石　頭

發(fā)展軌跡

HIPS(主機(jī)入侵防御體系)，被網(wǎng)友俗稱(chēng)為“系統(tǒng)防火墻”(非XPSP2防火墻)，是通過(guò)判斷規(guī)則、攔截行為等方式，為系統(tǒng)加載的一層“保護(hù)膜”。網(wǎng)絡(luò)防火墻與HIPS的區(qū)別是，當(dāng)程序需要上網(wǎng)時(shí)會(huì)被網(wǎng)絡(luò)防火墻攔截詢問(wèn)是否放行，攔截平臺(tái)僅限于互聯(lián)網(wǎng)出口與入口；而HIPS對(duì)應(yīng)范圍更廣，通過(guò)AD+RD+FD防御體系，阻止程序調(diào)用危險(xiǎn)的API。

主動(dòng)防御與HIPS的發(fā)展

談到HIPS不得不談它與主動(dòng)防御之間的關(guān)系。大約在3、4年前。殺毒軟件壓根沒(méi)有HIPS主動(dòng)防御，頂多就是一個(gè)再簡(jiǎn)單不過(guò)的文件監(jiān)控。經(jīng)歷了熊貓燒香的洗禮后逐漸受人重視，業(yè)內(nèi)非?？春糜晌Ⅻc(diǎn)帶來(lái)攔截、分析、清除體系。2007年，主動(dòng)防御技術(shù)得到了蓬勃發(fā)展，2008年主動(dòng)防御已經(jīng)遍地開(kāi)花，最后還成了不少?gòu)S家的宣傳口號(hào)。

主動(dòng)防御與HIPS的關(guān)系類(lèi)似于集合中的交集、并集，它們有太多相似之處，通常情況下的不同之處在于，主動(dòng)防御能刪除木馬病毒、注冊(cè)表殘留“自行善后”。關(guān)于主動(dòng)防御與HIPS的技術(shù)帖網(wǎng)上很多，而我這里只想強(qiáng)調(diào)的因素是“人”。

從用戶的角度去看待主動(dòng)防御與HIPS

從入門(mén)難度上講，HIPS大于主動(dòng)防御。HIPS對(duì)于用戶積累有要求，相應(yīng)的用戶入手難度會(huì)增大。但我們要看到，軟件BUG紕漏難免，智能化較高的主動(dòng)防御未必能超過(guò)高手使用HIPS自我判斷。

從操作易用上就很難判斷了!你可以說(shuō)，我用HIPS新手模式啊，我用的是智能型的HIPS。有些軟件的主動(dòng)防御功能的繁瑣是客觀存在的，甚至超過(guò)了常用的HIPS!另一方面，即使兩款均有主動(dòng)防御技術(shù)的軟件，也未必有同樣好的操作體驗(yàn)!為何呢?

這里牽扯到了主動(dòng)防御的成熟度了。目前市場(chǎng)上的殺毒軟件幾乎都有主動(dòng)防御功能，當(dāng)然一些不成熟的主動(dòng)防御產(chǎn)品也混雜其中。同樣一個(gè)危險(xiǎn)的動(dòng)作攔截，成熟的主動(dòng)防御產(chǎn)品能簡(jiǎn)明扼要地把信息傳遞給用戶，“XX程序是木馬XXX”是否刪除?“YY危險(xiǎn)行為已經(jīng)攔截”之類(lèi)的提示信息。有些會(huì)提示“XX試圖調(diào)用XXX”是否放行?“XX執(zhí)行了高危行為”是否攔截?