求教智能主防和HIPS的区别

dustychen1

最近试用了几款论坛上的热门安全软件，发现对于“行为防护”，主要存在2大阵营：智能主防和手动HIPS，不知道我这么理解是否合适？
智能主防通过智能化的行为分析，自动给出拦截或者放行的判断结果。以云端或者本地系统判断的结果为准。
手动HIPS则只能通过单步的手工判断，来完成对于危险/ 破坏性病毒的拦截。

智能主防系列：
Bitdefender: ATD
AVAST/ AVG: IDP
Avira: Sentry
Norton: SONAR
Kaspersky: SW
F-Secure: DeepGuard

HIPS系列：
COMODO
Dr.Web

如果我上面的分类错误，或者不完整，还请各位大佬帮忙指正！
谢谢各位大佬的指点！

Baby小尧

补充几个我所知道的吧。迈克菲的Artemis（月神）后改名的Active Protection。应该也算是智能主防。ESET，我觉得也是（虽然存在感不强）。国内360的云主防应该可以算智能主防，就是断网GG。HIPS的话国内火绒就是很明显的HIPS。
如果有说的不对欢迎饭友指正，我虚心学习。

郢都离人

wd有行为报法，属于哪一类？

Baby小尧

郢都离人 发表于 2023-11-7 22:40
wd有行为报法，属于哪一类？

我觉得算智能类的，结合了云端、本地机器学习等等。但是又可以进行策略组设置。

隔山打空气

Baby小尧 发表于 2023-11-7 22:34
补充几个我所知道的吧。迈克菲的Artemis（月神）后改名的Active Protection。应该也算是智能主防。ESET，我 ...

迈克菲的Artemis是云拉黑，并不是什么主防。McAfee的智能主防被称为Real Protect，据我所知也从未出现过Active Protection这种名称，RP一直是RP，名称应该是是没有大改过。依据论坛大佬的研究资料，Real Protect-LS报法是Real Protect的静态ML，而非行为报法。
个人版的RP主防依赖于云，如果网络波动则效果可能会不稳定。ENS提供了本地RP扫描的开关，会增加误报但可减少对云的依赖性。

ESET的深度行为检测（Deep Behavior Inspection，DBI）是智能主防。但它倾向于谨慎地补充检测已知的威胁，因而在执行前静态+AMS配合下很难能见到它发挥的时候。

360的云HIPS实际上应该算是半自动（类似手动）HIPS为主，它通过接收云端下发的规则匹配和云信誉来判定一些程序的单步动作是否可疑。
但这并非绝对。360的反勒索机制往往会在勒索病毒加密数个文件之后弹窗报告发现勒索加密行为，实际上这应当被算作智能主防的一部分所判定的。

火绒的系统加固之类的就是规则驱动的半自动/手动HIPS，没有问题。

Microsoft Defender防病毒（MDAV）的行为监视是智能主防。它通过本地小模型和云端大模型对可疑行为进行近乎实时的分类和阻断。由于本地分类器需要与云端通信，很多时候云端下发判定结果才能确认恶意行为，因此MDAV的Behavior报法也需要保持网络连接畅通。
并非所有的Behavior报法都是基于行为的。例如，!sms报法是MDAV的内存扫描，更倾向于是静态特征匹配（类似AMS）的那种。

zh7000047

360一点都不智能，公司里的电脑基本上都装的360，经常会遇到弹窗让用户选择，都是些老年人根本不会选。

GreatMOLA

隔山打空气 发表于 2023-11-8 09:15
迈克菲的Artemis是云拉黑，并不是什么主防。McAfee的智能主防被称为Real Protect，据我所知也从未出现过A ...

隔山先生！

a8855942

我认为智能类就是预置了一些规则。

tony099

我觉得360也算是主防，只不过是单步，国内的瑞星，金山的系统保护也应该算单步主防，ESET的感觉主防有，但是存在感几乎没有，主要还是机器学习和启发式。卡巴斯基算多步主防，本地也应该有部分规则，只不过现在在云化了。多步主防我的理解是阻止操作加上类似回滚或者撤销操作等步骤，国内好像只有智量安全的那个可能算多步主防，可惜了。。。

有不对的地方欢迎大佬指正！

dustychen1

隔山打空气 发表于 2023-11-8 09:15
迈克菲的Artemis是云拉黑，并不是什么主防。McAfee的智能主防被称为Real Protect，据我所知也从未出现过A ...

隔山大佬！