应以“对用户使用计算机体验的影响”为表述角度，而不是以“对系统产生的影响”为表述角度。 2、改变HIPS的工作模式，从对程序每个操作动作都进行“一问一答”操作（单步判断）的机械操作模式，改为对程序系列操作动作进行综合评价和预判（多步判断）： A、对已知的行为模式根据预警级别进行自动处理； B、对未知的但可与已知行为模式进行模糊匹配的行为模式，与用户进行交互请求交互。与用户交互的信息应该是（根据模糊匹配信息）综合评价和预判的结果（以“对用户使用计算机体验的影响”为表述角度），同时应给出（根据模糊匹配信息）推荐的操作。 C、对未知的行为模式，对普通用户予以放行，同时提供高阶接口用于高级用户扩充行为模式库。 说明： A、HIPS在拦截处理操作上，也应该是根据多步预判进行处理。 B、行为模式库中包含各种行为模式信息，每个行为模式信息中包含一个行为的模式描述，必须的有：行为名称、行为描述、历史操作——一系列的系统层面操作（元操作）动作、当前的系统层面操作（元操作）、行为结果描述、对当前（甚至后续多个）系统层面操作（元操作）的处理方式（许可情况） 等信息。当然也可以是其它方式的模式信息。 3、最后，电脑不如人脑＆人多力量大——使用网络社区评价作为参考系统，是HIPS的有力补充以及未来显然的发展趋势。 四、补充 1、行为模式匹配与预测，请参考人工智能内容，建议去简单地了解一下目前博弈软件的行为模式匹配与预测技术。 2、行为不一定就是多步，这是个误解，行为可以是一系列的多个动作，也可以是单个动作。 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-3-1 01:02 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #2   关于微点和HIPS的区别 http://bbs.micropoint.com.cn/showthread.asp?tid=48785&fpage=2 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-3-1 01:03 mamsds 银牌会员 积分 1373 发帖 1360 注册 2008-3-15 来自 乌克兰 #3   最主要的是HIPS很麻烦，即使会用，我也不想用，还是微点好！ ※ ※ ※ 本文纯属【mamsds】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Vi Veri Veniversum Vivus Vici. 2009-3-1 13:57 gxdiyer 注册用户 积分 128 发帖 128 注册 2006-8-23 #4   就是提示太多了，不适合普通用户使用。 就像以前我用过的SSM。 ※ ※ ※ 本文纯属【gxdiyer】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [size=5]好的杀软开发者首先要做一个勇于创新且遵纪守法的病毒制造者！[/size] 2009-3-8 15:22 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号