各杀软主防和监控的区别？

88865ff

请哪位高手科普一下主防和监控的区别，还有各个主流杀软的主防都有什么特色和区别，什么时候杀软运用了主防什么时候运用了监控拦截.这很容易造成混淆，特别像GD这类的一般都不提示用主防拦截。有人都怀疑GD的主防等于0拦截的能力完全取决于监控能力.还有智能主防和HIPS的一些区别，如数字的主防、卡巴的主防、微点的主防、诺顿的主防、包括毛豆的主防都有什么区别.别老是拿百度百科上的说事我想哪位高手把自己的看法表达一下，本人没有这个能力否则我肯定会进行科普。还有智能主防和HIPS之间到底有没有冲突。诚恳大家多发一些科普贴和技术贴供各位朋友学习！

貝殼

像金某毒霸的彈窗就很一致。

迷惘的执著

主防是对未知的病毒木马拦截吧~监控是已知的吧小白一个，掩面欢乐的飘过

guidanba

监控相当于站门口的哨兵。主防相当于四处巡逻的特警。

花尨影

我这里BullGuard的拦截是区分主防和监控的，我个人的理解是，主防主要是在程序运行时起作用，因为主防主要监控程序行为，如果程序没运行主防怎么起作用，一般意义上的监控不少杀软是直接拿个引擎在后台扫描，监控起作用时是在文件、注册表等被保护的对象被访问时，所以一般意思上的主防和监控还是有很明显的区别的。但是，现在大家所说的监控更多的是一种立体防御，把主防也算进去了，因为主防从本质上讲是行为的监控，而行为不是一个实在的在电脑里存在的东西，二是一个抽象的东西，而一般意义上的监控是监控的电脑里实实在在存在的东西，但是两者总体上来说核心动作都是监控，所以我说现在大家说的监控更多的是指常规监控加行为监控。

不知道我说的对不对，欢迎大家评论。另外附上BullGuard的拦截日志，BG还是区分得很清楚的。

手动扫描日志

实时反病毒监控日志

主防防御拦截日志

yestersummer

先来一般百度百科的“Host-based Intrusion Prevention System HIPS，基于主机的入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。HIPS可以分为3D，AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。”有的HIPS是4D，就是在3D的基础上加上ND，网络防护！HIPS其实是通过制定规则来保护我们的PC。HIPS也是一种监控，它如上所述，是监控应用程序、注册表、文件、网络出入。MD就是手动HIPS，需要用户自己手动定制规则，毛豆以前也是手动HIPS，现在的毛豆越来越像智能主防靠拢。手动HIPS对用户的要求较高，需要用户对操作系统有深入的了解，因此一般用户上手手动HIPS难度较大！智能HIPS或是现在像360的云主防都是智能HIPS，是通过厂家制定规则并实时更新规则来保护PC！

yestersummer

数字的主防、卡巴的主防、微点的主防、诺顿的主防，应该属于智能主防，但是不同厂家制定的具体规则不同，监控的点也不同，特别是数字的主防针对国内用户使用的软件和使用环境做出了一整套规则，并且不断实时更新防护规则，智能主防基本上不需要用户自己订制规则。毛豆现在既可以作为智能主防使用也可以删除所有默认规则，完全由用户定义，那就是手动HIPS了。不管是哪家的HIPS，其实都是一系列规则的集合，根据规则来判定应用程序、注册表、文件、网络流动是否安全！

yestersummer

数字、卡巴、毛豆我都用过，微点和诺顿还没试过，以上是我个人的一点使用感受，不当之处请批评指正！

小林制药

所谓“主防”的概念现在已经被严重混淆。这个概念在最早的时候指的是“主动防御”——即在威胁被识别（入库）之前既可以一定技术手段进行拦截，至少拦截其发作。而现在这个词也指代了“主机入侵防护系统”（个人估计这种混淆是从卡巴斯基6开的头），但事实上“主动防御”和“主机入侵防护系统”虽然最终目的相同，却是两个截然不同的概念。前者更多强调了对未知威胁的分辨应该由软件完成，不需或者只需很少的人工参与，目标主要针对未被识别的病毒，和针对终端的保护。而后者的概念则宽泛的多，从硬件IDS到HIPS软件甚至到行业用设备等等，比较倾向于对一个体系内进行完整防护的目的，而终端只是这个体系内的一部分。

呃……刚才没写完

有些人或者有些厂商甚至在蓄意的混淆此“主防”和彼“主防”的区别。因为实现自动化识别和处理未知威胁比眼下HIPS软件所提供的分步拦截在技术上难得多，而这两个概念一旦相混淆后厂商就能以较低的成本取得用户心中更好的印象。而另一个倾向则是在某些情况下，和一些人的认识中所有的“自动解决未知风险”的技术都被错误的划进了HIPS的范畴。而事实上识别未知威胁的技术手段有很多。HIPS软件只是其中的一种，而且是最笨的一种。

最后随便说一下很多人认为的“自动HIPS”——微点。当然，这一段各位看官也就是随便看看，因为是我的个人看法，所以千万不要太当真。

微点主动防御软件主要的原理是“看程序在做什么”。记得之前刘总自己说的，是通过观察API的组合顺序和执行结果来判断文件的威胁性，在一定程度上模拟了病毒分析师……我认为他在这个描述很准确，很正确。但是我们应该知道这种方式只是“主动防御”实现的一个途径，而不可以把这一个方式等同于“主动防御”这一整个的大概念。我认为微点应该划入到“主动防御”的圈子而不是HIPS的圈子。因为微点已经实现了对未知威胁的自动化识别和处理，在HIPS中这一步是要依靠人工的。而相对HIPS的概念来说微点所做的又太少——至少可自定义的权限控制功能就没有，所以微点应该算是一种典型的“主动防御”软件，而不是所谓的“自动化HIPS”。

最后，同样也是个人看法——百度百科害人不浅。

请问你zyl

小林制药 发表于 2011-12-11 15:02
所谓“主防”的概念现在已经被严重混淆。这个概念在最早的时候指的是“主动防御”——即在威胁被识别（入库 ...

学习了,学习了