伊人久久国产精品,色综合久久久久,精品国产香蕉伊思人在线又爽又黄,国产激情对白一区二区三区四

HIPS是一種能監(jiān)控你電腦中文件的運(yùn)行和文件運(yùn)用了其他的文件以及文件對(duì)注冊(cè)表的修改，并向你報(bào)告請(qǐng)求允許的軟件。如果你阻止了，那么它將無(wú)法運(yùn)行或者更改。比如你雙擊了一個(gè)病毒程序，HIPS軟件跳出來(lái)報(bào)告而你阻止了，那么病毒還是沒(méi)有運(yùn)行的。引用一句話：“病毒天天變種天天出新，使得殺軟可能跟不上病毒的腳步，而HIPS能解決這些問(wèn)題”。 HIPS是以后系統(tǒng)安全發(fā)展的一種趨勢(shì)，只要你有足夠的專(zhuān)業(yè)水平，你可以只用HIPS而不需殺毒軟件。但是HIPS并不能稱(chēng)為防火墻，最多只能叫做系統(tǒng)防火墻，它不能阻止網(wǎng)絡(luò)上其他計(jì)算機(jī)對(duì)你計(jì)算機(jī)的攻擊行為。

因?yàn)椴《咎焯熳兎N天天出新，使得殺軟可能跟不上病毒的腳步，而HIPS能解決這些問(wèn)題。

我們個(gè)人用的HIPS可以分為3D： AD(Application Defend)--應(yīng)用程序防御體系、RD(Registry Defend)注冊(cè)表防御體系、FD(File Defend)文件防御體系。它通過(guò)可定制的規(guī)則對(duì)本地的運(yùn)行程序、注冊(cè)表的讀寫(xiě)操作、以及文件讀寫(xiě)操作進(jìn)行判斷并允許或禁止。

這種類(lèi)型的攻擊赫赫有名，頻頻出現(xiàn)在CERT、SANS、CSI等國(guó)際網(wǎng)絡(luò)安全組織的威脅的攻擊類(lèi)型名單內(nèi)。據(jù)統(tǒng)計(jì)，通過(guò)緩沖區(qū)溢出進(jìn)行的攻擊占所有系統(tǒng)攻擊總數(shù)的80%以上。這是一種滲透到系統(tǒng)中的攻擊技術(shù)，其基本理是當(dāng)來(lái)自某個(gè)程序的輸入數(shù)據(jù)超出程序緩沖區(qū)能夠處理的長(zhǎng)度時(shí)會(huì)產(chǎn)生溢出，結(jié)果不受程序員的控制。當(dāng)入侵者巧妙地安排代碼后，被攻擊的服務(wù)器還可能執(zhí)行入侵者的程序代碼，從而導(dǎo)致攻擊者甚至可以獲得系統(tǒng)中超級(jí)用戶(hù)的權(quán)限。比如80年代的Morris"蠕蟲(chóng)"事件導(dǎo)致了當(dāng)時(shí)Internet上1/3的計(jì)算機(jī)癱瘓，這種入侵方式就是采用了UNIX的Finger服務(wù)的一個(gè)緩存區(qū)溢出的漏洞；2001年的紅色代碼病毒在短短幾個(gè)小時(shí)內(nèi)傳遍了，造成了數(shù)十億美元的損失，也是采用了Windows服務(wù)器平臺(tái)上的IIS服務(wù)的一個(gè)緩存區(qū)溢出漏洞。2003年的SQL Slammer蠕蟲(chóng)、2004年的震蕩波等同樣也是利用了這種漏洞。為什么這種攻擊這么多呢？主要原因在于（單不于）目前廣泛用于系統(tǒng)編程的語(yǔ)言-- C語(yǔ)言本身的某些函數(shù)就存在著一些漏洞，造成了這種漏洞的廣泛存在和難以清查。

目前對(duì)這種攻擊方式的防范方式主要有以下幾種：，對(duì)存在溢出漏洞的程序打補(bǔ)丁。這是見(jiàn)的防范方式，需要依靠程序的廠商提供相應(yīng)的補(bǔ)丁程序才能生效。但是隨著網(wǎng)絡(luò)攻擊的頻度不斷加快，一個(gè)漏洞從被發(fā)現(xiàn)到運(yùn)用在大規(guī)模的攻擊中的時(shí)間大大縮短。往往程序廠商還沒(méi)有發(fā)布相應(yīng)的補(bǔ)丁程序，攻擊就已經(jīng)發(fā)生了。所以這種方式是非常被動(dòng)的，無(wú)法防范新出現(xiàn)的漏洞入侵。第二，通過(guò)操作系統(tǒng)的設(shè)置使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者植入攻擊代碼。這種方式的主要問(wèn)題在于首先可能和現(xiàn)有的應(yīng)用程序存在沖突，其次對(duì)溢出攻擊的防范不全面。因?yàn)橛行┕舨恍枰M(jìn)行攻擊代碼的植入過(guò)程。第三，采用專(zhuān)用的防范溢出的編譯器對(duì)程序進(jìn)行編譯檢查。這是一個(gè)比較完整的保護(hù)措施，但是卻需要付出非常高昂的時(shí)間和費(fèi)用的代價(jià)。

所有上述的辦法都無(wú)法在現(xiàn)實(shí)的業(yè)務(wù)系統(tǒng)中順利使用。主機(jī)入侵防御系統(tǒng)則提供了另一種切實(shí)可行、易于實(shí)施的防止"堆棧溢出攻擊"的方法。主機(jī)入侵防御系統(tǒng)中具有一種STOP (STack Overflow Protection，堆棧溢出保護(hù))技術(shù)，可以阻止這種入侵，防止用戶(hù)或程序獲得超級(jí)用戶(hù)權(quán)限。

所有的緩沖區(qū)漏洞挖掘程序都基于以下一個(gè)假設(shè)，即：程序在每次運(yùn)行時(shí)有問(wèn)題的參數(shù)壓入棧內(nèi)的數(shù)據(jù)地址空間偏移量是一定的（或者相差較小）。如果在程序運(yùn)行時(shí)由操作系統(tǒng)定義并且分配一個(gè)隨機(jī)化的偏移給該應(yīng)用程序，那么則專(zhuān)為此有缺陷的程序設(shè)計(jì)的溢出程序在溢出時(shí)就會(huì)返回一個(gè)錯(cuò)誤的ret地址，而不能跳轉(zhuǎn)到惡意構(gòu)造的shellcode下。雖然大部分的緩沖區(qū)溢出程序也能提供可調(diào)整的offset變量，但由于每次有缺陷的程序運(yùn)行時(shí)都將擁有一個(gè)隨機(jī)化的偏移，因此通過(guò)上次不成功的溢出猜測(cè)所得到的地址空間和內(nèi)容并不能來(lái)指導(dǎo)修正下次調(diào)整的offset。主機(jī)入侵防御系統(tǒng)提供了STOP技術(shù)在不改變操作系統(tǒng)內(nèi)核下同級(jí)工作，能幫助定義并且分配一個(gè)隨機(jī)化的偏移量，在不修改的系統(tǒng)內(nèi)核的情況動(dòng)態(tài)實(shí)現(xiàn)上述功能。

通過(guò)這種防范措施，用戶(hù)不僅僅能夠?qū)λ幸阎臀粗褩Ｒ绯鲱?lèi)型的攻擊進(jìn)行高強(qiáng)度防范，而且還不需要修改任何現(xiàn)有的操作系統(tǒng)和應(yīng)用程序，保證原有系統(tǒng)的持續(xù)運(yùn)行，保護(hù)了投資。

信息篡改破壞了信息的完整性，是入侵者攻擊目的的一種。信息篡改主要有兩種形式：信息傳輸中的篡改和信息存儲(chǔ)時(shí)的篡改。信息傳輸中的篡改主要發(fā)生在在線的交易過(guò)程中對(duì)交易信息的篡改，將導(dǎo)致交易雙方的嚴(yán)重經(jīng)濟(jì)損失；網(wǎng)絡(luò)設(shè)備控制信息的篡改，可能導(dǎo)致網(wǎng)絡(luò)工作異常、甚至導(dǎo)致信息傳輸途徑的更改以至于失密。這種攻擊行為的防范主要依靠信息交換雙方對(duì)信息的加密和數(shù)字簽名以及強(qiáng)驗(yàn)證方式來(lái)實(shí)現(xiàn)。信息存儲(chǔ)時(shí)的篡改是常見(jiàn)的攻擊方式，往往表現(xiàn)在對(duì)關(guān)鍵業(yè)務(wù)服務(wù)器上數(shù)據(jù)的更改，導(dǎo)致業(yè)務(wù)無(wú)法正常運(yùn)行；對(duì)一些關(guān)鍵文件的篡改，比如針對(duì)網(wǎng)站主頁(yè)的篡改，會(huì)導(dǎo)致被攻擊者形象的損失和潛在的經(jīng)濟(jì)損失。比如一家在線交易單位如果網(wǎng)頁(yè)被篡改，其后果可能會(huì)導(dǎo)致大量客戶(hù)的流失，即使入侵行為沒(méi)有危及到關(guān)鍵的交易數(shù)據(jù)。另外一種威脅的攻擊手段是對(duì)可執(zhí)行程序的篡改。入侵者通過(guò)對(duì)系統(tǒng)原有的可執(zhí)行文件的篡改能夠達(dá)到很多破壞目的。比如通過(guò)非法修改證券交易系統(tǒng)或者銀行業(yè)務(wù)系統(tǒng)的程序以獲取暴利；通過(guò)篡改某些關(guān)鍵應(yīng)用程序?qū)е孪到y(tǒng)無(wú)法正常運(yùn)行。但是見(jiàn)的篡改目的是：通過(guò)篡改一些管理員或者用戶(hù)經(jīng)常使用的應(yīng)用程序，使其在運(yùn)行的時(shí)候除了執(zhí)行正常的操作之外，同時(shí)運(yùn)行一個(gè)入侵者放置的木馬程序。這樣，對(duì)管理員或者用戶(hù)來(lái)說(shuō)好像系統(tǒng)運(yùn)行一切正常，但是卻在不知不覺(jué)中運(yùn)行了木馬程序，導(dǎo)致后門(mén)洞開(kāi)。這種入侵的后果是非常嚴(yán)重的，將可能導(dǎo)致嚴(yán)重的信息。

主機(jī)入侵防御系統(tǒng)的解決方法就是從根本入手，大大細(xì)化了對(duì)資源的控制粒度。不管是UNIX還是Windows服務(wù)器操作系統(tǒng)，對(duì)文件和目錄的安全許可權(quán)限都是非常有限的。但是通過(guò)主機(jī)入侵防御系統(tǒng)就能夠使文件和目錄的許可控制大大增強(qiáng)。許可類(lèi)型除了讀、寫(xiě)、執(zhí)行外，還額外添加了刪除、重命名、模式更改、屬主更改、時(shí)間更新、ACL更改、創(chuàng)建、更改目錄等8項(xiàng)許可，為管理員提供了充分的空間，能夠按照最貼切的方式對(duì)各個(gè)賬戶(hù)進(jìn)行資源的，防止過(guò)大造成的內(nèi)部安全隱患。同時(shí)，同樣一個(gè)賬戶(hù)采用不同的應(yīng)用程序訪問(wèn)資源也有可能獲得不同級(jí)別的訪問(wèn)許可，這給某些行業(yè)的特殊需求提供了極大的便利。

有了文件許可的細(xì)化控制能夠極大地減少由于原因造成的信息篡改事件。但是為了杜關(guān)鍵信息的篡改，主機(jī)入侵防御系統(tǒng)還提供了數(shù)字簽名的功能，能夠?qū)ζ胀ㄎ募?shù)據(jù)文件以及可執(zhí)行文件特別是入侵者攻擊的首要目標(biāo)--UNIX中的suid和sgid類(lèi)型的程序進(jìn)行完整性校驗(yàn)。如果普通文件和數(shù)據(jù)文件發(fā)生了意外更改，主機(jī)入侵防御系統(tǒng)將會(huì)報(bào)警；如果可執(zhí)行文件發(fā)生了意外更改，主機(jī)入侵防御系統(tǒng)將會(huì)自動(dòng)拒絕這個(gè)可執(zhí)行文件的執(zhí)行，并且同時(shí)報(bào)警。這樣，即使非法入侵者對(duì)目標(biāo)文件進(jìn)行了篡改，其目的也很難得逞。當(dāng)然，如果實(shí)現(xiàn)利用主機(jī)入侵防御系統(tǒng)的文件保護(hù)功能對(duì)這些關(guān)鍵的文件進(jìn)行了保護(hù)，入侵者是無(wú)法達(dá)到非法篡改的目的的。

特洛伊木馬（以下簡(jiǎn)稱(chēng)木馬），英文叫做"Trojan horse"，其名稱(chēng)取自古希臘的特洛伊木馬攻城故事，相信大家都已經(jīng)耳熟能詳了。正是這種古老的攻城方式卻成為了現(xiàn)在令人色變的網(wǎng)絡(luò)入侵方式。

首先，主機(jī)入侵防御系統(tǒng)具有的程序訪問(wèn)控制列表(PACL)功能使得同樣一個(gè)用戶(hù)訪問(wèn)同樣的資源的時(shí)候，如果采用不同的應(yīng)用程序訪問(wèn)，將會(huì)得到不同的權(quán)限。也就是說(shuō)，對(duì)于一些重要的資源，我們可以采用主機(jī)入侵防御系統(tǒng)這種功能限定不同應(yīng)用程序的訪問(wèn)權(quán)限，只允許已知的合法的應(yīng)用程序訪問(wèn)這些資源。這樣，即使入侵者在被攻擊的服務(wù)器上運(yùn)行了木馬程序，但是木馬程序需要竊取關(guān)鍵信息的時(shí)候必須要經(jīng)過(guò)主機(jī)入侵防御系統(tǒng)的安全驗(yàn)證。由于PACL中沒(méi)有定義木馬程序的訪問(wèn)權(quán)限，按照默認(rèn)權(quán)限是不能夠訪問(wèn)的，由此就起到了對(duì)木馬信息竊取的防范。

另外，計(jì)算機(jī)一旦連結(jié)上了網(wǎng)絡(luò)就融入了一個(gè)整體，需要對(duì)整體的安全性負(fù)責(zé)任。通過(guò)上文的分析我們已經(jīng)發(fā)現(xiàn)，木馬不僅僅會(huì)竊取本地信息，更嚴(yán)重的是入侵者能夠通過(guò)本地計(jì)算機(jī)對(duì)網(wǎng)絡(luò)中的其它計(jì)算機(jī)發(fā)起入侵，如DDoS攻擊行為。美國(guó)G0vernment法律規(guī)定由于某臺(tái)計(jì)算機(jī)的安全問(wèn)題直接導(dǎo)致的其它聯(lián)網(wǎng)計(jì)算機(jī)的入侵事件，這臺(tái)具有安全問(wèn)題的計(jì)算機(jī)的所有人是需要負(fù)責(zé)任的。目前其它國(guó)家也正在陸續(xù)出臺(tái)相關(guān)的規(guī)定。所以，在網(wǎng)絡(luò)上僅僅采取明哲保身的自保策略是不夠的。為了避免被植入木馬的服務(wù)器成為入侵者的跳板和，主機(jī)入侵防御系統(tǒng)還具備了網(wǎng)絡(luò)訪問(wèn)控制的作用。網(wǎng)絡(luò)訪問(wèn)控制規(guī)則不僅僅能夠定義哪些人能夠在什么時(shí)間從哪里訪問(wèn)本機(jī)的哪些服務(wù)，而且更為重要的是，它還能夠定義從本機(jī)能夠發(fā)出什么類(lèi)型的網(wǎng)絡(luò)連接。這樣，凡是不符合規(guī)則的連結(jié)將不能夠從本機(jī)發(fā)出。舉例來(lái)說(shuō)，在紅色代碼泛濫的時(shí)候，許多運(yùn)行IIS服務(wù)的服務(wù)器感染病毒后會(huì)在網(wǎng)絡(luò)中進(jìn)行大范圍的掃描，發(fā)現(xiàn)TCP 80端口開(kāi)放的潛在受攻擊者。但是Web服務(wù)器的這種行為明顯地是非常異常的行為。所以通過(guò)在主機(jī)入侵防御系統(tǒng)中定義外出連結(jié)的類(lèi)型，能夠從根本上避免由木馬發(fā)起的外部攻擊行為，特別是避免成為DDoS攻擊的。

在很多關(guān)鍵業(yè)務(wù)環(huán)境中，肯定都會(huì)有幾種比較重要的服務(wù)在運(yùn)行。比如一個(gè)電子商務(wù)交易Web站點(diǎn)，服務(wù)器上的HTTP服務(wù)或者守護(hù)進(jìn)程就是非常關(guān)鍵的。而在后臺(tái)的支撐環(huán)境中運(yùn)行的數(shù)據(jù)庫(kù)服務(wù)器上，數(shù)據(jù)庫(kù)的守護(hù)進(jìn)程就是這臺(tái)服務(wù)器的靈魂。同樣地，對(duì)于一個(gè)剛剛興起的收費(fèi)郵箱服務(wù)提供商來(lái)說(shuō)，如果后臺(tái)郵件服務(wù)器上的SMTP服務(wù)忽然停頓，勢(shì)必會(huì)更加難以招徠用戶(hù)。所以，信息化的社會(huì)的基石就是在關(guān)鍵服務(wù)器上運(yùn)行的種種服務(wù)。一旦服務(wù)中止，上層的應(yīng)用就會(huì)沒(méi)有了根基。而在操作系統(tǒng)中，這些關(guān)鍵服務(wù)是以后臺(tái)進(jìn)程的方式存在。

目前，受到攻擊最多的服務(wù)就是HTTP、SMTP以及數(shù)據(jù)庫(kù)進(jìn)程，當(dāng)然也有其它的關(guān)鍵服務(wù)進(jìn)程。入侵者對(duì)于這些進(jìn)程的中止方式一般有兩種：一種是利用這些服務(wù)本身存在的某些漏洞進(jìn)行入侵，而另外一種則是首先獲得操作系統(tǒng)中能夠中止進(jìn)程的權(quán)限，一般是超級(jí)用戶(hù)的權(quán)限，然后再中止進(jìn)程。

進(jìn)程的安全性依賴(lài)于操作系統(tǒng)提供的安全級(jí)別。一般來(lái)說(shuō)，進(jìn)行進(jìn)程中止的防止主要是采用Watchdog的技術(shù)。所謂Watchdog就是看門(mén)狗的意思，其主要功能是對(duì)進(jìn)程進(jìn)行看護(hù)，防止進(jìn)程的意外中止。如果由于某些意外因素，進(jìn)程非正常中斷，Watchdog能夠在很短時(shí)間內(nèi)快速重新啟動(dòng)被看護(hù)的進(jìn)程。

主機(jī)入侵防御系統(tǒng)就具備了這種Watchdog的功能。事實(shí)上，主機(jī)入侵防御系統(tǒng)本身提供的服務(wù)就是基于三個(gè)進(jìn)程的。主機(jī)入侵防御系統(tǒng)要對(duì)操作系統(tǒng)進(jìn)行安全保護(hù)，需要首*行自身的保護(hù)，防止自己進(jìn)程的意外中止。在實(shí)際運(yùn)行當(dāng)中，這三個(gè)進(jìn)程出了各自完成自己的職能外，還存在一種互相看守的關(guān)系。就是進(jìn)程一是進(jìn)程二的Watchdog，而進(jìn)程二又是進(jìn)程三的Watchdog，進(jìn)程三則是進(jìn)程一的Watchdog。這樣，如果其中一個(gè)進(jìn)程意外中止了，總有一個(gè)進(jìn)程會(huì)將其重新啟動(dòng)。即使在非常情況之下兩個(gè)進(jìn)程同時(shí)意外中斷，剩下的一個(gè)進(jìn)程依然能夠?qū)⒘硪粋€(gè)進(jìn)程啟動(dòng)，然后啟動(dòng)個(gè)進(jìn)程。所以，主機(jī)入侵防御系統(tǒng)的這種安全機(jī)制是非常嚴(yán)密的，不僅僅用來(lái)保護(hù)自己，而且還能夠很好地應(yīng)用于對(duì)關(guān)鍵服務(wù)進(jìn)程的安全防護(hù)。

超級(jí)用戶(hù)的存在為管理者帶來(lái)了極大的方便，登錄一次，就能夠完成所有的管理工作，執(zhí)行所有的命令，進(jìn)行所有的系統(tǒng)維護(hù)。但是，同時(shí)正是因?yàn)橛辛顺?jí)用戶(hù)的超級(jí)權(quán)限，也造成了很多的麻煩。

首先拋開(kāi)入侵者的攻擊不談，僅僅管理員在執(zhí)行正常的操作時(shí)，超級(jí)權(quán)限就帶來(lái)了不少的問(wèn)題。一旦使用超級(jí)用戶(hù)登錄，管理員在作各種操作的時(shí)候必須慎之又慎。系統(tǒng)中的很多動(dòng)作是不可逆的，一旦管理員因?yàn)槿藶槭д`做出不當(dāng)?shù)牟僮鳎鶗?huì)造成不可挽回的損失。特別在關(guān)鍵的業(yè)務(wù)服務(wù)器系統(tǒng)上經(jīng)常會(huì)出現(xiàn)這種類(lèi)似的損失慘重的失誤，我們經(jīng)常能夠在媒體上看到相關(guān)的一些報(bào)道。據(jù)統(tǒng)計(jì)，管理員的人為失誤是對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全威脅之一。實(shí)際上有一些操作是遠(yuǎn)遠(yuǎn)不需要超級(jí)用戶(hù)的權(quán)限就能夠完成的，但是絕大多數(shù)的人還是會(huì)選擇采用超級(jí)用戶(hù)的賬戶(hù)進(jìn)行登錄，究其原因，恐怕最根本的就是為了圖方便，從而釀成大錯(cuò)。

其次，在操作系統(tǒng)中設(shè)置超級(jí)用戶(hù)有其不合理的一面。一般來(lái)說(shuō)，管理員的職責(zé)是維護(hù)系統(tǒng)的正常運(yùn)行，建立和維護(hù)各種賬戶(hù)，對(duì)資源的訪問(wèn)權(quán)限進(jìn)行分配等等，他們一般不應(yīng)該具有讀取甚至修改、刪除某些存放在服務(wù)器上的機(jī)密信息的權(quán)利。但是在現(xiàn)實(shí)中，具有超級(jí)用戶(hù)的權(quán)限者就能夠任意地對(duì)這些數(shù)據(jù)進(jìn)行處理，即使經(jīng)過(guò)加密的數(shù)據(jù)他們也能夠輕而易舉地破壞甚至刪除。這是不合乎正常的安全策略的，需要通過(guò)某種措施進(jìn)行控制。

最后，在入侵者的世界里，恐怕再?zèng)]有獲取一個(gè)新的重要系統(tǒng)的超級(jí)用戶(hù)的身份更加美好的事情了。幾乎所有的攻擊手段的目標(biāo)就是要獲得被攻擊系統(tǒng)的控制權(quán)，而這一切基本上同于獲得系統(tǒng)的超級(jí)用戶(hù)的賬戶(hù)名稱(chēng)和密碼。口令破解、堆棧溢出、網(wǎng)絡(luò)…等等，目的無(wú)不于此。一旦獲得超級(jí)用戶(hù)的權(quán)限，入侵者不僅僅能夠完成上面所說(shuō)的一系列行為，而且還能夠任意地切換到其他人的身份，甚至不需要任何密碼驗(yàn)證；能夠隨意地抹去對(duì)自己動(dòng)作的一切審計(jì)記錄，讓審計(jì)人員無(wú)據(jù)可查。當(dāng)然，超級(jí)用戶(hù)的存在同樣也使網(wǎng)絡(luò)安全人員陷入了一種尷尬的境地。不管采用的防火墻是如何的牢不可破、IDS是如何地明察秋毫、加密算法是如何的*，只要入侵者獲得了超級(jí)用戶(hù)的權(quán)限，這一切都形同虛設(shè)。

為了對(duì)于上述的種種情況，主機(jī)入侵防御系統(tǒng)在操作系統(tǒng)的層次對(duì)超級(jí)用戶(hù)的特權(quán)進(jìn)行了再分配，并且將所有的用戶(hù)都同等對(duì)待，使得系統(tǒng)中不再有超級(jí)用戶(hù)的概念存在。經(jīng)過(guò)分權(quán)后，每一個(gè)管理員自能夠在自己的職責(zé)范圍內(nèi)工作，而不具備其它的特權(quán)。比如安全管理員能夠?qū)Y源進(jìn)行許可的分配，但是不能夠隨意刪除日志；安全審計(jì)員的職責(zé)就是分析日志，發(fā)現(xiàn)所有用戶(hù)的可疑行為，但是卻不具備其它所有的系統(tǒng)權(quán)利。這樣就好像給一個(gè)保險(xiǎn)箱加了三把鎖一樣，僅僅拿到一把鑰匙是沒(méi)有辦法獲得保險(xiǎn)箱里面的東西的。為了用戶(hù)能夠按照自己的意愿進(jìn)行分權(quán)，主機(jī)入侵防御系統(tǒng)還提供了權(quán)限分配（task delegation）的接口，以供更加細(xì)化的配置，讓普通的用戶(hù)具有某些超級(jí)用戶(hù)才能夠執(zhí)行的權(quán)利。經(jīng)過(guò)權(quán)力分配和細(xì)化后，可以大幅度避免管理員的人為誤操作，并且防止入侵者一旦獲得一個(gè)賬戶(hù)的所有權(quán)后就能夠橫行無(wú)阻的狀況發(fā)生。

為了更加細(xì)致準(zhǔn)確地跟蹤系統(tǒng)上的活動(dòng)，主機(jī)入侵防御系統(tǒng)提供了根據(jù)原始登錄ID進(jìn)行審計(jì)的功能。也就是說(shuō)不論登錄者后來(lái)通過(guò)su切換到哪一個(gè)登錄ID號(hào)，在日志中始終以其原始的登錄ID進(jìn)行活動(dòng)的跟蹤和記錄，而且入侵者即使獲得了root的口令也無(wú)法對(duì)日志進(jìn)行破壞。另外，主機(jī)入侵防御系統(tǒng)將ID的使用權(quán)限也作為一種資源進(jìn)行管理，也就是說(shuō)如果一個(gè)賬號(hào)需要su到另外一個(gè)賬號(hào)，必須經(jīng)過(guò)主機(jī)入侵防御系統(tǒng)的，否則就不能成功。哪怕是root用戶(hù)想要su到其它賬戶(hù)也是如此。這樣就大大降低了通過(guò)切換 ID實(shí)現(xiàn)的攻擊行為。

主機(jī)入侵防御系統(tǒng)基于穩(wěn)固的安全體系和全新的安全設(shè)計(jì)理念，具有穩(wěn)固的運(yùn)行特性和強(qiáng)大的安全性，為各種 UNIX平臺(tái)以及Windows服務(wù)器平臺(tái)提供了極大的安全保障，并且同大型機(jī)的安全機(jī)制兼容。該系統(tǒng)是對(duì)關(guān)鍵服務(wù)器資源進(jìn)行重點(diǎn)保護(hù)的重要安全工具，正在越來(lái)越受到用戶(hù)的重視。

當(dāng)然，主機(jī)入侵防御系統(tǒng)提供的保護(hù)措施主要是集中在對(duì)服務(wù)器資源和行為的保護(hù)，不能替代所有的安全產(chǎn)品。防火墻、防病毒、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、VPN等都是對(duì)主機(jī)入侵防御系統(tǒng)的有益補(bǔ)充。只有將關(guān)鍵服務(wù)器的保護(hù)和整體的網(wǎng)絡(luò)架構(gòu)保護(hù)合理地結(jié)合在一起，才能夠?yàn)槲覀兊木W(wǎng)絡(luò)空間提供完善的保障。針對(duì)當(dāng)前的病毒、蠕蟲(chóng)、入侵等種種威脅構(gòu)成的混合型威脅，主機(jī)入侵防御系統(tǒng)無(wú)疑會(huì)給我們的關(guān)鍵資源提供更加主動(dòng)的防御方式。

所謂hips(主機(jī)入侵防御體系)，也就是現(xiàn)在大家所說(shuō)的系統(tǒng)防火墻，它有別于傳統(tǒng)意義上的網(wǎng)絡(luò)防火墻nips.

二者雖然都是防火墻，但是在功能上其實(shí)還是有很大差別的：傳統(tǒng)的nips網(wǎng)絡(luò)防火墻說(shuō)白了就是只有在你使用網(wǎng)絡(luò)的時(shí)候能夠用上，通過(guò)特定的tcp/ip協(xié)議來(lái)限定用戶(hù)訪問(wèn)某一ip地址，或者也可以限制互聯(lián)網(wǎng)用戶(hù)訪問(wèn)個(gè)人用戶(hù)和服務(wù)器終端，在不聯(lián)網(wǎng)的情況下是沒(méi)有什么用處的；而hips系統(tǒng)防火墻就是限制諸如a進(jìn)程調(diào)用b進(jìn)程，或者禁止更改或者添加注冊(cè)表文件--打個(gè)比方說(shuō)，也就是當(dāng)某進(jìn)程或者程序試圖偷偷運(yùn)行的時(shí)候總是會(huì)調(diào)用系統(tǒng)的一些其他的資源，這個(gè)行為就會(huì)被hips檢測(cè)到然后彈出警告詢(xún)問(wèn)用戶(hù)是否允許運(yùn)行，用戶(hù)根據(jù)自己的經(jīng)驗(yàn)來(lái)判斷該行為是否正確安全，是則放行允許運(yùn)行，否就不使之運(yùn)行，一般來(lái)說(shuō)，在用戶(hù)擁有足夠進(jìn)程相關(guān)方面知識(shí)的情況下，裝上一個(gè)hips軟件能非常有效的防止木馬或者病毒的偷偷運(yùn)行，這樣對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)，中毒插馬的可能性就基本上很低很低了.但是，只是裝上個(gè)hips也不是的，畢竟--用戶(hù)穿上的只是個(gè)全透明衣也還是會(huì)被某些別有用心的人去用戶(hù)的個(gè)人隱私的，所以，選用一款功能強(qiáng)大而小巧的防火墻也是很重要的--起碼有防止DDOS攻擊和防arp欺騙攻擊功能(對(duì)內(nèi)網(wǎng)用戶(hù)尤為重要)！

上面是對(duì)hips和防火墻作個(gè)區(qū)別，因?yàn)闅④浐瓦@兩類(lèi)軟件差別比較大，就不拿到這里來(lái)說(shuō)了，下面我具體介紹一下hips以及常見(jiàn)的幾款hips安全軟件，希望對(duì)各位有所裨益！

我們個(gè)人用的HIPS可以分為3D：

AD(Application Defend)應(yīng)用程序防御體系

RD(Registry Defend)注冊(cè)表防御體系

FD(File Defend)文件防御體系

它通過(guò)可定制的規(guī)則對(duì)本地的運(yùn)行程序、注冊(cè)表的讀寫(xiě)操作、以及文件讀寫(xiě)操作進(jìn)行判斷并允許或禁止。

常用的HIPS軟件有：

SNS(Safe'n'Sec Personal)--AD+FD+RD，

SSM(System Safety Monitor)，

PG(ProcessGuard和Port Explorer)--AD+RD，

GSS(Ghost Security Suite)--AD+RD，

SS(SafeSystem 2006)--FD.

EQSecure(國(guó)產(chǎn)的E盾)--AD+FD+RD