福建電腦2013年第l期80基于WINDOWS的HIPS分析欒國森'，黃奏春2( 1、三峽大學(xué)科技學(xué)院計算機系湖北宜昌443002.2、 三峽大學(xué)計算機與信息學(xué)院湖北宜昌443002 )[摘要]:本文首先從HIPS的組成和分類出發(fā)，分析了HIPS的基本原理，分析給出了HIPS的優(yōu)缺點,指出了HIPS在引入白名單后所帶來的不安全隱患,以及HIPS需要改進的地方不僅僅是對單一程序動作規(guī)則(黑白名單)的修改。[關(guān)鍵詞]: HIPS;黑白名單;文件防御體系;應(yīng)用程序防御體系;注冊表防御體系1、引言HIPS，英文“Host-based Intrusion Prevention文件防御體系也稱為FD防御體系，主要對System”的縮寫,通常直譯為“基于主機的人侵防進程的文件操作行 為進行監(jiān)控攔截，并分析行為御系統(tǒng)"。其實按HIPS的含義來說應(yīng)理解為程序的安全性, 阻止惡意程序訪問、修改系統(tǒng)安全文動作(API或NATIVE API)攔截系統(tǒng),其作用就是件。 例如,有些病毒的運行是通過explorer.exe創(chuàng)對程序運行中調(diào)用的危險API(或NATIVE API)建子 進程的方式。進行攔截,監(jiān)視單個主機的可疑活動,分析該主機應(yīng)用程序防御體系也稱為AD防御體系,主發(fā)生的事件,進行相應(yīng)的處理,從而起到主動防御要對進程運行時對系統(tǒng)以及其他進程特別是安全計算機病毒的作用。軟件的操作行為進行監(jiān)控和分析。例如,有些病毒由于傳統(tǒng)反病毒技術(shù)在識別、清除新型病毒、在執(zhí)行惡意代碼前會試圖強行結(jié)束安全軟件進惡意軟件能力上的逐漸乏力，以主動防御為主的程 ,使系統(tǒng)失去保護。HIPS成為當(dāng)前研究的熱門課題之一。主動防御是注冊表防御體系也稱為RD防御體系，主要指通過監(jiān)控計算機進程的行為并判斷其是否符合是對 進程對注冊表的操作行為進行監(jiān)控，當(dāng)發(fā)現(xiàn)防御系統(tǒng)安全規(guī)則，從而決定對該進程的行為采有未知軟件訪問注冊表敏感區(qū)域時會執(zhí)行相應(yīng)的取某種操作如放行、阻止、清除等的新一代反病毒安全 流程。技術(shù)川。HIPS根據(jù)用途主要包括以下兩種類型印:典2、HIPS的組成及分類型HIPS機制特殊HIPS機制。HIPS的組成根據(jù)其功能可以分為文件防御典型HIPS機制適用于個人或家庭計算機環(huán)體系(FileDefend),應(yīng)用程序防御體系(Applica-境,根據(jù)技術(shù)手段的不同,典型HIPS目前要有四tion Defend) ,注冊表防御體系(Registry Defend)三 種模型:層防御體系凹,如圖1所示。1)基于異常檢測的HIPS機制。這種類型的HIPS機制主要通過監(jiān)控并分析系統(tǒng)及進程行為疆來判斷是否惡意軟件并加以阻止。另|2)基于文件簽名及異常檢測的HIPS機制。這種類型的HIPS機制在異常檢測機制的基礎(chǔ)上增加了文件簽名檢測模塊。文件防御(FD)3)基于黑白名單、文件簽名以及異常檢測的應(yīng)用程序防御(AD)HIPS機制。這米機制在笛一米機制的基礎(chǔ)上又增注冊表防御(RD)加了黑白名中國煤化工的系統(tǒng)文件、進MHCNMH(殳全認(rèn)證的應(yīng)用程帶簽名的心勝1iJ系統(tǒng)資源程序放入白名單中，同時將經(jīng)判斷為惡意軟件的圖1HIPS的三層防御體系2013年第1期福建電腦81文件加人黑名單,對白名單中進程行為自動放行，1)HIPS 涉及操作系統(tǒng)內(nèi)核,系統(tǒng)在功能完對黑名單中進程行為則采用嚴(yán)格的安全機制或者善 、兼容維護、以及服務(wù)上的難度與其他軟件相拒絕所有行為。比要大很多如結(jié)束一個進程可以有許多種方法,4)基于純白名單的HIPS機制。采用這類機涉 及到的相關(guān)API可以有多個，只要其中一點沒制HIPS只有白名單,凡是不在白名單中的進程都有防住,整個防御體系則形同虛設(shè)。拒絕其行為。2)與傳統(tǒng)反病毒軟件的簡單、清晰的用戶體.5)基于虛擬技術(shù)的HIPS機制。這類機制主驗相比,HIPS由于是基于進程行為,其內(nèi)置規(guī)則要通過例如沙盒等虛擬化技術(shù)來運行術(shù)知應(yīng)用程的設(shè)置以及相應(yīng)的判斷操作需要計算機用戶有--.序。定的基礎(chǔ)知識，錯誤的放行可能會使得惡意程序特殊HIPS機制適用子數(shù)據(jù)庫系統(tǒng)和其他-侵人操作系統(tǒng)。些安全性要求較高的系統(tǒng)。其主要加強了對root3)HIPS自身沒有掃描病毒的能力,只能通過kits、"Odayattacks"、緩沖區(qū)溢出等特殊攻擊方式程序運行時根據(jù)其行為進行判斷。的防御。目前大多數(shù)的反病毒軟件都集成HIPS的部本文分析討論的HIPS是基于典型HIPS機分或全部功能，這樣在監(jiān)控到危險行為的同時又;制中的第三種模型,即采用黑白名單、文件簽名以能夠更 智能的查殺相應(yīng)的惡意程序。及異常檢測的HIPS機制。5、結(jié)束語3、HIPS的基本原理.HIPS本來是安全的,雖然存在著頻繁虛警的HIPS是針對傳統(tǒng)反病毒軟件在抵御未知安問題， 但是其對于每一個潛在危險API (或NA-全威脅上的不足而興起的新型反病毒技術(shù)。傳統(tǒng)TVE API)調(diào) 用都進行報警攔截,所以整體安全的反病毒軟件通常包括三個部分:病毒特征庫、殺性是很有保證的。 但是,HIPS規(guī)則(黑白名單)的毒引擎和進程行為監(jiān)控模塊。傳統(tǒng)反病毒軟件對使用， 則徹底將HIPS的安全基石毀于一旦,在病毒掃描操作通常按如下流程進行:首先進程行HIPS嚴(yán)密的防護體系中產(chǎn)生一條黑客攻擊通道。為監(jiān)控模塊攔截到某一進程對文件進行訪問操.通過分析知道HIPS需要改進,但是并不是進作，殺毒引擎將目標(biāo)文件中的特征碼與病毒特征行簡 單的單一程序動作規(guī)則(黑白名單)的修改。庫的特征碼進行對比，若目標(biāo)文件特征碼與病毒行 為控制安全軟件只有將各種程序動作進行綜合庫中某--特征碼相符,反病毒軟件則將它識別為監(jiān)控,即監(jiān)控--系列確有意義的程序行為,才能從病毒程序,然后調(diào)用殺毒引擎對文件進行隔離、清根本 上徹底改變其易用性差的問題。如果HIPS除等操作,若不相符則對該訪問操作放行。增加了復(fù)雜的各種動作之間的相關(guān)性復(fù)合邏輯規(guī)傳統(tǒng)反病毒軟件的殺毒機理主要是基于病毒則，就變成了現(xiàn)在大家熟知的主動防御型安全軟特征碼的方式來進行監(jiān)控和查殺的，對于未知的件,比如,微點主動防御軟件和卡巴斯基主動防御病毒特征碼則無法識別。與傳統(tǒng)反病毒軟件相比，模塊等等。HIPS并不是通過特征碼掃描來判斷程序合法性,參考文獻:它主要是基于進程行為的攔截分析,判斷進程是[]張蔚. Windows主機入侵防御系統(tǒng)的研究. 信息技術(shù),否對操作系統(tǒng)中關(guān)鍵區(qū)域進行了修改或替換,然2007-12- -25.后根據(jù)已有的安全規(guī)則進行處理或給出警報提示[2]Neil MacDonald.Understanding the Nine Protection計算機用戶并根據(jù)用戶反饋進行相應(yīng)處理1415。Styles of Host-Based Intrusion Prevention[R].USA: GartnerResearch Inc,2005.4、HIPS的優(yōu)缺點與傳統(tǒng)反病毒軟件相比, HIPS具有以下兩個[3]J'aime.PERSONAL HIPS: THE TOP LIST [EB/OL].優(yōu)點: (1)HIPS對系統(tǒng)的監(jiān)控主要通過APIhttp://kareldjag over-blog.com/ article -3470338.html,2006.[4]楊磊.主機入侵防御系統(tǒng)的應(yīng)用.計算機安全, 2005-HOOK的方式，相比傳統(tǒng)殺毒軟件對系統(tǒng)的占用04-05.要少得多問。(2)只要病毒的行為方式?jīng)]有改變就[5]王洋 ,祝躍飛孫曉妍。其干VWinduw系統(tǒng)主機的入侵不存在傳統(tǒng)反病毒軟件中修改特征碼繞過防御機防御系統(tǒng)設(shè)i計中國煤化工7-10-08(19).制的危險。[6]李珂洞;I YHCNMH G究以及基于API雖然HIPS具有傳統(tǒng)反病毒軟件所欠缺的優(yōu)HOOK的注冊表監(jiān)控技術(shù).計算機應(yīng)用, 2009-12-01(12) .點,同樣也有一些不足之處: