基于WINDOWS的HIPS分析

福建電腦2013年第l期80基于WINDOWS的HIPS分析欒國森'，黃奏春2( 1、三峽大學(xué)科技學(xué)院計算機系湖北宜昌443002.2、 三峽大學(xué)計算機與信息學(xué)院湖北宜昌443002 )[摘要]:本文首先從HIPS的組成和分類(lèi)出發(fā)，分析了HIPS的基本原理，分析給出了HIPS的優(yōu)缺點(diǎn),指出了HIPS在引入白名單后所帶來(lái)的不安全隱患,以及HIPS需要改進(jìn)的地方不僅僅是對單一程序動(dòng)作規則(黑白名單)的修改。[關(guān)鍵詞]: HIPS;黑白名單;文件防御體系;應用程序防御體系;注冊表防御體系1、引言HIPS，英文“Host-based Intrusion Prevention文件防御體系也稱(chēng)為FD防御體系，主要對System”的縮寫(xiě),通常直譯為“基于主機的人侵防進(jìn)程的文件操作行 為進(jìn)行監控攔截，并分析行為御系統"。其實(shí)按HIPS的含義來(lái)說(shuō)應理解為程序的安全性, 阻止惡意程序訪(fǎng)問(wèn)、修改系統安全文動(dòng)作(API或NATIVE API)攔截系統,其作用就是件。 例如,有些病毒的運行是通過(guò)explorer.exe創(chuàng )對程序運行中調用的危險API(或NATIVE API)建子 進(jìn)程的方式。進(jìn)行攔截,監視單個(gè)主機的可疑活動(dòng),分析該主機應用程序防御體系也稱(chēng)為AD防御體系,主發(fā)生的事件,進(jìn)行相應的處理,從而起到主動(dòng)防御要對進(jìn)程運行時(shí)對系統以及其他進(jìn)程特別是安全計算機病毒的作用。軟件的操作行為進(jìn)行監控和分析。例如,有些病毒由于傳統反病毒技術(shù)在識別、清除新型病毒、在執行惡意代碼前會(huì )試圖強行結束安全軟件進(jìn)惡意軟件能力上的逐漸乏力，以主動(dòng)防御為主的程 ,使系統失去保護。HIPS成為當前研究的熱門(mén)課題之一。主動(dòng)防御是注冊表防御體系也稱(chēng)為RD防御體系，主要指通過(guò)監控計算機進(jìn)程的行為并判斷其是否符合是對 進(jìn)程對注冊表的操作行為進(jìn)行監控，當發(fā)現防御系統安全規則，從而決定對該進(jìn)程的行為采有未知軟件訪(fǎng)問(wèn)注冊表敏感區域時(shí)會(huì )執行相應的取某種操作如放行、阻止、清除等的新一代反病毒安全 流程。技術(shù)川。HIPS根據用途主要包括以下兩種類(lèi)型印:典2、HIPS的組成及分類(lèi)型HIPS機制特殊HIPS機制。HIPS的組成根據其功能可以分為文件防御典型HIPS機制適用于個(gè)人或家庭計算機環(huán)體系(FileDefend),應用程序防御體系(Applica-境,根據技術(shù)手段的不同,典型HIPS目前要有四tion Defend) ,注冊表防御體系(Registry Defend)三 種模型:層防御體系凹,如圖1所示。1)基于異常檢測的HIPS機制。這種類(lèi)型的HIPS機制主要通過(guò)監控并分析系統及進(jìn)程行為疆來(lái)判斷是否惡意軟件并加以阻止。另|2)基于文件簽名及異常檢測的HIPS機制。這種類(lèi)型的HIPS機制在異常檢測機制的基礎上增加了文件簽名檢測模塊。文件防御(FD)3)基于黑白名單、文件簽名以及異常檢測的應用程序防御(AD)HIPS機制。這米機制在笛一米機制的基礎上又增注冊表防御(RD)加了黑白名中國煤化工的系統文件、進(jìn)MHCNMH(殳全認證的應用程帶簽名的心勝1iJ系統資源程序放入白名單中，同時(shí)將經(jīng)判斷為惡意軟件的圖1HIPS的三層防御體系2013年第1期福建電腦81文件加人黑名單,對白名單中進(jìn)程行為自動(dòng)放行，1)HIPS 涉及操作系統內核,系統在功能完對黑名單中進(jìn)程行為則采用嚴格的安全機制或者善 、兼容維護、以及服務(wù)上的難度與其他軟件相拒絕所有行為。比要大很多如結束一個(gè)進(jìn)程可以有許多種方法,4)基于純白名單的HIPS機制。采用這類(lèi)機涉 及到的相關(guān)API可以有多個(gè)，只要其中一點(diǎn)沒(méi)制HIPS只有白名單,凡是不在白名單中的進(jìn)程都有防住,整個(gè)防御體系則形同虛設。拒絕其行為。2)與傳統反病毒軟件的簡(jiǎn)單、清晰的用戶(hù)體.5)基于虛擬技術(shù)的HIPS機制。這類(lèi)機制主驗相比,HIPS由于是基于進(jìn)程行為,其內置規則要通過(guò)例如沙盒等虛擬化技術(shù)來(lái)運行術(shù)知應用程的設置以及相應的判斷操作需要計算機用戶(hù)有--.序。定的基礎知識，錯誤的放行可能會(huì )使得惡意程序特殊HIPS機制適用子數據庫系統和其他-侵人操作系統。些安全性要求較高的系統。其主要加強了對root3)HIPS自身沒(méi)有掃描病毒的能力,只能通過(guò)kits、"Odayattacks"、緩沖區溢出等特殊攻擊方式程序運行時(shí)根據其行為進(jìn)行判斷。的防御。目前大多數的反病毒軟件都集成HIPS的部本文分析討論的HIPS是基于典型HIPS機分或全部功能，這樣在監控到危險行為的同時(shí)又;制中的第三種模型,即采用黑白名單、文件簽名以能夠更 智能的查殺相應的惡意程序。及異常檢測的HIPS機制。5、結束語(yǔ)3、HIPS的基本原理.HIPS本來(lái)是安全的,雖然存在著(zhù)頻繁虛警的HIPS是針對傳統反病毒軟件在抵御未知安問(wèn)題， 但是其對于每一個(gè)潛在危險API (或NA-全威脅上的不足而興起的新型反病毒技術(shù)。傳統TVE API)調 用都進(jìn)行報警攔截,所以整體安全的反病毒軟件通常包括三個(gè)部分:病毒特征庫、殺性是很有保證的。 但是,HIPS規則(黑白名單)的毒引擎和進(jìn)程行為監控模塊。傳統反病毒軟件對使用， 則徹底將HIPS的安全基石毀于一旦,在病毒掃描操作通常按如下流程進(jìn)行:首先進(jìn)程行HIPS嚴密的防護體系中產(chǎn)生一條黑客攻擊通道。為監控模塊攔截到某一進(jìn)程對文件進(jìn)行訪(fǎng)問(wèn)操.通過(guò)分析知道HIPS需要改進(jìn),但是并不是進(jìn)作，殺毒引擎將目標文件中的特征碼與病毒特征行簡(jiǎn) 單的單一程序動(dòng)作規則(黑白名單)的修改。庫的特征碼進(jìn)行對比，若目標文件特征碼與病毒行 為控制安全軟件只有將各種程序動(dòng)作進(jìn)行綜合庫中某--特征碼相符,反病毒軟件則將它識別為監控,即監控--系列確有意義的程序行為,才能從病毒程序,然后調用殺毒引擎對文件進(jìn)行隔離、清根本 上徹底改變其易用性差的問(wèn)題。如果HIPS除等操作,若不相符則對該訪(fǎng)問(wèn)操作放行。增加了復雜的各種動(dòng)作之間的相關(guān)性復合邏輯規傳統反病毒軟件的殺毒機理主要是基于病毒則，就變成了現在大家熟知的主動(dòng)防御型安全軟特征碼的方式來(lái)進(jìn)行監控和查殺的，對于未知的件,比如,微點(diǎn)主動(dòng)防御軟件和卡巴斯基主動(dòng)防御病毒特征碼則無(wú)法識別。與傳統反病毒軟件相比，模塊等等。HIPS并不是通過(guò)特征碼掃描來(lái)判斷程序合法性,參考文獻:它主要是基于進(jìn)程行為的攔截分析,判斷進(jìn)程是[]張蔚. Windows主機入侵防御系統的研究. 信息技術(shù),否對操作系統中關(guān)鍵區域進(jìn)行了修改或替換,然2007-12- -25.后根據已有的安全規則進(jìn)行處理或給出警報提示[2]Neil MacDonald.Understanding the Nine Protection計算機用戶(hù)并根據用戶(hù)反饋進(jìn)行相應處理1415。Styles of Host-Based Intrusion Prevention[R].USA: GartnerResearch Inc,2005.4、HIPS的優(yōu)缺點(diǎn)與傳統反病毒軟件相比, HIPS具有以下兩個(gè)[3]J'aime.PERSONAL HIPS: THE TOP LIST [EB/OL].優(yōu)點(diǎn): (1)HIPS對系統的監控主要通過(guò)APIhttp://kareldjag over-blog.com/ article -3470338.html,2006.[4]楊磊.主機入侵防御系統的應用.計算機安全, 2005-HOOK的方式，相比傳統殺毒軟件對系統的占用04-05.要少得多問(wèn)。(2)只要病毒的行為方式?jīng)]有改變就[5]王洋 ,祝躍飛孫曉妍。其干VWinduw系統主機的入侵不存在傳統反病毒軟件中修改特征碼繞過(guò)防御機防御系統設i計中國煤化工7-10-08(19).制的危險。[6]李珂洞;I YHCNMH G究以及基于A(yíng)PI雖然HIPS具有傳統反病毒軟件所欠缺的優(yōu)HOOK的注冊表監控技術(shù).計算機應用, 2009-12-01(12) .點(diǎn),同樣也有一些不足之處: