HIPS

王朝百科·作者佚名 2009-12-28

(基于)主机(的)入侵防御系统Host-based Intrusion Prevention System HIPS，基于主机的入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。

因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。

我们个人用的HIPS可以分为3D：

AD(Application Defend)应用程序防御体系

RD(Registry Defend)注册表防御体系

FD(File Defend)文件防御体系

它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

所谓hips(主机入侵防御体系)，也就是现在大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips.

二者虽然都是防火墙，但是在功能上其实还是有很大差别的：传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上，通过特定的tcp/ip协议来限定用户访问某一ip地址，或者也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用处的；而hips系统防火墙就是限制诸如a进程调用b进程，或者禁止更改或者添加注册表文件--打个比方说，也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被hips检测到然后弹出警告询问用户是否允许运行，用户根据自己的经验来判断该行为是否正确安全，是则放行允许运行，否就不使之运行，一般来说，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上很低很低了.但是，只是装上个hips也不是最安全的，毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)！

上面是对hips和防火墙作个区别，因为杀软和这两类软件差别比较大，就不拿到这里来说了，下面我具体介绍一下hips以及常见的几款hips安全软件，希望对各位有所裨益！

常用的HIPS软件有：

SNS(Safe'n'Sec Personal)--AD+FD+RD，

SSM(System Safety Monitor)，--免费版AD+RD，商业注册版AD+FD+RD

PG(ProcessGuard和Port Explorer)--AD+RD，

GSS(Ghost Security Suite)--AD+RD，

SS(SafeSystem 2006)--FD.

EQSecure(国产的E盾)--AD+FD+RD

其实我觉得这些hips软件在功能上也大多差不多，更多的我们其实也就是比较一下谁的生命力更顽强(不容易被其他进程干掉)，谁更适合国人所需，谁更简单易操作，下面我就这些方面做个相对比较简单的介绍吧！

首先是SSM(System Safety Monitor）因为我比较喜欢这款：商业版免费版注册表监视：高级基本过程监视：高级基本底层磁盘访问控制：有无底层键盘访问控制：有无 NT服务监视：高级基本 IE设置跟踪：高级基本用户程序友好对话：有无优先支持：高低开发优先：高低 Win9x支持：无有

SSM在声誉上面是相当不错的，而且也相对很稳定--虽然能被ICEword干掉，不过其他的hips类好像也都是能被干掉的，这个不是重点，因为在冰刃要干掉他们之前，hips软件已经会报警询问是否允许该项操作，虽然说缺了个FD功能，不过我觉得对个人用户来说已经相当足够，起码我已经有半年时间未中毒插马了--当然，如果你还是不放心，再装上个SS补足3D功能也是可以的，最关键的是SSM商业版已经被成功破解了(该软件有简体中文版)，唯一觉得不爽的可能就是早期使用比较繁琐，毕竟什么东西的运行都要选择允许还是禁止也是一件头疼事，所以一般在刚装上的时候，我个人建议还是先全部运行一遍所有的你要经常用到的东西就可以了，占用资源也还可以，一般是一个进程10M左右，cpu基本没感觉.我给SSM打90分

其次是SNS(Safe'n'Sec Personal)--他是3D的哦，它建立在行为分析的基础上，有最先进的预先侦查系统，可以防止病毒渗透计算机，破坏信息，对计算机多了一层保护，在计算机保护方面实现重大突破。同时，快速安装，易于操作的界面，和反病毒软件和个人防火墙极好的兼容性，智能的决策技术，最强的保护和对系统运行的最小影响等特点更增加了Safe'n'sec的魅力--汗，这个是官方介绍，我自己觉得是相当的牛了，不过我自己还没有用过--这是全英文版本英语太菜，而且没有破解(专业加密公司出品，想破解难度好大的)，在网上看过测评，据说是比GSS+SS还要牛的.我给SNS打95分

再下来就是GSS(Ghost Security Suite)，其实用的时间并不是很长，可能没有多大发言权，不过我个人不是很喜欢这款，因为貌似不太稳定，在运行大型游戏的时候，似乎CPU容易飙升，这个不少人如此，不知道是不是此软件本来就是如此，但是GSS还是相当不错的--简单明了，有自己的操作模式，不如SSM来的细致繁琐，但是也是相当安全，特别是在配合SS使用之下.不过最不爽的是容易被任务管理器干掉，我昏，而且长时间没有更新了，不知道搞什么！不过话说回来，现在网路广泛流传的GSS亚尔迪破解版还是很不错的.我给GSS打88分，GSS+SS打92分

简单说下PG和SS，SS规则完善但不够稳定，PG简单稳定，大致上PG感觉和SSM以及GSS差不多，就看用户个人喜好了~~~

最后还提一款hips软件--Winpooch(因为没有用过，所以就只能借用别人的话来说了)，相对GSS而言，无疑，GSS的稳定性比Winpooch略强，但是GSS的规则添加到500条左右的时候就会变得很慢，而且GSS只能监控注册表，但是，Winpooch不只可以监控注册表，还可以监控文件的读取、写入，还可以监控网络连接，而且目前Winpooch已经有600多条规则了，对系统的影响还是很小，软件推荐给你了，好不好用还得你自己测试才最实际。

HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。

HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。

个人用的HIPS可以分为3D： AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

目前在有些杀软或防火墙中，也含HIPS功能。

常用的HIPS软件：

常用的Hips软件中功能最全、最强大的是应是Tiny，它是集AD+RD+FD+传统网络防火墙，而且在启动时不拖不卡，资源占用很少又很稳定（用SS经常蓝屏重起），自定义。当然上手起来稍微慢一点儿。

（下面是某位网友测试报告，仅供参考）

1、SNS-- 俗称犀牛，用了两天。

优点：3D全有。系统栏里小犀牛头的图标挺Cool的。警告时有危险等级显示。

缺点：(1)FD功能在设置上不方便也不全面。说不方便，是因为没有单独的大项设置，和AD+RD的规则混在一起，几百条规则在一起，眼都看花了。说不全面，是FD自定义设置里只有”Creat"、“open”和“Delet”（即“创建”、“打开”和“删除“），而全面的设置应该是”Creat“、”Write"、“Read”和“Delet"。它的”open“，我试了一下就是禁止使用，关键的系统程序肯定不能用这一项来保护，要是恶意程序或病毒程序改动了已经存在的系统关键程序，犀牛的FD保护就无能为力了。(2)装上犀牛后不知是不是试用版的原因，所有预设规则都不能改动，而且其中的几百条规则的名称用的是序号，看的头大。而且AD+RD+FD所有规则混在一起，没有分类。(3)装后电脑启动巨慢；(4)没有序列号和注册机，及2.5版的破解版，试用期限一个月。不喜欢。(5) 似乎没有磁盘底层保护。

2、SSM——正在用的东东，已经在我的两台电脑上呆了两三个月了。

优点：AD+RD的防护十分全面。记得前段时间有个测试，十几、二十几种方式终止程序，SSM都通过。PG只能过几项。有磁盘底层保护。还可保护*.INI文件。商业版虽然只能用30天，不过通过修改注册表就可以一直用，使每次开机都有30天的试用期，谢谢坛友们分享自己的经验。运行稳定。

缺点：当然是没有FD功能了；还有，没有危险等级提示，只能完全凭使用者的经验判断，有时弹出的框太频繁只能狂点，点的手都酸了。

3、SS——前几个星期通过了解知道hips要3D都有才够安全。下了SS，有了SSM+SS的组合。3D全有。

优点：SS的自定义规则方便、直观。有试用版的破解版本。

缺点：(1)SS的拦截机制是“先斩后奏”，等于是拦完了后弹出框告诉你刚才它做了什么，再同时问你下次怎样做，不能在拦的时候提示询问你如何操作，晕。所有用过的Hips里就SS有这个“特性”。(2) 运行不稳定。只要一打开VeryCD网站就蓝屏重起。网上查找资料时也经常蓝屏死机。遂放弃。

4、GSS——只用过单独RD的深山红叶版，用的那段时间没中过恶意软件的毒，比较强大。个人认为SSM与GSS的功能上相同，而且SSM有简体中文版，也经常升级。GSS好像只有延长了试用天数的试用版，也没有什么升级，所以没有打算用GSS。缺点当然是没有FD了。

5、Winpooch—— 可爱的狗狗，运行不太稳定，比较拖系统，功能也不全面。装上后只用了两个小时不到就Kill了它。

6、Parador File Protection PE-只有FD，装后系统启动比较慢，而且FD功能不全，可以阻止程序创建文件，不能阻止程序修改已创建的文件。有个现象一直没有人提，不知道是不是只有我一个人有，就是装了PFP后，开机进系统再插上移动硬盘，系统没有任何反应，也看不到移动硬盘的盘符，卸了PFP之后就没问题。

7、Viguard－据说是Hips No.1，法国的。装后五六次启动只有一次能进入系统，但拖的要我小命，电脑没法用。只有在安全模式下删了。目前只有试用版。

8、Tiny－AD+RD+FD都有，还有一般网络防火墙的功能，自定义设置全面，而且有组管理的概念。不拖系统，与SSM兼容性很好，Tiny是所有hips软件中兼容性和稳定性，及在功能上最好的。有Pro版的注册码。推荐安全组合：Tiny+SSM+小红伞Workstation。

缺点：上手稍感复杂。好像没有磁盘底层保护。

4D的HIPS：

4D的HIPS相比于3D多了一个ND(Network Defend)保护，也就是一个网络防御。

很荣幸的，国产就有一款4D的HIPS软件——中网S3

介绍：

中网S3（System Security and Safety）是一款主机系统安全工具，主要功能包括：

（1）网络控制：基于Windows的状态检测包过滤双路多层防火墙。

（2）应用控制：在Windows上增加系统自主访问控制和基于规则的强制访问控制。

（3）系统监控：主机系统安全的监控、检测和审计等。

中网S3主机安全系统，可以解决网络攻击、网络入侵、僵尸网络、社会工程攻击、蠕虫病毒、间谍木马软件等系列安全问题。

如果你需要

一款功能强大的Windows防火墙，

一款Windows主机入侵检测和防御系统，

一款Windows主机完整性包含软件，

一款Windows蠕虫病毒免疫系统，

一款积极防御的Windows的防间谍软件等，

中网S3主机安全系统可能是你合适的选择。

●●●

经典HIPS

经典HIPS指需要手工制定完整的防御策略（规则）才能对系统实施保护的一类HIPS，较早出现的HIPS基本上都为这一类型。

CA HIPS & Tiny Firewall Pro(CA、Tiny)

Comodo Firewall Pro V3(CFP、毛豆)

CORE FORCE(CF)

DriveSentry

魔法盾EQSecure(E盾、EQ)

Ghost Security Suite(GSS)

Malware Defender(MD)

ProSecurity(PS)

Safe'n'Sec(犀牛、SNS)

System Safety Monitor(SSM)

中网S3

智能HIPS

智能HIPS指不需要或者较少需要使用者手工制定的防御策略（规则）即可对系统实施保护的一类HIPS，通常这类HIPS内置了一定的判断方法和处理规则，因此能够根据程序行为的危险程度进行自动判断和处理，对于少量难以判断的程序行为才会提示使用者并由使用者判断处理。体现出一定的智能性。

Dynamic Security Agent(DSA)

GKR内核加固免疫系统

Mamutu(马马屠)

Norton AntiBot(NAB)

Prevx

Threatfire(TF)

Mp（微点）国产的。

沙盘HIPS

什么是沙盘？

沙盘英文名sandbox，也叫沙箱，顾名思义可以看做是一种容器，里面所做的一切都可以推倒重来，军事上常用沙盘来进行一些战争区域的地形模拟，这个你见过吧？不用了可以把沙子推平重来。

我们所说的沙盘是一种安全软件，可以将一个程序放入沙盘运行，这样它所创建修改删除的所有文件和注册表都会被虚拟化重定向，也就是说所有操作都是虚拟的，真实的文件和注册表不会被改动，这样可以确保病毒无法对系统关键部位进行改动破坏系统。另外现在沙盘一般都有部分或完整的类似HIPS的程序控制功能，程序的一些高危活动会被禁止，如安装驱动，底层磁盘操作等。目前沙盘主要有两大类，一是采用虚拟技术的传统沙盘，另一个就是采用策略限制的沙盘。

BufferZone、Defensewall、Geswall、SafeSpace、Sandboxie、Software Virtualization Solution、VElite、WindowZones

HIPS正名：High Impact Polystyrene耐冲击性聚苯乙烯性能：耐冲击性聚苯乙烯（HIPS）耐冲击性聚苯乙烯是通过在聚苯乙烯中添加聚丁基橡胶颗粒的办法生产的一种抗冲击的聚苯乙烯产品。这种聚苯乙烯产品会添加微米级橡胶颗粒并通过枝接的办法把聚苯乙烯和橡胶颗粒连接在一起。当受到冲击时，裂纹扩展的尖端应力会被相对柔软的橡胶颗粒释放掉。因此裂纹的扩展受到阻碍，抗冲击性得到了提高。聚苯乙烯是一种用途广泛的脆性塑料。你现在正在使用的计算机的外壳就是聚苯乙烯的。透明的塑料水杯，包装用的泡沫塑料也是由聚苯乙烯制成的。聚苯乙烯属于聚烯烃，是由苯乙烯通过自由基聚合而成的。通过茂金属催化聚合可以得到一种新型聚苯乙烯，即间同聚苯乙烯(syndiotactic)。间同聚苯乙烯上的苯环交替地连接的主链的两侧，而普通聚苯乙烯的苯环在无规地连接在主链两侧。间同聚苯乙烯(syndiotactic)是结晶高分子，熔点达到270℃。在苯乙烯聚合体系中中加入聚丁二烯，使苯乙烯在聚丁二烯主链上接枝聚合。聚苯乙烯和聚丁二烯是不相容的，因此苯乙烯和丁二烯链段分别聚集，产生相分离。这些聚丁二烯相区可以吸收冲击能，从而提高了聚苯乙烯的冲击强度其它HIPS

Hautesecure、LinkScanner