Board logo

标题: 主流HIPS软件深度测试 [打印本页]
作者: ccht     时间: 2007-9-13 11:58    标题: 主流HIPS软件深度测试

给我的感觉微点是很棒的。我个人认为微点是中国最好的主动防御软件。
原贴地址:http://www.80safe.cn/htm_data/7/0708/729.html
主流HIPS软件深度测试

什么是HIPS
HIPS是英文“Host Intrusion Prevent System”的缩写,我们通常翻译为“主机入侵防御系统”。
随着网络的不断普及,信息的传播速度越来越快,软件系统也越来越复杂,随之而来的是主机安全问题日益严峻,我们一旦接入互联网就会面临黑客的扫描、网页恶意代码、病毒、间谍软件、木马、流氓软件等各种威胁。为了解决这些问题,安全厂家先后研发出了个人防火墙、防病毒等安全产品,但是在2006年,这些产品受到了前所未有的挑战:
首先,传统的个人防火墙不再有效。传统的个人防火墙,如天网个人防火墙等,可以对经过本机的网络数据流量进行控制,做到不允许外部计算机扫描本机,同时本机只有指定的应用程序可以外出访问网络,高级些的防火墙还可以对外出访问的目标地址、端口和协议进行过滤。但是现在网络威胁已经远远不是终端机的主要威胁,黑客们更习惯在你访问某个网站时通过浏览器悄悄地下载一个恶意软件,然后想办法让它运行,进而盗走敏感信息,或者弹出广告窗口。在这种趋势下,仅简单对网络访问进行控制而不对应用程序行为进行控制的传统个人防火墙将难以应对。
其次,基于特征码扫描技术的防病毒产品面临巨大挑战。2007年在美国旧金山举行的RSA Conference大会上,专家纷纷表示,“越来越复杂的恶意软件不断繁衍,传统的、以签名(特征码)为基础的安全软件对于病毒和蠕虫的阻挡能力正受到越来越多的质疑。”“仅2007年一年就会新出现至少20万种病毒及变种,签名技术正在网络黑客的攻击下摇摇欲坠。同时,反病毒软件公司的病毒库都平均落后于恶意软件两个月。”在国内,熊猫烧香病毒的肆虐也说明了这样一个问题,病毒已经和系统漏洞、流氓软件等进行了捆绑,变种更新和传播的速度远超想象,在没有新的特征库更新前防病毒软件对未知病毒束手无策。
由于上述种种原因,安全厂家开始寻找新的解决方案,以主动防御为思想的主机入侵防御系统日渐成熟,在今天,可能只有HIPS才是能解决终端机上复杂安全问题的希望。
HIPS软件以进程为核心,可以对进程所产生的行为,如运行、访问网络、访问注册表、访问文件、注册驱动、进程注入、组件调用等进行监控,并且可以向你发送行为报告,如果你阻止了某个异常行为,那么它将无法执行此行为。同时,HIPS还可以通过类似的监控手段对文件、注册表、网络等资源进行保护,防止未授权进程对其读写或扫描。举个例子,当你在上网的时候不小心下载了一个恶意软件,而这个恶意软件在试图进行执行、操作注册表获得下次启动入口、访问网络试图带出数据时,HIPS软件会根据您的策略弹出对话框询问或直接阻止这些行为,使得系统免受威胁。由于HIPS这种可以针对行为进行控制的特性,使得HIPS可以防御未知恶意软件,你所要做的仅仅是判断未知应用程序的行为是否正常,在发现异常时及时阻止。
用一句大家都很熟悉的话来说:“病毒变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。”

本测试所涉及的HIPS是指运行在Windows 2000/xp/2003下的主机入侵防御系统类软件。

为什么要进行本次测试

HIPS在信息安全市场上是个新概念,在2006年无疑是主机安全领域最大的明星。HIPS软件在国外已经逐步进入规范化发展的轨道,国人所熟知的SSM、SNS都是这个领域的先驱。随着一些国际大公司相继推出HIPS产品,我们已经看到了未来主机安全产品一体化、主动安全产品替代传统被动安全产品这一发展趋势,HIPS的出现意味着变革已经悄然到来,这对饱受恶意软件折磨的你来讲将是一场精彩的盛宴。

反观国内HIPS市场,我们的信息安全厂商似乎慢了一步。三大防病毒软件提供商:瑞星、金山和江民截至目前尚未推出任何此类概念产品,有些厂商提出的主动防御概念也与此大相径庭。中网、微/点、EQ恐怕是目前国内在搜索引擎上能找到的仅有3家HIPS产品提供商,它们提供的软件在功能上也存在商榷。

笔者是HIPS软件的热衷用户,对国内外的几家产品均进行过安装和测试,特别是在测试过程中发现在目前的HIPS产品中良莠不齐,有些产品功能强大,有些产品安全性好,有些产品使用方便。因此,笔者将近半年来的测试工作整理成本报告,希望能对正在选择HIPS软件的朋友提供一些帮助,愿国内HIPS用户群越来越大,国产HIPS软件越来越强。

测试产品的选择

笔者曾使用测试过十余款HIPS软件,通过与身边同样对HIPS感兴趣的朋友交流,最终选择了9款具有代表性的,使用率相对较高的产品进行测试,其中国外6款,国内3款,具体见下表:

Safe’n’Sec Personal(SNS)
System Safety Monitor(SSM)
CA Host-Based Intrusion Prevention System(CA HIPS
ProSecurity
Ghost Security Suit(GSS)
Winpooch
中网S3主机安全系统
微/点主动防御软件
EQSecure
所有测试软件均下载自官方网站。
因受字数限制
详细请看http://www.80safe.cn/htm_data/7/0708/729.html
作者: 998csc     时间: 2007-9-13 15:49
我们的MP只有一颗星? 最后一名?不可能吧.
作者: peter0605     时间: 2007-9-13 17:27
。。。。现在怕枪手怕的要丝。。。。
作者: ¥银行借我钱¥     时间: 2007-9-13 17:46
微点是行为查杀,不是那个东西
作者: jeffcs     时间: 2007-9-13 18:25
原贴地址:http://www.80safe.cn/htm_data/7/0708/729.html
这个帖子明显是枪手贴,唉,现在做这种测试,也太垃圾了。恶心透顶
作者: wantcm     时间: 2007-9-13 19:24
微点的全名都不敢打出来?弄个微/点,明显的枪手行为



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn