学习一下,HIPS的4D防护
来自:MACD论坛(bbs.macd.cn)
作者:govyvy
浏览:3477
回复:6
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
随着comodo v3的推出,越来越多的HIPS软件开始采用4D(AD/RD/FD/ND)的防护策略。
在HIPS软件刚刚进入我们视线的时候,普遍提出的理论是3D(AD/RD/FD)防护。3D防护在刚推出时基本够用,因为3D防护可以作出这样的假设——如果未知程序不在计算机上运行,不去破坏操作系统,那么系统就是安全的。但是随着攻击手段的增加,随着联网时间的无限延长,很多新的问题3D防护已经很难应付,因此需要在3D的基础上增加网络防御(ND)功能。提起HIPS不得不说起程序识别,我们在计算机上总要运行程序,因此对程序的识别至关重要,如何让好的程序正常运行,如何阻止恶意程序运行一直是桌面安全软件要解决的根本问题。
在某个杀毒软件厂商的2007安全报告中提到,今年发现的恶意软件中有60%以上是木马。那木马到底要干什么呢?我们看看今年被热炒的灰鸽子。通过对灰鸽子的服务器程序进行分析,我们可以发现它是这样工作的:首先写PE文件,然后运行文件产生网络监听服务,然后发送UDP通知客户端上线,客户端收到通知后连接服务控制计算机。在对灰鸽子的识别上我们不难发现,写文件是不可避免的,安装程序一样会写文件,自动运行也不是问题的关键,很多软件都会通过写注册表让自身运行。灰鸽子之所以是木马,核心是它偷偷地监听服务并通过网络泄漏数据。因此,在木马泛滥的今天我们需要分析网络行为识别恶意软件。
在现实中,有人通过同时安装防火墙和3D的HIPS来实现防木马防漏洞,可是这种方式也存在问题。首先,防火墙分为驱动防火墙和应用防火墙,驱动防火墙不知道数据包是给哪个应用程序的,在它看来只有IP和端口。而应用防火墙虽然知道是哪个程序在进行网络活动,但是无法防止应用程序通过加载驱动等旁路(bypass)防火墙的检查,直接读写网卡发送数据。其次,防火墙由于缺乏AD的检查,因此很难防止通过注入方式泄漏信息。此外,防火墙通常不拦截更多的系统API,自身防护比较弱,而用HIPS来保护防火墙往往容易形成冲突。更何况,防火墙与HIPS是独立的两个软件,无法进行相互通讯,联手防范恶意软件。因此,使用FW+3D的防御手段往往会造成1+1小于2,甚至小于1的局面。
于是,防火墙开始做HIPS,而HIPS也开始做防火墙,甚至连杀软也开始同时做HIPS和防火墙,因为大家都清楚,计算机资源有限,安全软件最后只会剩下一套。在这种情况下,comodo做了V3,卡吧、瑞星加了防火墙,老牌的tiny,sns,新秀coreforce和中网s3也预见了这一变化,产品从一开始就是4D。
4D的概念其实就是传统信息安全学“四不”的概念。
在谈到系统安全时,学术界往往会给出一个终极答案,那就是“进不来、出不去、不能动、改不了”的四不理论。而四不理论与HIPS的4D又出奇的一致。
进不来,指的是恶意软件不会进到我们的系统中来。恶意软件通常会通过读写文件和读写网络进入我们的系统,这也是恶意软件最主要的传播途径。因此要使恶意软件进不来,必须同时防住网络和文件系统,做到ND和FD。
出不去,指的是信息不会造成泄漏。信息泄漏的主要途径也是文件I/O和网络I/O,因此需要通过FD和ND做到阻止信息泄漏。此外,越来越多的木马使用注入、OLE调用、劫持等技术跳过检查泄漏信息,因此,广义的出不去还应该包括AD,确保FD和ND的有效性。
不能动,指的是恶意程序不能运行,不能被调用,在HIPS上显然是指AD。
改不了,指的是系统资源不被修改,主要是RD和FD,此外资源也包括进程资源,因此还需要AD。
“四不”的理论由来已久,但是从未像今天这样影响到我们每一个人,在安全威胁越来越频繁的今天,我们也只有通过4D手段应付复杂的恶意软件,做到“四不”。可喜的是,无论HIPS、防火墙还是杀软,大家都已经再向4D防御这个终极目标努力,也许将来这些软件只会有一个名字,但是那天一定是我们大家的节日,因为安全不再有界限,拥有安全也将更加容易。 |