» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 对微点是不是HIPS的一点个人理解.写的不好,请见谅    16   1/2   1   2   >  作者: 标题: 对微点是不是HIPS的一点个人理解.写的不好,请见谅 wantcm 版主 使用与技巧区消防员 积分 2351 发帖 2247 注册 2007-4-7 #1  对微点是不是HIPS的一点个人理解.写的不好,请见谅 原文是在深度首发的，深度的服务器越来越不像话了，点发贴半天没反应，结果内容全消失了，郁闷。这么多都是重打的。 因为我学过医，所以就用医生来比喻杀毒软件，病毒比喻为疾病了，我觉得很形象。 首先说下HIPS。HIPS中文名为主机入侵防御系统又叫系统防火墙，功能主要分为AD，RD，FD。 AD(Application Defend)应用程序防御体系，主要监测API调用。 RD(Registry Defend)注册表防御体系，主要监测注册表信息更改。 FD(File Defend)文件防御体系 主要监控文件的变更，移动，增减。 再说一下微点的工作原理： 1。系统探测：利用系统中密布的微点探针来监视API调用，注册表变化，文件的变更，移动，增减。这和HIPS没什么区别。 2。行为判断：经过反病毒专家对上万例病毒的研究总结出的病毒行为特征，并利用人工智能技术使这种判断自动化。可以比喻为医生分析病情的能力。 3。特征码识别：传统杀毒软件扫描功能的简化。可以比喻为典型症状的判断手册。 4。黑白名单：对微点可以识别的正常程序放行，对于一些文件名，MD5，CRC32哈希值固定的恶意软件进行识别。可以比喻为病历和家族性遗传病史。黑名单只是个人猜测，目前没有发现微点有黑名单。但是白名单我认为是有的。 5。智能防火墙：可以比喻为口罩之类的防病工具。（其实我还想说套套的......） 6。其他功能。略。 当HIPS发现系统发生变化，会提示用户，让用户进行操作，这就好比HIPS是X光，CT，体温计，血压计之类的器械，它可以告诉用户“病人”有什么特殊症状，但是判断到底是不是有病，有的是什么病就需要用户来判断了，因为器械没有判断功能。 微点和HIPS相同的地方就是都有对系统变动的监控能力，如果说HIPS是一整套医疗检查器械的话，那么微点也有一套相同或者相似的器械。 但是微点和HIPS的不同之处在于，它不仅可以发现系统的变动，还可以判断变动的原因，并对这种变动下一个结论。他的行为判断能力就相当于给医疗器械搭配一个医生。 我说的够明白了吧？HIPS之所以叫HIPS不叫杀毒软件，就是因为它本身没有判断能力，只是单纯的监测工具。 而微点之所以叫杀毒软件，就因为它能判断程序是否为病毒且拥有杀灭病毒的能力。 医疗器械不是医生。 医生不是器械。 拥有一套医疗器械的医生还是医生。 按第一篇提到的医生和器械的对比，咱们继续往下说。 医院选医疗器械除了价格外，最注意的是医疗器械的精度，同样是超声波，B超能检查出2X2CM的肿块，彩色多普勒超声波能查出来1X1CM甚至更小的肿块，所以彩超比B超贵，而且贵的有价值。 其次，医疗用的化验设备另外两个主要性能指标是“敏感度（灵敏度）”和响应速度，免得病人心跳停止了他的心电图还在跳。 所以，HIPS和医疗器械相似，也有着精度高，敏感度高，响应快的优点。一款优秀的HIPS，会让任何系统变动都逃不过它的监视。 不过有时候优点也是缺点，频繁的报警，难懂的提示报告让新手无法判断。 就好比血尿酸监测，每个人的血液里都有尿酸，低于一定值就是正常的，但是高了就会引起痛风病。 在检验仪器眼下，所有的血液都有尿酸，所以都会报告，但是医生会根据尿酸数值和其他症状来判断是不是痛风，这就是仪器和医生的区别。 系统的所有变动HIPS都会报警，那么啥都别干了，不停的判断点"放行“”禁止“，烦都烦死了。所以HIPS普遍引入了规则。一般情况下，尿酸高于400单位就是危险的，所以仪器可以设置成“尿酸高于400单位则报警”，与HIPS类比，这就是规则的制定。 但是很多人尿酸高于400单位也没得痛风，也有少数病人虽然尿酸低于400单位，也有痛风症状。所以说，一个固定的，过于精确的规则，可能并不能解决所有的实际情况。 所以总结一下HIPS的特点： 优点：精确，敏感，响应快 缺点：规则判断智能度低，灵活性差。 再说医生 现在的医生大多是西医，没有什么望闻问切的本事，判断疾病的本事主要依赖仪器和病人发病的特征。 而微点主动防御属于”拥有一套医疗器械“的医生，那么，对系统变更的监视”精度“还是有保证的。 对于”仪器“上报的数据，医生会进行一定的取舍，比如在尿检中发现了极少量的血细胞，并不一定会以此来判定病人是否得了肾病，医生可能会忽略这个症状，所以说，医生的敏感度要次于仪器。 病人把化验报告交给医生，医生靠自己的经验判断后在给病人处方，有一个逻辑判断的过程，所以，医生的诊断要滞后于仪器的报告。 当然，微点这位医生是靠GHZ级别的CPU判断的，处理的速度要快于真人亿万倍，但是延迟还是有的，所以微点主动防御无法和HIPS比拼报警速度。 但是微点这位医生在很大程度上，弥补了HIPS这一医疗仪器的缺点，那就是智能度。很多让HIPS频繁报警的程序，在微点这并不会报，而且，一个真正的病毒摆在那里，HIPS绝对不会报它是病毒，只能报这个软件有什么什么动作，而微点会直接报它是病毒。 但是，在诊断病人的过程中，可能病人得症状极其轻微，医生不认为它有病，或者某人的本属于正常，但是和某种疾病的症状十分相似被医生误诊为有病。比如小东过微点主防的方法，就是尽量”减少“病毒动作，并让病毒动作”正常化“，于是造成”症状不明显“被微点这位医生漏诊了。*PS.微点现在已经修正这个错误。 再比如人剧烈运动后，体温肯定会高于正常值，那么医生诊断其为发烧就是误诊了。而一些正常的软件，也可能会有比较”特殊“的动作，可能会让微点”误诊“。 再次拿剧烈运动后的高体温举例，体温计的示数高于正常值，那是肯定的，那不是误报，所以以此类推，在一般情况下，HIPS不存在误报。 而如果你大夫认为高温就是发烧，就有可能是误诊了，所以主动防御存在误报。 我想说的就是这些。 总结一下。 HIPS 优点：精确，敏感，响应快 缺点：规则判断智能度低，灵活性差。 不存在误报不误报的问题。 微点主动防御 优点：高度智能化，对程序判断比较灵活，很大程度上省去了用户的判断。 缺点：敏感度和响应时间较HIPS略差，可能存在少量误报。 [ Last edited by wantcm on 2007-12-7 at 22:54 ] ※ ※ ※ 本文纯属【wantcm】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 做为斑竹，一定要消灭0回复 2007-11-7 11:22 hanker 版主 永远的偶像 积分 963 发帖 929 注册 2007-2-28 #2   微点的工作原理，我感觉说起来很复杂。 我的意见有点和你不大一样。 对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。微点也是有个行为识别库，比如说张三去访问李四，张三拿着一些菜或者酒去访问是认为正常行为，有一天突然张三发疯带着刀去访问李四了，这个时候微点会马上阻止。 行为判断：在系统分布有很多探针，监视程序的行为动作和程序和程序之间的逻辑关闭，如果违法了微点的行为识别库就会报警，我认为行为判断可能是这样的。 特征码识别：这个东西就不用说了，感觉主要就是更快的处理一些老病毒来用的。打开文件之后微点先用已有的特征码扫一遍，如过有毒就报警，如果没有等程序运行，行为分析来报警。 关于你说的黑白名单：我感觉不能叫黑白名单，应该叫程序识别库，目前没有发现微点有黑名单（我感觉黑名单的意思就是封闭某程序） 关于智能防火墙：我很喜欢微点的智能防火墙，为什么呢，因为微点有一套从上到下的整套软件思路，先说智能防火墙，有没有发现，微点能识别的软件微点防火墙一般是不报警的，不能识别的软件一般情况下会弹出窗口提示对外连接是否允许。 好了，说完这个再说下我对微点的一点小理解 先用特征码对其文件扫描，扫描没有发现异常，程序运行，运行后微点行为分析工作，行为分析没有发现异常，微点防火墙弹出窗口询问是否允许访问网络。 如果一个木马或者病毒之类的程序到 行为分析 就已经断了，就用不到防火墙了。 ※ ※ ※ 本文纯属【hanker】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-11-7 11:43 skychong 注册用户 积分 128 发帖 126 注册 2007-2-10 #3   恩....支持你们      都说的很有道理.... ※ ※ ※ 本文纯属【skychong】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-11-7 12:30 wantcm 版主 使用与技巧区消防员 积分 2351 发帖 2247 注册 2007-4-7 #4   增加了一些内容 ※ ※ ※ 本文纯属【wantcm】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 做为斑竹，一定要消灭0回复 2007-12-7 22:54 tianshousheng 注册用户 积分 118 发帖 118 注册 2007-9-30 #5   版主就是版主,呵呵,但是有点深奥了....... ※ ※ ※ 本文纯属【tianshousheng】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-8 00:01 zbzc 注册用户 积分 131 发帖 129 注册 2006-10-4 #6   微点是杀毒软件，因为它能杀毒，hips是系统防火墙，是阻止病毒入侵的。 ※ ※ ※ 本文纯属【zbzc】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-11 17:45 proll 新手上路 积分 43 发帖 43 注册 2006-4-7 #7   HIPS只是主动防御的一部分，微点是主动防御软件，是不是HIPS无所谓。 ※ ※ ※ 本文纯属【proll】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-11 17:49 hf4036 新手上路 积分 4 发帖 4 注册 2007-12-11 #8   其实普通用户不管它是什么 我们只要它随机启动快! 占用系统资源少! 最主要对待病毒要彻底消灭! ※ ※ ※ 本文纯属【hf4036】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-11 18:04 liudaxue2008 中级用户 积分 402 发帖 402 注册 2007-11-6 来自 苏州 #9   只要好用就行 ※ ※ ※ 本文纯属【liudaxue2008】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [img]http://bbs.micropoint.com.cn/images/logo.gif[/img] 2007-12-12 12:52 xiaofengyyy 新手上路 积分 45 发帖 45 注册 2007-1-10 #10   我也是学医的，关于仪器和医生的关系太理解了，仪器是医生的重要辅助工具，但不是医生。 ※ ※ ※ 本文纯属【xiaofengyyy】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-12 20:51  16   1/2   1   2   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号