» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 个人对HIPS比杀毒软件难于使用的浅见   作者: 标题: 个人对HIPS比杀毒软件难于使用的浅见 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #1  个人对HIPS比杀毒软件难于使用的浅见 最近胡乱地读了些有关人工智能和复杂性科学之类的科普读物,忽然想到这些理论对于认识HIPS本身的特性很有帮助.因为计算机科技本身也具有所谓的"复杂性"(个人水平太差,有些地方太不严谨也可能错漏百出，还需要大家共同进一步探索）。        什么是“复杂性”？这可是现在新兴的前沿交叉性学科所研究的内容（也许还要更加高深），简单的说我所了解的有以下几个方面：        事物的模糊性：比如一个人的长相，我们可以说他(她）美或丑，但是究竟有多美有多丑？显然这是个无法用精确数据定义的问题。一般只能用一些综合的指标，来近似的界定。而且这个界定还受其它因素（比如文化）影响。这就是事物的模糊性最常见的表现。具体到HIPS所要判断的情况：这个情况的属性是什么？它的动机呢？它的效果是什么？再具体点，比如某个进程进行动作，究竟是安全的还是危险的？这里何谓“安全”何谓”危险“就是一个无法精确定义的概念。当然你可以说对电脑有害就为安全无害就为危险呗！那么何为”有害“？何为”无害“？也许这是病毒造成的，也许这是用户的正常操作，抑或是研究者用恶意软件进行测试，必须允许？这些都无法直接进行精确地定义。          事物的病态性：这是由事物的模糊性引申出来的，大概是指单一事物却可能存在好几个不同特征的属性，就像上面的进程动作的例子，也可以是病毒引起的，也可以是用户正常操作，或是研究者允许的恶意软件的动作，或是其它情况等等。微软的系统函数可以被正常使用，也可以被用来进行破坏，这种情况相信大家并不陌生。         事物的联系性：这个相信大家都比较了解，世界上所有的事物都是有联系的。恶意软件能够运行必然有软硬件的支持，反之则不可能，同时恶意软件的动作又能对支持它运行的软硬件造成影响。这就是它们相互之间的联系。         事物的不可预知性：现在的软件在没有安装之前，你不能知道它的具体情况，上一个网站，你也不可能提前知道它是否挂马，除非别人已经知道并且以各种方式将信息传导给了你。不可预知性可以说是造成HIPS对不同的人来说有不同的认识的一个重要原因。          事物的变化性：任何事物都是在不断变化的，对于软件，它们的大小不同，作用不同，效果也不一样。即使同一个软件，根据环境，使用者等等的不同也会有不同          说了这么多现在进入讨论的关键即事物的混杂性：”混杂性“实际上是三位欧洲学者提出的，即把混沌性和复杂性结合起来。这是个十分高深的理论，而且还在非常初级的假设和概念阶段，它包含了上述的模糊性，病态性，联系性，不可预知性和变化性，还有其它尚未完全认识的特性，属于复杂性科学。我在这里提出是为了用来它来表示造成HIPS相对于杀毒软件难于使用的主要原因。杀毒软件有经过安全人员分析的病毒库，电脑安全面临的所谓”混杂性“已经由专业人员事先替用户做出了界定（这里指病毒库）基本不需要普通用户参与。如果这个界定不再适合实际情况那么只需重新修改和拓展这个界定（升级病毒库）即可。换言之，用户在电脑安全方面面临的所谓”混杂性“问题基本上由专门的安全人员以病毒库的方式解决了。而目前的HIPS将这个”混杂性“问题的最后判断和解决留给了用户，即是说HIPS只是为用户提供问题的表面的，基本的信息，而信息背后的真实属性，比如这些信息代表什么意思？如何正确辨别信息代表的意义？我该如何做？只能由用户来判断。可以说由于对这个所谓的”混杂性“问题的解决方式不同决定了HIPS在对付已知和未知情况方面和杀毒完全不同。           就我个人看法：杀毒软件设计的基本思想主要是”是什么“，而HIPS 的基本设计思想主要是”可能成为什么“。如此一来，杀毒软件采用的”确定性“设计体系很方便使用，但无法理解它尚未理解的客观事物本身的"混杂性”，很容易和现实脱节而出现误差。而HIPS基于“可能性”的设计体系就从理论上增大了对“混杂性”的理解和认识能力，但由于人类认识世界所存在的客观的局限性，及世界本身的“混杂性”，所以实际使用难度加大。借用一句前人的话来说就是：真相背后有十万种可能性，而且没有固定的内容和表现形式。         PS：个人感觉HIPS给人一种比较强烈的控制感，但这种控制感同时可能也是一种无边无尽的巨大折磨。如果你的能力不够，很容易会被搞到痛苦不堪的境地甚至几欲和电脑拼命的地步 ，同时可能产生对HIPS严重错误的认识，而一旦修成正果则如鱼得水，爱不释手 。这大概也是“混杂性”搞的鬼。 如果哪位菜鸟朋友想在HIPS上大干一场，一定要万分谨慎，不然你很可能会被折腾得精神错乱的 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-3-1 01:04 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #2   关于微点和HIPS的区别 http://bbs.micropoint.com.cn/showthread.asp?tid=48785&fpage=2 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-3-1 01:04 微点放大是焦点 高级用户 积分 783 发帖 765 注册 2007-2-10 来自 广州 #3   微点和HIPS的区别我作个比喻吧。HIPS是一颗花生；微点是一瓶花生酱。为啥呢？我们且不说花生和花生酱谁好吃，就食用方便程度而言，花生酱不用剥壳的，要方便不少。但是花生酱就一定比花生好吗？这也不一定，花生跟花生酱比是有着原色原味的独特之处的。这个正如微点智能选择，帮用户省去很多麻烦，但是这个智能是有风险的，所以HIPS也不是说一无是处了。 ※ ※ ※ 本文纯属【微点放大是焦点】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 天将降大任于是微点,必先苦其老总,劳其同事,饿其用户,空乏资金,官司乱其所为,所以动心忍性,销售其所不能。 2009-3-1 06:17 mamsds 银牌会员 积分 1373 发帖 1360 注册 2008-3-15 来自 乌克兰 #4   一句话，HIPS太复杂，太麻烦即使理论上可以防御100%未知病毒，而微点只可以防止90%未知病毒，我还是会选微点——不是我不会，是HIPS用起来太麻烦了！！！ ※ ※ ※ 本文纯属【mamsds】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Vi Veri Veniversum Vivus Vici. 2009-3-1 14:08 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号