主机入侵防御系统的与传统防火墙区别

所谓hips(主机入侵防御体系)，也就是现在大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips.

二者虽然都是防火墙，但是在功能上其实还是有很大差别的：传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上，通过特定的tcp/ip协议来限定用户访问某一ip地址，或者也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用处的；而hips系统防火墙就是限制诸如a进程调用b进程，或者禁止更改或者添加注册表文件--打个比方说，也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被hips检测到然后弹出警告询问用户是否允许运行，用户根据自己的经验来判断该行为是否正确安全，是则放行允许运行，否就不使之运行，一般来说，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上很低很低了.但是，只是装上个hips也不是最安全的，毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)！ 上面是对hips和防火墙作个区别，因为杀软和这两类软件差别比较大，就不拿到这里来说了，下面我具体介绍一下hips以及常见的几款hips安全软件，希望对各位有所裨益！

我们个人用的HIPS可以分为3D：

AD(Application Defend)应用程序防御体系

RD(Registry Defend)注册表防御体系

FD(File Defend)文件防御体系

它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

常用的HIPS软件有：

SNS(Safe'n'Sec Personal)--AD+FD+RD，

SSM(System Safety Monitor)，

PG(ProcessGuard和Port Explorer)--AD+RD，

GSS(Ghost Security Suite)--AD+RD，

SS(SafeSystem 2006)--FD.

EQSecure(国产的E盾)--AD+FD+RD

其实我觉得这些hips软件在功能上也大多差不多，更多的我们其实也就是比较一下谁的生命力更顽强(不容易被其他进程干掉)，谁更适合国人所需，谁更简单易操作，下面我就这些方面做个相对比较简单的介绍吧！ 首先是SSM(System Safety Monitor） --因为我比较喜欢这款： 商业版免费版 注册表监视： 高级 基本过程监视： 高级 基本底层磁盘访问控制：有 无底层键盘访问控制： 有 无 NT服务监视： 高级 基本 IE设置跟踪：高级 基本用户程序友好对话： 有 无优先支持： 高 低开发优先： 高 低 Win9x支持： 无 有

SSM在声誉上面是相当不错的，而且也相对很稳定--虽然能被ICEword干掉，不过其他的hips类好像也都是能被干掉的，这个不是重点，因为在冰刃要干掉他们之前，hips软件已经会报警询问是否允许该项操作，虽然说确了个FD功能，不过我觉得对个人用户来说已经相当足够，起码我已经有半年时间未中毒插马了--当然，如果你还是不放心，再装上个SS补足3D功能也是可以的，最关键的是SSM商业版已经被成功破解了(该软件有简体中文版)，唯一觉得不爽的可能就是早期使用比较繁琐，毕竟什么东西的运行都要选择允许还是禁止也是一件头疼事，所以一般在刚装上的时候，我个人建议还是先全部运行一遍所有的你要经常用到的东西就可以了，占用资源也还可以，一般是一个进程10M左右，cpu基本没感觉.我给SSM打90分

其次是SNS(Safe'n'Sec Personal) --他是唯一3D的哦，它建立在行为分析的基础上，有最先进的预先侦查系统，可以防止病毒渗透计算机，破坏信息，对计算机多了一层保护，在计算机保护方面实现重大突破。同时，快速安装，易于操作的界面，和反病毒软件和个人防火墙极好的兼容性，智能的决策技术，最强的保护和对系统运行的最小影响等特点更增加了Safe'n'sec的魅力--汗，这个是官方介绍，我自己觉得是相当的牛了，不过我自己还没有用过--这是全英文版本英语太菜，而且没有破解(专业加密公司出品，想破解难度好大的)，在网上看过测评，据说是比GSS+SS还要牛的.我给SNS打95分

再下来就是GSS(Ghost Security Suite) ，其实用的时间并不是很长，可能没有多大发言权，不过我个人不是很喜欢这款，因为貌似不太稳定，在运行大型游戏的时候，似乎CPU容易飙升，这个不少人如此，不知道是不是此软件本来就是如此，但是GSS还是相当不错的--简单明了，有自己的操作模式，不如SSM来的细致繁琐，但是也是相当安全，特别是在配合SS使用之下.不过最不爽的是容易被任务管理器干掉，我昏，而且长时间没有更新了，不知道搞什么！不过话说回来，现在网路广泛流传的GSS亚尔迪破解版还是很不错的.我给GSS打88分，GSS+SS打92分

最后简单说下PG和SS，SS规则完善但不够稳定，PG简单稳定，大致上PG感觉和SSM以及GSS差不多，就看用户个人喜好了~~~

最后还提一款hips软件--Winpooch(因为没有用过，所以就只能借用别人的话来说了)，相对GSS而言，无疑，GSS的稳定性比Winpooch略强，但是GSS的规则添加到500条左右的时候就会变得很慢，而且GSS只能监控注册表，但是，Winpooch不只可以监控注册表，还可以监控文件的读取、写入，还可以监控网络连接，而且目前Winpooch已经有600多条规则了，对系统的影响还是很小，软件推荐给你了，好不好用还得你自己测试才最实际。

用了hips软件，基本上，杀软可以卸载了，呵呵，但是防火墙还是一定得要的. 至于每款软件的具体教程，网上有很多，我这里也就不一一赘述了，感兴趣的人，我们倒是可以一起探讨，呵呵！另外说句，这类hips软件和杀软以及防火墙的选用一样，没有所谓的最好，只有对你个人而言的更好，所以，怎么选择，全看你自己。

Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。 HIPS基本概念

一、关于Hips的基本概念

HIPS：

Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：“病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。

因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。

二、HIPS原理以及和杀毒软件、防火墙的区别

杀毒软件：

计算机病毒指的是一些具有恶意代码可能危害计算机的程序。

杀毒软件基本上应当具有以下两个基本功能：

1：杀毒-- 即对带毒文件或病毒本身进行查杀的功能。

2：监控-- 一般具有文件监控，网页监控(即监控远程80/8080等常用端口)，邮件监控(即监控POP和SMTP端口)，等。

能够杀毒防毒的是杀毒软件，不是防火墙。

HIPS功能的类别

防火墙：

简单的理解，防火墙是架在两个互相通信主机之间的一个屏障，对非法数据包进行过滤。

我们使用的多数个人防火墙基本具有：防止非法入侵(防止内连) 与 防止本地非法外连 的功能，而SP2系统自带的墙没有后者的功能。

基于这两点，我们可以简单理解防火墙的两个作用：

1：通过阻止非法数据包，防止黑客通过某些手段入侵。

2：防止木马发生外连盗取本地机密信息。个人防火墙没有杀木马的功能，它所做的是在中了木马之后，通过规则禁止其外连以免丢失数据。

现在有不少厂商将自己的杀软和防火墙做成一个网络防护体系，比如：KIS(卡巴) NIS(诺顿) MIS(咖啡)等。。。

HIPS：Host Intrusion Prevent System 主机入侵防御系统

所谓hips(主机入侵防御体系)，亦即系统防火墙。它有别于传统意义上的网络防火墙(nips)。二者但主要区别是：传统的nips网络防只有在你使用网络的时候，通过特定的 tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端而hips是限制进程调,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时，这个行为就会被所hips检测，然后弹出警告，询问用户是否允许运行。一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，以防中毒、插马的可能性。

比如卡巴，咖啡等也具备有一些hips的功能,但功能上比不了专业的hips软件。

三、HIPS功能的类别

HIPS功能的类别可以分为3D：

1.AD(Application Defend)应用程序防御体系、

2.RD(Registry Defend)注册表防御体系、

3.FD(File Defend)文件防御体系。

它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

目前在有些杀软或防火墙中，也含HIPS功能。

昨天笔者发布了一篇名为《国内口碑极佳的火绒安全软件使用报告》文章，其中一名网友的评论引起了笔者浓厚兴趣

感谢这位网友评论交流。

HIPS是英文“Host Intrusion Prevent System”的缩写，我们通常翻译为“主机入侵防御系统”。

2007年在美国旧金山举行的RSA Conference大会上，专家纷纷表示，“越来越复杂的恶意软件不断繁衍，传统的、以签名（特征码）为基础的安全软件对于病毒和蠕虫的阻挡能力正受到越来越多的质疑。”“仅2007年一年就会新出现至少20万种病毒及变种，签名技术正在网络黑客的攻击下摇摇欲坠。安全软件依赖的病毒库往往是病毒爆发后才更新，或者用户一旦未及时更新病毒库就很可能对新型病毒束手无策。

基于上面的原因，HIPS这种以系统进程为核心的安全软件因运而生。她可以对进程所产生的行为，如：启动、访问网络、注册表、文件、进程注入、注册驱动、调用组件等进行监控并在对危险动作提示用户，如果用户选择了阻止，那么这个进程将无法进行后续工作。

另外一方面，HIPS还可以对文件、注册表、网络等资源进行有效的保护，防止未授权进程读写

时间走到2019年，像‘火绒安全'，严格意义来说火绒是一款主动防御软件(HIPS)，和以前的GSS PG ADsafe SSM EQSecure之类的软件区别不大，只是更加完善，加入了病毒库辅助。赢得了一部分有一定计算机基础的用户的钟爱。

1、系统资源占用小。由于基础规则和病毒库小，运行是暂用系统资源相对较少

2、用户可参与程度高，用户可以自己建立防御规则，给一些有计算机基础的用户提供了很高的参与感和成就感

3、相比杀毒软件在使用的时候HIPS软件由于功能比较简单，给用户了“轻量”的感觉，这给电脑“主权”意思较强的用户很舒服的感觉，另外由于其轻量，也成了一些相对笨重的杀毒软件的搭档。比如：部分用户使用数字安全软件+火绒安全软件搭配使用。

HIPS 主动防御技术在保障0Day安全的作用比较大（不依赖病毒库），HISP包含包含了 AD (进程保护) 、FD (文件保护) 、RD (注册表保护)、沙箱，通过对软件行为进行分析，并决定是否干预。

1、HIPS软件本身很依赖安全规则建立，这对于没有计算机基础的普通用户不友好，在一些情况下会成为攻击者重点攻击的对象。

2、太专业，HIPS只能有”要么可以操作，要么不可以操作”的操作，最多就给你多个询问，对于普通电脑用户看到“是否允许修改user32.dll“，他怎么可能知道是否允许呢？

这不如一些深得国人心的杀毒软件做的好，如数字软件则将HIPS+传统杀毒软件引擎+自研技术三位一体，给用户普通用户更全面的保护，普通用户不需要过多关心安全问题，只需要专注关闭各种弹窗即可。

之前国内有一款“微点主动防御软件”，今天笔者发现其官网已经无法打开，相关新闻也停留在18年，感慨万分。

现在仍在认真做安全软件的公司，我们能做的也就是安装使用，并分享反馈进行支持了。

---