关于“监控”

qiujuan

看到一篇卡友帖子，http://bbs.kafan.cn/thread-287075-1-2.html，对于什么是“监控”想谈谈自己的想法。
     我们先看看病毒入侵的途径，无非是通过网络或其他媒体。网络入侵方式很多，如IE,QQ,FTP,网上邻居，p2p等等；其他媒体可以是光盘，U盘，移动硬盘甚至软盘等等。关于监控，我认为可以分为几种方式来看待，第一是纯粹的杀毒软件，如EAV，小红伞C/P等；第二是HIPS和主动防御软件，如e盾，沙盘等，第三是传统防火墙。
    先说说纯粹的杀毒软件，它们的监控方式主要是基于文件扫描监控，当增加新文件或文件发生改变时就会扫描。有些杀软上有web监控，通信监控，email监控等，其实都是基于文件监控，例如web监控如IE监控，其实是监控IE缓存里生成的文件、脚本等，通信监控，email监控同理。杀软的文件监控还是有一些小区别，比如有些能监控压缩包内的文件，有些不能，必须解压后才能监控到。其实到现在还没有发现能在不解压的情况下发作的病毒。文件监控几乎所有的杀软都可以做到，但是否能识别出病毒木马就要看病毒库，启发技术，等方面因素了。
   完整的HIPS和主动防御软件的监控主要基于进程，任何进程的任何行为都在监控范围内，不论是修改或生成文件，修改注册表，加载驱动都可以监控到。这样看来HIPS和主动防御软件的监控是很全面的，只要有了很好的策略，甚至可以不用杀软。它对有害程序的判断基于行为，有智能判断的如微点，有人工判断的如毛豆等。
    再看看传统防火墙，传统防火墙的监控主要基于IP包过滤。它会根据预先设置好的IP包过滤策略来监控入站的IP和出站的IP，符合入站或出站规则的才放行反之拦截。传统防火墙并不能判断出IP包内的数据是否是有害程序，它只能根据预先设置好的IP包过滤策略来阻止外部黑客入侵和内部非授权程序访问网络。
    现在从以上几方面来比较监控能力。第一，能否监控病毒所有的入侵方式（网络或其他媒体）？现在带监控的杀软基本上都能做到，大家没有听说过从U盘进入的病毒可以监控而从光盘或网络进入的病毒不能监控的杀软吧，如果有，那也太垃圾了。第二，能否监控压缩包？这条不是很重要，刚才已经说了，到现在还没有发现能在不解压的情况下发作的病毒。第三，有没有完整的HIPS和主动防御？当扫描不能识别出病毒的时候，可以通过HIPS和主动防御拦截。第四，有没有防火墙？当扫描，HIPS等都没有识别出病毒时，防火墙能阻止没有授权的程序访问网络，将数据发送出去。当然，防火墙还有防止外部攻击的功能。
    以上就是我个人理解的“监控”，希望大家发表意见。

ssjj1910

非常感谢楼主的解答。
拜读后感觉楼主的观点和这位卡友的基本相似：

决定监控好坏的只有三个因素：
1.检出率（主要因素  哪个强自己看扫描区去）
2.强大的主防（典型的  卡巴2009和微点）
3.使用者水平（只会一路允许的有了主防跟没有没区别）

另外再加上一条－－防火墙，以防止外连和入侵。

看来检出率仍然是最重要的指标了。