搜索
查看: 16319|回复: 76
收起左侧

[技术原创] 【更新】见到本区内一些谈论主防的帖子,Actually,有些想法实在是不吐不快,欢迎指正

  [复制链接]
月影天心
发表于 2016-12-26 23:42:52 | 显示全部楼层 |阅读模式
本帖最后由 月影天心 于 2017-1-9 09:59 编辑

在本区偶见此帖:主防并不是主动防御,新人不要误解了

sds.jpg

觉得有些想法不吐不快,请各位指正。

本文部分截图来源于网络及坛友样本测试截图。

首先,我们来谈一谈何为HIPS?

HIPS,全称是Host Intrusion Prevent System,意即主机入侵防御系统,那么构成一个能被称之为完整HIPS的要素是什么?没错,FD、RD和AD。按照我的理解,狭义上,HIPS可以被称为主动防御技术,换句话说,主动防御技术是建立在HIPS基础之上的(广义上来说,HIPS只是主动防御的一种,下文详述),无论是多步,还是单步,都是以HIPS构建的骨架为核心,随着现代计算机安全技术的发展,基于云的主动防御技术被加入到传统主防的防御流程中,实现更加精准、强大的防护效果。

所以,狭义上来说,HIPS是不是就是主动防御?
我认为,是因为所有的主防技术都是基于HIPS构建的FD、RD、AD体系。

然而,很多人会有疑虑,既然HIPS可以被称作主动防御,那么动、静态启发算是主动防御技术之一吗?
我认为,也应该是,主动防御与被动防御最大的区别就是前者完全智能化判断,不依赖于已有的病毒特征库,在于识别对该杀软来说未知的威胁,即未入库的威胁,而被动防御,狭义上应该仅指基于特征库的比对技术。

需要注意的是,动、静态启发仅仅包含于杀毒引擎的扫描过程中,而非程序实际运行过程中的行为判断,取决于杀毒引擎脱壳、反混淆器、反加密、加花等技术能力,即使是动态启发,也是一种基于虚拟机的病毒还原引擎,这些都贯穿于整个病毒查杀过程中。现在大多数杀软都具备了此类启发杀毒技术。

我们这里再回顾下主防的定义——完全智能化判断,不依赖于已有的病毒特征库,在于识别对该杀软来说未知的威胁,即未入库的威胁,那么广义上来说,上面所讲的启发技术,以及漏洞利用阻止技术等零日(Zero-day)威胁防护,甚至是根据版式配色特征实现的智能反钓鱼技术,都可算是主动防御技术的体现。

插一句:“主动防御”这一概念到底是人为炒作?还是卡饭坛友自创?其实,“主动防御”确实是专业安全厂商提出的新概念,追根溯源,第一次将“主动防御”四个大字明确见诸于商业软件,是在卡巴6.0时代,其后,各大安全厂商都进行了跟进,国内的瑞星、江民、金山以及之后的360都明确提出了“主动防御”的概念。
77yqs58p3f77.jpg
上图:卡巴6经典主界面

下面来谈主防技术的两大分支:单步和多步。

单步主防(One step;Single step):传统单步主防的防御流程是这样:防御系统内建有数个系统关键项目的监控点,某文件对系统进行了敏感操作后,只要有行为触发了被保护的点,例如加驱、修改启动项等等,就会弹窗警示询问,并终止此时该文件的行为及之后的行为,用户此时选择终止该程序,即终止了恶意行为的继续,达到保护电脑的目的。

当然,随着云技术的发展, 目前的单步主防已经发展到与云端联动,不再是“傻瓜式”地无脑弹窗。基于云的单步主防的流程如下:对于某个文件,杀软首先判定该文件的可疑程度,准确的说应该是流行程度,根据文件的可疑程度直接套用在云端建立的规则,可疑程度较高的,即流行程度较低的,会较严格进行行为判定,触发敏感操作时会弹窗提示;安全的文件,以及流行程度较广的白文件,即对全过程放行,这与传统单步主防体系相比,不再对所有文件“无脑”弹窗,精准度大大提升。
u=2123285166,1759612706&fm=214&gp=0.jpg
上图:360的单步行为判断。

大家不妨可以去360论坛看一看360官方发布的各新版本安全卫士的更新摘要,几乎每个新版本都会有主防的改进,你会看到更新日志一般按照这样的格式来写:增加怎样的规则,用以防御怎样的威胁,这就是典型的基于云端规则的单步主防判断,官方会在云端不定期地更新规则库,以应对最新威胁。

然而,单步技术的缺点也是显而易见的,首先,单步技术仅仅是对某个触发危险的行为进行拦截,虽然实现了该行为终止,同时后续侵害终止,但可能存在拦截不彻底的问题,比如某个行为虽然阻止运行,但之前某个行为已经对系统造成了侵害,此时只是实现了部分危害阻止;再如某些软件因为设计上的瑕疵,触发行为拦截时,行为实际已经完成(进程挂起失败),并没有起到保护作用。其次,单步主防大大依赖于网络,联网时判断较为精准,断网时又变成无脑弹窗,造成一般用户不小的困扰;再者,单步技术无法对威胁造成的一些系统变化(文件衍生、注册表修改等)进行处理,防御的仅仅是该样本的恶意行为,此外,某些样本表面正常,但却携带黑dll,即白加黑样本,单步主防应对此类威胁时力有不足。
002010iw7s3c8e1zeez8ez.jpg
上图:Comodo的Defense+也是国外单步主防的代表。

多步主防(Multi step)多步主防与单步相比,最大的优势是不是完全依赖于网络,且对病毒进行了宏观意义上的微观判断。实际上,此类主防大多应用了本地虚拟机、沙盒、静态启发等技术,通过观察整个程序的真实的行为,根据自身独特的威胁行为规则进行判断,如果属于威胁,则进行拦截,很多多步主防都带有回滚(Rollback),即记录病毒的攻击行为,备份原始数据档案,拦截后进行原始档案覆盖,还原造成的一切破坏。

多步主防的优势在于它并不针对于程序的某个行为,而是观察程序的整套行为动作加以判断,这样对于一些变形病毒、白加黑木马有较好的效果,因为此时系统关注的并不是文件本身。
a2.jpg
上图:卡巴的SW,多步主防+回滚,应对未知威胁时相当给力。

z1.jpg
110024bi0035q7zsfarpts.jpg
上图:AVG的IDP回滚,也是非常给力,除了文件,注册表回滚一大堆

综上所述,我认为——
狭义上说,HIPS就是主动防御技术,主动防御技术以HIPS为基础;
广义上说,HIPS是主动防御的一种,启发技术、零日攻击防护、甚至是根据版式配色特征实现的智能反钓鱼技术、大数据下的信誉封杀等等都属于主动防御技术。
根据日常习惯,我们常常用主动防御泛指基于HIPS的单步、多步防御。


目前,国内大多数杀软都是基于云端的单步主防判定,如360、QQ管家、金山毒霸、百度杀毒等,火绒是单步+多步的结合(火绒的多步体现在“恶意行为监控”这一功能模块上),微点也是多步判定;而国外杀软领域,卡巴的SW、诺顿的SONAR、AVG的IDP、BD的ATC等都是多步主防,Comodo的Defense+是单步主防,ESET有一个高级内存扫描技术(AMS),亦属于行为防护一种,然而与真正的主防有较大差距,且没有回滚能力,至于Avira的ProActive、avast!的HIPS……好吧,不提也罢。
fgf.jpg
上图:国内少见的含有单步+多步行为判断的火绒安全软件。

a3.jpg
上图:“恶意行为监控”就是火绒4的多步主防。

原创文章,转载请注明卡饭论坛-月影天心,谢谢。

评分

参与人数 15技术 +1 原创 +1 魅力 +1 人气 +13 收起 理由
屁颠屁颠 + 1 + 1 16年年度奖励
nick20010117 + 1 版区有你更精彩: )
Ricty + 1 所谓“批判”,便是划清前提,理清概念~
一下子丫 + 1 版区有你更精彩: )
467100524 + 1 版区有你更精彩: )

查看全部评分

月影天心
 楼主| 发表于 2016-12-26 23:50:39 | 显示全部楼层
备用楼层,编辑掉~
超超~.~
发表于 2016-12-27 00:01:37 | 显示全部楼层
支持楼主科普
HEMM
发表于 2016-12-27 00:03:39 | 显示全部楼层
你懂的可真多~
你这巴啦啦一长串花红柳绿看的我一愣一愣的,不明觉厉~
把规则交我一观,非要附上果照我也照收~我就是这么的平易近人,若有所成必当还你一斤规则~万一不幸败了,还有其果照相陪,这段漫长的人生路有我的精神力陪伴.............疯了我可不管= =
HIPS都快死绝了,还谈理论呐........BUG豆都开始走美特斯邦威的魔鬼步伐了.........

评分

参与人数 1人气 +1 收起 理由
月影天心 + 1 依然这么卡哇伊啊,好喜欢~

查看全部评分

jiangz1234
发表于 2016-12-27 01:53:07 | 显示全部楼层
学习了。太多知识需要消化一下。
GreenCodes
发表于 2016-12-27 04:52:35 | 显示全部楼层
主动防御是个垃圾概念,别炒作了
月影天心
 楼主| 发表于 2016-12-27 09:23:08 | 显示全部楼层
本帖最后由 月影天心 于 2016-12-27 09:24 编辑
GreenCodes 发表于 2016-12-27 04:52
主动防御是个垃圾概念,别炒作了


文章中已经写清楚了
那么“主动防御”这一概念到底是人为炒作?还是卡饭坛友自创?其实,“主动防御”确实是专业安全厂商提出的新概念,追根溯源,第一次将“主动防御”四个大字明确见诸于商业软件,是在卡巴6.0时代,其后,各大安全厂商都进行了跟进,国内的瑞星、江民、金山以及之后的360都明确提出了“主动防御”的概念。

西瓜君
发表于 2016-12-27 09:30:33 | 显示全部楼层
作为小白,我想知道趋势的主防属于那种类型?
墨家小子
发表于 2016-12-27 09:44:30 | 显示全部楼层
HEMM 发表于 2016-12-27 00:03
你懂的可真多~
你这巴啦啦一长串花红柳绿看的我一愣一愣的,不明觉厉~
把规则交我一观,非要 ...

村通网?工信部:2017年全国普及百兆宽带网速
HIPS都快死绝了

楼主说了HIPS是主防的基础,你说死绝了,那是不是以后主防也要死绝?你这不是打脸啪啪啪吗?
假设今后木马有突破性技术出现,HIPS必然会有防御招数应对的,起码我相信数字的云主防会有,HIPS不会死的,姐姐!!~~~
墨家小子
发表于 2016-12-27 09:47:31 | 显示全部楼层
无知卖萌问一下,不是神点最先提出的主动防御吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-7-20 05:05 , Processed in 0.052399 second(s), 9 queries , MemCache On.

快速回复 返回顶部 返回列表