【更新】见到本区内一些谈论主防的帖子，Actually，有些想法实在是不吐不快，欢迎指正

月影天心

在本区偶见此帖：主防并不是主动防御，新人不要误解了：



觉得有些想法不吐不快，请各位指正。

本文部分截图来源于网络及坛友样本测试截图。

首先，我们来谈一谈何为HIPS？

HIPS，全称是Host Intrusion Prevent System，意即主机入侵防御系统，那么构成一个能被称之为完整HIPS的要素是什么？没错，FD、RD和AD。按照我的理解，狭义上，HIPS可以被称为主动防御技术，换句话说，主动防御技术是建立在HIPS基础之上的（广义上来说，HIPS只是主动防御的一种，下文详述），无论是多步，还是单步，都是以HIPS构建的骨架为核心，随着现代计算机安全技术的发展，基于云的主动防御技术被加入到传统主防的防御流程中，实现更加精准、强大的防护效果。

所以，狭义上来说，HIPS是不是就是主动防御？
我认为，是。因为所有的主防技术都是基于HIPS构建的FD、RD、AD体系。

然而，很多人会有疑虑，既然HIPS可以被称作主动防御，那么动、静态启发算是主动防御技术之一吗？
我认为，也应该是，主动防御与被动防御最大的区别就是前者完全智能化判断，不依赖于已有的病毒特征库，在于识别对该杀软来说未知的威胁，即未入库的威胁，而被动防御，狭义上应该仅指基于特征库的比对技术。

需要注意的是，动、静态启发仅仅包含于杀毒引擎的扫描过程中，而非程序实际运行过程中的行为判断，取决于杀毒引擎脱壳、反混淆器、反加密、加花等技术能力，即使是动态启发，也是一种基于虚拟机的病毒还原引擎，这些都贯穿于整个病毒查杀过程中。现在大多数杀软都具备了此类启发杀毒技术。

我们这里再回顾下主防的定义——完全智能化判断，不依赖于已有的病毒特征库，在于识别对该杀软来说未知的威胁，即未入库的威胁，那么广义上来说，上面所讲的启发技术，以及漏洞利用阻止技术等零日（Zero-day）威胁防护，甚至是根据版式配色特征实现的智能反钓鱼技术，都可算是主动防御技术的体现。

插一句：“主动防御”这一概念到底是人为炒作？还是卡饭坛友自创？其实，“主动防御”确实是专业安全厂商提出的新概念，追根溯源，第一次将“主动防御”四个大字明确见诸于商业软件，是在卡巴6.0时代，其后，各大安全厂商都进行了跟进，国内的瑞星、江民、金山以及之后的360都明确提出了“主动防御”的概念。

上图：卡巴6经典主界面

下面来谈主防技术的两大分支：单步和多步。

单步主防（One step；Single step）：传统单步主防的防御流程是这样：防御系统内建有数个系统关键项目的监控点，某文件对系统进行了敏感操作后，只要有行为触发了被保护的点，例如加驱、修改启动项等等，就会弹窗警示询问，并终止此时该文件的行为及之后的行为，用户此时选择终止该程序，即终止了恶意行为的继续，达到保护电脑的目的。

当然，随着云技术的发展， 目前的单步主防已经发展到与云端联动，不再是“傻瓜式”地无脑弹窗。基于云的单步主防的流程如下：对于某个文件，杀软首先判定该文件的可疑程度，准确的说应该是流行程度，根据文件的可疑程度直接套用在云端建立的规则，可疑程度较高的，即流行程度较低的，会较严格进行行为判定，触发敏感操作时会弹窗提示；安全的文件，以及流行程度较广的白文件，即对全过程放行，这与传统单步主防体系相比，不再对所有文件“无脑”弹窗，精准度大大提升。

上图：360的单步行为判断。

大家不妨可以去360论坛看一看360官方发布的各新版本安全卫士的更新摘要，几乎每个新版本都会有主防的改进，你会看到更新日志一般按照这样的格式来写：增加怎样的规则，用以防御怎样的威胁，这就是典型的基于云端规则的单步主防判断，官方会在云端不定期地更新规则库，以应对最新威胁。

然而，单步技术的缺点也是显而易见的，首先，单步技术仅仅是对某个触发危险的行为进行拦截，虽然实现了该行为终止，同时后续侵害终止，但可能存在拦截不彻底的问题，比如某个行为虽然阻止运行，但之前某个行为已经对系统造成了侵害，此时只是实现了部分危害阻止；再如某些软件因为设计上的瑕疵，触发行为拦截时，行为实际已经完成（进程挂起失败），并没有起到保护作用。其次，单步主防大大依赖于网络，联网时判断较为精准，断网时又变成无脑弹窗，造成一般用户不小的困扰；再者，单步技术无法对威胁造成的一些系统变化（文件衍生、注册表修改等）进行处理，防御的仅仅是该样本的恶意行为，此外，某些样本表面正常，但却携带黑dll，即白加黑样本，单步主防应对此类威胁时力有不足。

上图：Comodo的Defense+也是国外单步主防的代表。

多步主防（Multi step）：多步主防与单步相比，最大的优势是不是完全依赖于网络，且对病毒进行了宏观意义上的微观判断。实际上，此类主防大多应用了本地虚拟机、沙盒、静态启发等技术，通过观察整个程序的真实的行为，根据自身独特的威胁行为规则进行判断，如果属于威胁，则进行拦截，很多多步主防都带有回滚（Rollback），即记录病毒的攻击行为，备份原始数据档案，拦截后进行原始档案覆盖，还原造成的一切破坏。

多步主防的优势在于它并不针对于程序的某个行为，而是观察程序的整套行为动作加以判断，这样对于一些变形病毒、白加黑木马有较好的效果，因为此时系统关注的并不是文件本身。

上图：卡巴的SW，多步主防+回滚，应对未知威胁时相当给力。



上图：AVG的IDP回滚，也是非常给力，除了文件，注册表回滚一大堆

综上所述，我认为——
狭义上说，HIPS就是主动防御技术，主动防御技术以HIPS为基础；
广义上说，HIPS是主动防御的一种，启发技术、零日攻击防护、甚至是根据版式配色特征实现的智能反钓鱼技术、大数据下的信誉封杀等等都属于主动防御技术。
根据日常习惯，我们常常用主动防御泛指基于HIPS的单步、多步防御。

目前，国内大多数杀软都是基于云端的单步主防判定，如360、QQ管家、金山毒霸、百度杀毒等，火绒是单步+多步的结合（火绒的多步体现在“恶意行为监控”这一功能模块上），微点也是多步判定；而国外杀软领域，卡巴的SW、诺顿的SONAR、AVG的IDP、BD的ATC等都是多步主防，Comodo的Defense+是单步主防，ESET有一个高级内存扫描技术（AMS），亦属于行为防护一种，然而与真正的主防有较大差距，且没有回滚能力，至于Avira的ProActive、avast！的HIPS……好吧，不提也罢。

上图：国内少见的含有单步+多步行为判断的火绒安全软件。


上图：“恶意行为监控”就是火绒4的多步主防。

原创文章，转载请注明卡饭论坛-月影天心，谢谢。

月影天心

备用楼层，编辑掉~

超超~.~

支持楼主科普

HEMM

你懂的可真多~
你这巴啦啦一长串花红柳绿看的我一愣一愣的，不明觉厉~
把规则交我一观，非要附上果照我也照收~我就是这么的平易近人，若有所成必当还你一斤规则~万一不幸败了，还有其果照相陪，这段漫长的人生路有我的精神力陪伴.............疯了我可不管= =
HIPS都快死绝了，还谈理论呐........BUG豆都开始走美特斯邦威的魔鬼步伐了.........

jiangz1234

学习了。太多知识需要消化一下。

GreenCodes

主动防御是个垃圾概念，别炒作了

月影天心

GreenCodes 发表于 2016-12-27 04:52
主动防御是个垃圾概念，别炒作了

文章中已经写清楚了

那么“主动防御”这一概念到底是人为炒作？还是卡饭坛友自创？其实，“主动防御”确实是专业安全厂商提出的新概念，追根溯源，第一次将“主动防御”四个大字明确见诸于商业软件，是在卡巴6.0时代，其后，各大安全厂商都进行了跟进，国内的瑞星、江民、金山以及之后的360都明确提出了“主动防御”的概念。

西瓜君

作为小白，我想知道趋势的主防属于那种类型？

墨家小子

HEMM 发表于 2016-12-27 00:03
你懂的可真多~
你这巴啦啦一长串花红柳绿看的我一愣一愣的，不明觉厉~
把规则交我一观，非要 ...

村通网？工信部：2017年全国普及百兆宽带网速

HIPS都快死绝了

楼主说了HIPS是主防的基础，你说死绝了，那是不是以后主防也要死绝？你这不是打脸啪啪啪吗？
假设今后木马有突破性技术出现，HIPS必然会有防御招数应对的，起码我相信数字的云主防会有，HIPS不会死的，姐姐！！~~~

墨家小子

无知卖萌问一下，不是神点最先提出的主动防御吗？