hips是主防吗?技术讨论帖

显示全部楼层 · 发表于 2014-8-22 15:36:30

jefffire 发表于 2014-8-22 14:46
主防也好，HIPS也好，能防木马就是好。
法虫也好，2妓也好，全是马甲才是真。
横批：看看就行

你少来这套我问你 HIPS是不是单步？主防是不是多步？

显示全部楼层 · 发表于 2014-8-22 15:37:27

本帖最后由 kesien 于 2014-8-22 15:41 编辑

HIPS和主防不是一回事，当年微点和HIPS都很火的时候这个问题也争论了很长时间
HIPS是单步判断，在没有规则的情况下可以说是每一步都会报警，而主防是完成多个步骤后综合判断做出报警，两者名字上差不多，概念上差不多，但原理上还是有区别，至少在软件理念是有区别的

显示全部楼层 · 发表于 2014-8-22 15:40:48

jefffire 发表于 2014-8-22 14:46
主防也好，HIPS也好，能防木马就是好。
法虫也好，2妓也好，全是马甲才是真。
横批：看看就行

姐夫这对联，让我不能看看就行，需要来顶一下

显示全部楼层 · 发表于 2014-8-22 15:43:05

法虫不是永封了吗？

显示全部楼层 · 发表于 2014-8-22 16:04:13

12L真相帝。而且主防运用的技术不光光是分值计算的，还有运用虚拟机判断等行为判断。

显示全部楼层 · 发表于 2014-8-22 16:21:43

HIPS只能主动给你提示，却不能自己主动解决问题，为什么要归类到主防里面？

显示全部楼层 · 发表于 2014-8-22 16:21:58

本帖最后由 jefffire 于 2014-8-22 16:30 编辑

kesien 发表于 2014-8-22 15:37
HIPS和主防不是一回事，当年微点和HIPS都很火的时候这个问题也争论了很长时间
HIPS是单步判断，在没有规则 ...

现代HIPS有很多内部规则，云端逻辑。而“多步”的代表——微点也有单步拦截，例如改硬盘引导区，未知程序后台联网都是单步拦截。多年发展后，两者界限并不明确。
采取单点拦截的策略，主要原因是首先要确保内核安全性。在确保内核安全性的前提下，再考虑别的。
“多步”，更明确的说叫行为分析，实质上就是以“行为”为特征参数的识别模式。需要测试对象充分暴露“行为”，置于前端会陷入内核对抗的死路，难以确保内核安全性。另外，行为分析误报难于收敛，测试周期长，在高强度的快速攻防对抗中容易处于劣势。行为分析置于后台是更好的选择。

显示全部楼层 · 发表于 2014-8-22 16:26:27

驭龙发表于 2014-8-22 15:40
姐夫这对联，让我不能看看就行，需要来顶一下

随手瞎编的，也不押韵。

显示全部楼层 · 发表于 2014-8-22 16:27:04

jefffire 发表于 2014-8-22 16:21
现代HIPS有很多内部规则，云端逻辑。而“多步”的代表——微点也有单步拦截，例如改硬盘引导区，未知程 ...

但是HIPS只是主机入侵防御系统，并不是主动防御，就像你所说的，主防应该是基于行为分析，然后分析完之后，给一个查杀或者安全的结果，而不是全程提示你进行了哪些行为，要不要进行阻止。

显示全部楼层 · 发表于 2014-8-22 16:29:56

本帖最后由 jefffire 于 2014-8-22 16:32 编辑

lmw8023zz 发表于 2014-8-22 16:27
但是HIPS只是主机入侵防御系统，并不是主动防御，就像你所说的，主防应该是基于行为分析，然后分析完之 ...

“主防”不过是文字。没有行业标准，也没有法律规定。单从字面分析”主机入侵防御系统“简称“主防”，这个也没有问题啊。

如果从微点刘旭提出“主动防御”的概念出发，只要不是传统特征码，能发现和防御“未知病毒”的都叫“主防”

[讨论] hips是主防吗?技术讨论帖

评分