国内杀软 请不要混淆HIPS与主动防御

zhq445078388

主动防御与HIPS是完全不同的两个概念
HIPS充其量只是个动作报警器
而所谓的智能HIPS也不过是多动作报警器（参考卡巴斯基主动防御扩展）
而主动防御则是完全不同的
他报警的不是动作
而是把一串可以构成意义的动作定义为行为
根据行为去定义文件性质

HIPS如何报警
为何毛豆不进行综合性识别

因为：
HIPS无法对动作链做出解释，即使是某些杀软所谓智能HIPS也只是在关键行为做出警告
为了防止大量弹窗 有的加入了云

HIPS自己不进行动作总结
hips对行为混淆完全无力（如木马参杂无意义行为） 只能频繁弹窗 打扰用户


为何毛豆不敢自称主动防御呢？
因为毛豆不是国产软件 如果自称主动防御 那么会受到全世界业内人士的批判
毛豆也没能做出技术突破 因为大量规则的加入 会减慢hips的速度 拖慢系统
即使是卡巴 也是加了扩展两个字

为何360的木马防火墙不直接命名为主动防御而单独拿出一个服务叫做主动防御呢?
因为木马防火墙其实是一个HIPS （包括向服务传参、云鉴定客户端、关键行为报警传参）
真正的病毒判断还是在其云端的杀毒引擎以及其云端的海量白名单

看到这里 那么大家都迷惑了 主动防御技术不是多步的的HIPS那是什么
其实 主动防御技术是
基于程序行为自主分析判断的实时防护技术（来自百度）
主动防御的依据是
从最原始的病毒定义出发（from 百度）

HIPS软件 每一步都弹窗警告 而不进行综合分析

目前卡巴的主动防御正在向综合这方面发展
我们还没看到任何进展，仍然是单步的报警

主动防御则可以将各个动作归纳为行为 根据可能造成的后果来判定程序性质
这样 误弹窗比起hips大大的减少
结合云端白名单 则更加准确的判定病毒

ux188

微点主动防御

bayern

这是楼主的感想还是转在某篇文章

zhq445078388

bayern 发表于 2011-6-16 13:02
这是楼主的感想还是转在某篇文章

原创。。。谢谢

isle777

学习了~

nazisoft

确实是这样，但是智能HIPS算不算主动防御呢？

工本智障

主动/被动文字游戏么?微点不依靠规则?现在的安全软件还没有达到人工智能吧...

zhq445078388

工本智障 发表于 2011-6-17 13:55
主动/被动文字游戏么?微点不依靠规则?现在的安全软件还没有达到人工智能吧...

主动防御与智能HIPS的区别就是
智能HIPS类是引擎决定文件性质
主动防御是底层决定文件性质

有什么游戏的呢？

工本智障

zhq445078388 发表于 2011-6-17 14:34
主动防御与智能HIPS的区别就是
智能HIPS类是引擎决定文件性质
主动防御是底层决定文件性质

就是说"底层"也好"引擎"也好,是否需要有规则匹配?

lonedemon

楼主的文字游戏太强大了