一、HIPS简介

　　HIPS是英文“Host Intrusion Prevent System”的缩写，通常被翻译为“主机入侵防御系统”。HIPS如何防御入侵?一般来说，HIPS通过应用程序控制AD、文件保护FD、注册表保护RD、网络访问控制ND来实现。

　　(一)应用程序控制类 AD

　　应用程序控制功能，也就是我们通常描述HIPS软件时所提到的AD(Application Defend)功能，是HIPS软件最重要也是最基本的功能。在Windows系统上，应用程序的行为是造成Windows系统威胁的根本原因。计算机感染病毒、被植入木马等问题的核心都是应用程序被执行且产生了恶意行为。

　　应用程序控制功能需要对应用程序可能对操作系统带来危害的主要行为进行控制，使用户在使用HIPS后可以及时发现这些行为并及时阻止。高级些的HIPS还需要对应用程序的执行进行控制，对可执行文件的完整性进行校验，已知程序运行控制，未知程序运行控制，已更改程序运行控制，自启动程序控制，创建子进程控制，打开进程控制，DLL注入控制，打开网络连接控制，OLE对象控制等。

　　(二)文件控制类 FD

　　文件控制功能就是通常所说的FD(File Defend)功能。HIPS对操作系统的文件读写进行控制。这种控制包括两个方面：

　　首先是对未知应用程序试图进行文件读写操作的行为进行控制。

　　其次是对关键路径进行保护。未知程序向Windows、Windows\system32、Documents and Settings等目录写文件都是非常危险的动作。

　　(三)注册表控制类 RD

　　注册表控制类通常被成为HIPS的RD(Registry Defend)功能。注册表是应用程序运行的重要入口，在Windows系统中预留了类似于Run、RunOnce等特殊注册表项，用以在操作系统启动时自动运行相应的应用程序，此外注册表还决定了应用程序的引导方式，如作为驱动引导、作为服务引导还是作为一般应用程序引导，引导顺序也可以指定。HIPS对操作系统的注册表读写进行控制，这种控制包括两个方面：

　　首先是未知应用程序读写注册表的行为，HIPS软件应该可以及时进行控制，木马通常会在运行后将自身写入自动运行键以开启后门。

　　其次是对关键注册表项进行保护，防止恶意软件通过正常应用程序以授权权限写关键注册表项。

　　(四)网络控制类 ND

　　一般来说，在用户拥有足够进程相关方面知识的情况下，3D联防能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上不大可能了。但是，3D联防也不是最安全的，用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，HIPS对网络控制也很重要。

　　HIPS对网络行为进行控制，不仅需要完成主机、端口过滤，也需要对试图访问网络的应用程序进行控制，进方向连接控制 ，出方向连接控制 ，状态检测，IP监控等。

　　二、HIPS“智能化”分析

　　(一)微点的“智能化”模式

　　对于智能化的HIPS尚没有一个权威的定义。目前市面上以“智能化HIPS”自称的大概是微点主动防御软件。该软件有四个模块：已知病毒识别、未知病毒识别、可疑程序诊断、进程来源分析。

　　官方介绍：

　　1、首创动态仿真反病毒专家系统：对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。

　　2、自动准确判定新病毒：分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口(API)的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新病毒，明确报告诊断结论;有效克服当前安全技术大多依据单一动作，频繁询问是否允许修改注册表或访问网络，给用户带来困惑以及用户因难以自行判断，导致误判、造成危害产生或正常程序无法运行的缺陷。

　　3、程序行为监控并举：在全面监视程序运行的同时，智能分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表。

　　4、自动提取特征值实现多重防护：在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提取病毒特征码并自动更新本地未知特征库，实现"捕获、分析、升级"自动化，更有效阻止同一个病毒的再次感染，使用户系统得到安全高效的多重防护。

　　5、可视化显示监控信息：微点软件对所监控的程序行为，包括程序运行、程序生成、网络信息、攻击日志等大量信息可视化显示出来，用户能直观掌握系统的运行状态，并依据其分析系统的安全性。

　　从以上文字可以看出，该软件一再强调通过病毒行为之分析、监控病毒行为以达到主动防御之目的。这的确符合HIPS的主动防御是基于行为分析之原理。

　　但是，该说明有一处应引起大家注意“病毒识别规则知识库”、“发现新病毒后自动提取病毒特征码并自动更新本地未知特征库，实现‘捕获、分析、升级’自动化，更有效阻止同一个病毒的再次感染，使用户系统得到安全高效的多重防护”等，那么微点究竟是基于“行为分析”还是“病毒特征码分析”呢?还是两个都有?这难免给人一种闪烁其词的模糊感觉。

　　当然，也有人认为，“主动防御将发展为病毒码方法的一系分支，只不过它所根据的并非程序码模式，而是‘行为’”。这句话有点不可思议，至少从逻辑上可以这么认为：行为是行为，特征码是特征码，一个是动态的事实，一个是静态的文本，二者不可同日而语。不能把行为分析归入在病毒特征码分析，二者还是有明显的区别。无怪乎微点给我们第一印象是杀软。

　　我们没有必要一味强调“行为分析”而排斥“病毒特征码分析”，也没有必要一味强调“病毒特征码分析”而降低“行为分析”的独立性。尽管“病毒特征码分析”和“行为分析”是有一定区别，但是并不排除HIPS磨合两个模块的可能，只是软件开发者在考虑到各种因素后而有所偏好或舍弃。

　　(二)HIPS“智能化”概念

　　微点有关程序(包括病毒)行为分析及其控制机制，为“智能化”之界定提供了一个比较清晰的模式：“动态监视所运行程序调用各种应用编程接口(API)的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性”，“在全面监视程序运行的同时，智能分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表”等。

　　可见，“智能化”是指对程序行为的自动判断、控制和处理行为。然而，“智能化”只能建立在软件开发者等对各种程序行为分析、归纳、总结基础上，得出的一般规律，制定默认规则，做出普遍的安全控制。无论如何，HIPS软件自身是不可能在预设规则之外自动识别恶意行为的。“智能化”仅仅是预制规则的控制结果而已。

　　(三)智能化的尴尬

　　如上所述，“智能化”仅仅是预制规则的控制结果而已。预制规则仅仅是对一般危险行为，比如“插入代码”、“获得系统优先权”、“强制终结其他程序”等。如果某些安全程序也有如上行为，HIPS一样拦截，或提示“危险行为”。难怪有人说HIPS误报，这就出现“智能化”不“智能”了。

　　因此，HIPS“智能化”的说法不太严谨。真正的“智能化”还是人脑，不断提高安全意识和安全知识才是王道。

　　HIPS向“智能化”发展，只能在“HIPS自身架构”和“预制规则”上下功夫，其他的留给人脑吧。