HIPS(程序動作攔截器)規則割裂防護體系

HIPS，英文“Host Intrusion Prevent System”的縮寫，國內通常翻譯為“基於主機的入侵防禦系統”，翻譯很拗口，其實HIPS通俗來說就是程式動作(API)攔截器，作用就是對程式運行中調用的危險API進行攔截，經用戶自行判斷確認後手工選擇阻止或是放行。HIPS的防護一般分為三個防護體系：AD(Application Defend)應用程式防禦體系、RD(Registry Defend)註冊表防禦體系、FD(File Defend)文件防禦體系。它通過可定制的規則對本地的運行程式、註冊表的讀寫操作、以及文件讀寫操作進行判斷並允許或禁止。

正是因為HIPS對程式調用危險的API非常敏感，所以使用HIPS軟體阻止程式調用危險API，可以起到一定程度的安全防護作用。關於行為控制在熊貓燒香肆虐時期的突出表現，就不用多說了，一戰成名。

既然HIPS有這麼多的優點，為什麼只能在少數高端玩家手裏把玩，而沒有向全社會普及推廣呢？很多朋友一談到HIPS的缺點就歸結到易用性上，其實呢，易用性只是表像。所謂HIPS配置複雜度較高，對用戶要求較高，彈框數量較高的三高問題，核心在於HIPS的監控理念是有缺陷的。前面也提到，HIPS監控的對像是危險API，所以通過阻止危險API調用就可以保護系統安全。這個HIPS的核心理念，乍一聽是很有道理的，但是如果深入推敲，則發現其核心思想是存在著嚴重邏輯混亂的。

Win32 API是微軟公司公開提供的應用程式介面，供廣大Windows用戶開發應用程式與系統進行交互操作。所以從本質上講，API並沒有好壞之分，也沒有善惡之別。而如果單以安全形度來論，亂用某些API可能會對系統安全造成隱患，所以HIPS將這些API定義為“危險API”加以監控並向用戶報警。這裡特別要注意弄清這些“危險API”的真正含義，大量的病毒木馬經常使用這些危險API，但是使用這些API的程式並不見得就是病毒木馬。危險API和病毒木馬之間的邏輯關係，屬於必要非充分條件，因為所有的API都是微軟公開提供的，所有程式都可以正常的進行調用。

HIPS正是把危險API和病毒木馬的邏輯關係搞反了，HIPS把所有危險API的調用一律報警，而正常程式也需要調用這些API，所以才造成了上面提到的配置複雜度較高，對用戶要求較高，彈框數量較高的三高問題。

現在，有部分廠商為了提高HIPS的易用性，為了擴大軟體的市場份額，居然用了一種非常極端的方法——為HIPS配置明文規則（白名單），這樣表面上看起來會使得HIPS的彈框率大幅度下降，但是實際上則使用戶處於非常危險的狀況之下，駭客可以非常輕鬆地利用明文規則輕易突破HIPS的3D保護！

如果一個網馬，運行後生成A.gho（實為可執行文件），由於規則中允許創建和運行.gho文件，那麼HIPS的防護體系就被輕易突破了……

結論：HIPS本來是安全的，雖然存在著頻繁虛警的問題，但是其對於每一個潛在危險API調用都進行報警攔截，所以整體安全性是很有保證的。但是，HIPS規則（白名單）的使用，則徹底將HIPS的安全基石毀於一旦，在HIPS嚴密的防護體系中硬生生割裂出一條駭客高速公路！

HIPS確實需要改進，但是並不是這種簡單的單一程式動作規則。行為控制安全產品只有將各種程式動作進行綜合監控，即監控一系列確有意義的程式行為，才能從根本上徹底扭轉其易用性差的問題。不過，如果HIPS增加了複雜的各種動作之間的相關性複合邏輯規則，那就不再是HIPS了，變成了現在大家習慣於叫做主動防禦型安全產品，比如微點主動防禦軟體、卡巴斯基主動防禦模組等等。

這篇真是淺顯易懂啊~