|
|
马上注册荣耀渭南网,结交渭南乡党,享用更多功能,让你轻松玩转荣耀网
您需要 登录 才可以下载或查看,没有账号?立即注册
|
x
Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
我们个人用的HIPS可以分为3D: AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
目前在有些杀软或防火墙中,也含HIPS功能。
常用的HIPS软件有:SSM(System Safety Monitor),PG(ProcessGuard和Port Explorer),GSS(Ghost Security),国产的有款EQSecure for System。
SSM(System Safety Monitor)下载:http://www.syssafety.com/files.html
最新版本:System Safety Monitor 2.3 beta 2.3.0.606
System Safety Monitor 1.0 Workgroup Edition beta 1.0.0.607
PG(ProcessGuard和Port Explorer)下载:http://www.diamondcs.com.au/processguard/index.php?page=download
最新版本:Current Version: v3.400
GSS(Ghost Security)下载:http://www.crsky.com/soft/6883.html
下面是一篇是介绍了现在主流的HIPS软件,类型,功能和链接的文章,可惜是英文的。
Lundi 07 Août 2006
PERSONAL HIPS: THE TOP LIST
The greater part of these products have already been linked in the previous article.
Therefore, only products that have not been listed yet are linked.
As it often changes (freewares become paid), only paid softwares with or without a free limited versions are notified (P/FLV).
When a product is available in several languages, it is notified by ML.
Some of them are still in beta, and it's suited to query more informations on the web site.
La plupart des liens de ces produits ont déjà été donné dans l'article précédent.
Aussi, uniquement les produits non listés précédemment intègrent un lien vers le site officiel de l' éditeur.
Comme les freewares ou gratuiciels ont tendance à ne plus l'êtres au bout de quelques mois, seuls les HIPS payants, offrant ou non une version gratuite limitée sont notifiés par P/FLV.
Quand le produit est disponible en plusieurs langues, il est notifié par ML.
Certains de ces produits sont encore en bêta, et il est donc recommandé de vérifier sur le site de l' éditeur l' état des des version les plus récentes.
1. CLASSICAL HIPS
These HIPS are designed to protect home PC against common threats in general and malwares in particular: many approaches (behavioural analysis, black list, white list, integrity checking) or tehchnologies (sandboxing, virtualization) can be used and combined in the same product.
Ces HIPS sont destinés à protéger les PC domestiques contre les menaces classiques de type parasites ou malwares (virus, spywares trojans etc): plusieurs approches (liste blanche, base de signatures, analyse comportementale) peuvent êtres utilisées au sein d'un même produit ainsi que différentes technologies (sandbox, virtualization).
Are excluded from this list of HIPS:
-most hardening tools (SecureIT etc),
-Pure virtualization and systems emulation products (VMWare, Virtual PC etc),
-heuristic engines (Panda TruePrevent),
-Instant back up/recovery and rollback sofwares (Ghost, FirstDefense, DriveVaccine etc),
-Integrity checkers and files monitors,
-Registry, executables filters, and basic behavioural blockers not integrated at a low level (here),
-Specialized task analyzers (IceSword, RootkitRevealer, DarkSpy etc),
-administrator tools (RunSafe etc),
-firewall with hips features (Outpost, Jetico, Look'n'Stop, Kerio etc).
Sont exclus de cette liste les outils d'administration et de durcissement système, les moteurs heuristiques (Panda TruPrevent), les contrôleurs et scanner d' intégrité, les outils de surveillance système (registre et exécutable) non intégrés au noyau, les outils de pure virtualization (VMWare) et d' émulation (Virtual PC), ainsi que les produits de sauvegarde (Ghost, RestoreIt etc).
A) HIPS based anomaly detection
This class of software is based mostly on system's monitoring and behavioural analysis.
Cette sorte d'HIPS est surout basée sur la surveillance du système et l'analyse comportementale.
-AbuseShield (P)
-AllSeeingEye (P/FLV)
-AntiHook (P)
-AppDefend/GhostSecurity Suite (P)
-BrowserSentinel (P)
-CyberHawk
-Dynamic Security Agent
-NeovaGuard
-Ossurance Desktop
-Parador Security (P/ML)
-Primary Response SafeConnect (P)
-ProSecurity (P)
-ProcessGuard (P/FLV)
-Safe'n'Sec (P/FLV)
-SafePC (P)
-Securitask2005 (P/ML)
-SensiveGuard
-Softclan Integrity/Softclan Security Suite (P/FLV)
-System Safety Monitor (P/FLV/ML)
-ThreatMon
-WinPooch (ML)
B) HIPS based misuse (signature file) detection and anomaly detection:
These products combine black list protection (pattern file of malwares) and behavioural analysis.
Cette catégorie d'HIPS combine protection par base de signature avec l'analyse comportementale.
-A2 (A-Squared) (P/FLV/ML)
-Online Armor (P/ML)
-Safe'n'Sec Plus (P/ML)
-SpyWall
-WinPooch with ClamWin antivirus (ML)
NB. We can also mention Kaspersky antivirus wich integrates a proactive/behavioural analysis module (but it's still an antivirus!)
On peut également citer Kaspersky antivirus qui intègre un module d'analyse comportementale (mais qui reste un antivirus!).
C) HIPS based white list, misuse and anomaly detection:
This kind of product combines white list (of system files and applicatios), black list (malwares signatures) and behavioural analisys.
Cette catégorie combine une approche par liste blanche (fichiers système et applications), base de signatures virales et analyse comportementale.
-PrevX (P)
D) HIPS pure white list:
These products record system files and installed applications on a database, and provides a strong and simple policy restriction: that which is not known is not allowed to run.
Ce type d' HIPS est dit pure liste blanche dans le sens ou tout ce qui n'est pas strictement reconnus comme fichier et application de confiance (base de donnée crée lors de l'installation) est automatiquement bloqué.
-Abtrusion Protector
-Anti-Executables
-Zorro PC Protector
D) HIPS based anomaly detection and integrity checking:
This kind of HIPS combines files certification and behavioural analysis.
Ce type d' HIPS combine analyse comportementale et certification des fichiers.
-Invircible
-Viguard
E) HIPS based white list or/and virtualization or/and sandboxing or/and policy restrictions:
This class of HIPS relies mostly on policy restrictions via or not the use of sandboxing and virtualization technologies.
HIPS pouvant combiner une politique de restrictions (programmes, fichiers), une protection par liste blanche; avec ou sans l'utilisation de technologie de type sandbox ou virtualization.
-CoreForce
-DefenseWall (P)
-GesWall
-SandBoxie
E) HIPS based virtualisation technology:
This class of HIPS isolates system files and applications in a virtual and restrcted area in order to prevent a strong and reliable integrity protection.
Ces HIPS sont principalement basés sur la technologie de virtualization qui isole les fichiers et applications dans une zone virtuelle afin d'en préserver l'integrité.
-BufferZone
-GreenBorder
-V-Elite
-Virtual Sandbox
2. SPECIALIZED HIPS
This class of HIPS is designed to protect the system against a specific kind of threat:
-rootkits,
-zero days attacks,
-Buffer Overflows,
-Dat Theft (...)
Except those which are designed to prevent and detect rootkits, most of them can be considered as End-Point HIPS.
These products are certainly less necessary than classical HIPS, but on the other hand, can provide a real "plus" in a line defense, especially for:
-users who work on application software database (SQL/Oracle etc are often affected by Buffer Overflows),
-users who have a risky surf (warez, porn sites etc),
-paranoiac users (...)
Cette catégorie d' HIPS est déstinée à protéger une catégorie spécifique de menace, que ce soit les rootkits, les attaque dites 'zero day" (exploits basés sur des failles non encore patchées) ou le vol de donées.
Ils sont moins indispensables que les HIPS classiques (1.), mais peuvent constituer un plus pour certains utilisateurs travaillant sur les applications de bases de données (souvent affectées par des Buffer overflows ou débordement de tampons), ayant un surf à risques (warez, site X etc) ou tout simplement paranoïaques.
A) HIPS based rootkit prevention and detection:
-Helios
-Gmer
B) EndPoint HIPS based zero day protection:
-SocketShield (P)
-PreEmpt (P)
C) End-Point HIPS based Buffer Overflow protection:
-AttackShield
-BufferShield (P/FLV)
-BoWall (old hardening tool)
-DefensePlus (P)
-StackDefender (P)
-WehnTrust (P/FLV)
NB: AttackShield, BoWall and WehnTrust are more considered as hardening system tools than as HIPS softwares.
D) End-Point HIPS based data theft protection:
These products are mostly designed to protect external drives from access and data theft.
Ces produits sont destinés à protéger principalement les données stockées sur support externes des tentatives d'intrusion et de vol.
-DeviceLock
-DeviceWall
-MobileGov solutions |
|
