tcjgdw@163.com
中级用户
积分 223
发帖 216
注册 2007-12-26
|
#1 关于智能主防与HIPS的认识和发展
对于智能主防与HIPS认识,各大论坛皆有论述,只是简单阐述一下,不一定全面,作为抛砖引玉,推动智能主防的发展,下面把微点作为智能主防的代表进行论述。
HIPS
三大要素:规则、监控、拦截(或阻止)。
整体特征:采用单一行为规则判断,整体防御思路是以层层设防,阻止目前已发现的可能性漏洞,主要以阻止为目的的单一性行为为主。
微点
五大要素:行为库、监控、拦截、清理(包括恢复),外加一个包过滤墙(防火墙)。
整体特征:采用组合规则为主,单一规则为辅,整体防御思路是以行为规则库为判断依据,满足行为规则库的进程进行拦截并提示删除。
二者之间的差别:
一是应用范围上的差别
HIPS发展至今,因为其入门条件较高,从而限制了其广泛的推广,也使得不懂电脑的普通大众对HIPS其望而却步。
微点的主防越来越成熟,智能程度越来越高,很适合不懂电脑的普通大众,具有良好的智能性。
二是防御智能程度上的差别
HIPS能实现的只是阻止(目前各大规则主要思路),如果要实现微点一样的提示,只会是误报多多,微点实现了提示并清除的功能。在此,并不是忽视微点的不足。
三是二者之间防御能力上的差别
要说到防御能力,肯定是HIPS要比微点强,因为智能原因却无法推广。在智能上,HIPS根本无法与微点相提并论。
微点智能主防规则的制定思路(研讨,不一定正确)
微点有一个所谓行为库,就是微点的规则库,这个规则库主要由一些组合规则和少量的单一规则组成,微点便是以这样的方式来判断病毒和木马的。
微点主防判断病毒的方式主要是由于一些所谓正常软件的行为与病毒行为具有相似性,微点另辟蹊径,主要采用了组合规则判断模式。组合规则判断模式可以减少误报的概率,还可以避免HIPS规则上的不足,HIPS规则太多运行效率不高,同时还得增加一些例外规则,排除一些正常行为规则,微点实行组合规则判断,很好地克服了HIPS的一些缺点,但也有它的先天不足。组合规则判断模式具有二大不足:一是误报,相比单一规则误报的概率大幅度下降;二是防御能力不足,相对HIPS防御来讲,具有很多不足之处;三是规则实行组合,只要学习过排列组合的人就知道,各大规则组合排列,组合的种类非常之多,导致微点漏报、误报,组合规则种类是微点不可面面俱到。
未来智能主防规则展望
只有全面看到微点与HIPS的不足和优势,取长补短,才能推动智能主防的发展。微点主防规则的组合判断已登峰造极,再想有所质的进步就很难了,而HIPS防御能力首屈一指,微点利用组合规则想超越基本上是不可能的事。所以今后智能主防的发展方向是加强防御,增加智能,二者同步进行。建议实行单一规则的模块化主防,实现HIPS规则的超强防御能力,同时具有微点组合判断规则的智能。
对于单一规则的模块化主防具体设想今后再详细论述。
[ Last edited by tcjgdw@163.com on 2010-10-20 at 19:32 ]
| |
※ ※ ※ 本文纯属【tcjgdw@163.com】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
