基于WINDOWS的HIPS分析

福建电脑2013年第l期80基于WINDOWS的HIPS分析栾国森'，黄奏春2( 1、三峡大学科技学院计算机系湖北宜昌443002.2、 三峡大学计算机与信息学院湖北宜昌443002 )[摘要]:本文首先从HIPS的组成和分类出发，分析了HIPS的基本原理，分析给出了HIPS的优缺点,指出了HIPS在引入白名单后所带来的不安全隐患,以及HIPS需要改进的地方不仅仅是对单一程序动作规则(黑白名单)的修改。[关键词]: HIPS;黑白名单;文件防御体系;应用程序防御体系;注册表防御体系1、引言HIPS，英文“Host-based Intrusion Prevention文件防御体系也称为FD防御体系，主要对System”的缩写,通常直译为“基于主机的人侵防进程的文件操作行 为进行监控拦截，并分析行为御系统"。其实按HIPS的含义来说应理解为程序的安全性, 阻止恶意程序访问、修改系统安全文动作(API或NATIVE API)拦截系统,其作用就是件。 例如,有些病毒的运行是通过explorer.exe创对程序运行中调用的危险API(或NATIVE API)建子 进程的方式。进行拦截,监视单个主机的可疑活动,分析该主机应用程序防御体系也称为AD防御体系,主发生的事件,进行相应的处理,从而起到主动防御要对进程运行时对系统以及其他进程特别是安全计算机病毒的作用。软件的操作行为进行监控和分析。例如,有些病毒由于传统反病毒技术在识别、清除新型病毒、在执行恶意代码前会试图强行结束安全软件进恶意软件能力上的逐渐乏力，以主动防御为主的程 ,使系统失去保护。HIPS成为当前研究的热门课题之一。主动防御是注册表防御体系也称为RD防御体系，主要指通过监控计算机进程的行为并判断其是否符合是对 进程对注册表的操作行为进行监控，当发现防御系统安全规则，从而决定对该进程的行为采有未知软件访问注册表敏感区域时会执行相应的取某种操作如放行、阻止、清除等的新一代反病毒安全 流程。技术川。HIPS根据用途主要包括以下两种类型印:典2、HIPS的组成及分类型HIPS机制特殊HIPS机制。HIPS的组成根据其功能可以分为文件防御典型HIPS机制适用于个人或家庭计算机环体系(FileDefend),应用程序防御体系(Applica-境,根据技术手段的不同,典型HIPS目前要有四tion Defend) ,注册表防御体系(Registry Defend)三 种模型:层防御体系凹,如图1所示。1)基于异常检测的HIPS机制。这种类型的HIPS机制主要通过监控并分析系统及进程行为疆来判断是否恶意软件并加以阻止。另|2)基于文件签名及异常检测的HIPS机制。这种类型的HIPS机制在异常检测机制的基础上增加了文件签名检测模块。文件防御(FD)3)基于黑白名单、文件签名以及异常检测的应用程序防御(AD)HIPS机制。这米机制在笛一米机制的基础上又增注册表防御(RD)加了黑白名中国煤化工的系统文件、进MHCNMH(殳全认证的应用程带签名的心胜1iJ系统资源程序放入白名单中，同时将经判断为恶意软件的图1HIPS的三层防御体系2013年第1期福建电脑81文件加人黑名单,对白名单中进程行为自动放行，1)HIPS 涉及操作系统内核,系统在功能完对黑名单中进程行为则采用严格的安全机制或者善 、兼容维护、以及服务上的难度与其他软件相拒绝所有行为。比要大很多如结束一个进程可以有许多种方法,4)基于纯白名单的HIPS机制。采用这类机涉 及到的相关API可以有多个，只要其中一点没制HIPS只有白名单,凡是不在白名单中的进程都有防住,整个防御体系则形同虚设。拒绝其行为。2)与传统反病毒软件的简单、清晰的用户体.5)基于虚拟技术的HIPS机制。这类机制主验相比,HIPS由于是基于进程行为,其内置规则要通过例如沙盒等虚拟化技术来运行术知应用程的设置以及相应的判断操作需要计算机用户有--.序。定的基础知识，错误的放行可能会使得恶意程序特殊HIPS机制适用子数据库系统和其他-侵人操作系统。些安全性要求较高的系统。其主要加强了对root3)HIPS自身没有扫描病毒的能力,只能通过kits、"Odayattacks"、缓冲区溢出等特殊攻击方式程序运行时根据其行为进行判断。的防御。目前大多数的反病毒软件都集成HIPS的部本文分析讨论的HIPS是基于典型HIPS机分或全部功能，这样在监控到危险行为的同时又;制中的第三种模型,即采用黑白名单、文件签名以能够更 智能的查杀相应的恶意程序。及异常检测的HIPS机制。5、结束语3、HIPS的基本原理.HIPS本来是安全的,虽然存在着频繁虚警的HIPS是针对传统反病毒软件在抵御未知安问题， 但是其对于每一个潜在危险API (或NA-全威胁上的不足而兴起的新型反病毒技术。传统TVE API)调 用都进行报警拦截,所以整体安全的反病毒软件通常包括三个部分:病毒特征库、杀性是很有保证的。 但是,HIPS规则(黑白名单)的毒引擎和进程行为监控模块。传统反病毒软件对使用， 则彻底将HIPS的安全基石毁于一旦,在病毒扫描操作通常按如下流程进行:首先进程行HIPS严密的防护体系中产生一条黑客攻击通道。为监控模块拦截到某一进程对文件进行访问操.通过分析知道HIPS需要改进,但是并不是进作，杀毒引擎将目标文件中的特征码与病毒特征行简 单的单一程序动作规则(黑白名单)的修改。库的特征码进行对比，若目标文件特征码与病毒行 为控制安全软件只有将各种程序动作进行综合库中某--特征码相符,反病毒软件则将它识别为监控,即监控--系列确有意义的程序行为,才能从病毒程序,然后调用杀毒引擎对文件进行隔离、清根本 上彻底改变其易用性差的问题。如果HIPS除等操作,若不相符则对该访问操作放行。增加了复杂的各种动作之间的相关性复合逻辑规传统反病毒软件的杀毒机理主要是基于病毒则，就变成了现在大家熟知的主动防御型安全软特征码的方式来进行监控和查杀的，对于未知的件,比如,微点主动防御软件和卡巴斯基主动防御病毒特征码则无法识别。与传统反病毒软件相比，模块等等。HIPS并不是通过特征码扫描来判断程序合法性,参考文献:它主要是基于进程行为的拦截分析,判断进程是[]张蔚. Windows主机入侵防御系统的研究. 信息技术,否对操作系统中关键区域进行了修改或替换,然2007-12- -25.后根据已有的安全规则进行处理或给出警报提示[2]Neil MacDonald.Understanding the Nine Protection计算机用户并根据用户反馈进行相应处理1415。Styles of Host-Based Intrusion Prevention[R].USA: GartnerResearch Inc,2005.4、HIPS的优缺点与传统反病毒软件相比, HIPS具有以下两个[3]J'aime.PERSONAL HIPS: THE TOP LIST [EB/OL].优点: (1)HIPS对系统的监控主要通过APIhttp://kareldjag over-blog.com/ article -3470338.html,2006.[4]杨磊.主机入侵防御系统的应用.计算机安全, 2005-HOOK的方式，相比传统杀毒软件对系统的占用04-05.要少得多问。(2)只要病毒的行为方式没有改变就[5]王洋 ,祝跃飞孙晓妍。其干VWinduw系统主机的入侵不存在传统反病毒软件中修改特征码绕过防御机防御系统设i计中国煤化工7-10-08(19).制的危险。[6]李珂洞;I YHCNMH G究以及基于API虽然HIPS具有传统反病毒软件所欠缺的优HOOK的注册表监控技术.计算机应用, 2009-12-01(12) .点,同样也有一些不足之处: