淺談HIPS

從太麻里回來以後隔一週馬上開工，中間這一個星期完全處於HP紅血狀態。
除了養大小傷以外，腦袋的活力也趨近於零，乃至於救災心得完全動不了。
現在已經開工了，大小傷慢慢復原，腦袋也慢慢開始動了起來…
想起還有一篇早就醞釀過也架構得差不多的科技文，就在這邊先充個九月首po吧:P


HIPS

話說之前用的防毒軟體：Sophos，其中有一項賣點叫 HIPS (Host Intrusion Prevention System)

An Intrusion prevention system (IPS) is a network security device that monitors network and/or system activities for malicious or unwanted behavior and can react, in real-time, to block or prevent those activities. Network-based IPS, for example, will operate in-line to monitor all network traffic for malicious code or attacks . When an attack is detected, it can drop the offending packets while still allowing all other traffic to pass. Intrusion prevention technology is considered by some to be an extension of intrusion detection (IDS) technology.

要說 HIPS 得先說什麼是IPS。取自維基百科的解釋如上，簡單說 IPS 就是入侵防禦系統。
IPS 是來自於 IDS (Intrusion Detection System, 入侵偵測系統) 的延伸，均屬網路安全的一環。
這樣的系統會監控網路，並偵測可能的惡意活動乃至攻擊。IPS 則更進一步地預防 (Prevent)。

由於是預防而不是阻擋，所以它與我們平常認知的防火牆有一點不一樣。
一般防火牆以「開放」與「禁止」的通道來攔截和放行網路上來往的各種訊息封包。
IPS 則更聰明。透過 IDS 偵測之後，可以即時反應，並決定每一個訊息封包該放還是該檔。

假設防火牆是機場海關，它可能會開放十個出口，拿北美/EU護照的走 1-5 號直接放行；
拿南美、東南亞國家護照的走 6-8 號檢查盤問；其他禁止進入的國籍則走 9 號辦理遣返；
特定國籍在被遣送前，得先到 10 號壓指印做紀錄以確保他們不會危害X國國家利益。
IPS 夠聰明的話，海關出口大概就會有一隻機器人，掃一下你的瞳孔就知道，
該引導你往那個出口走 (例如A是生門，B是死門，C是求生不得求死不能 XD)



會想到要寫 HIPS，是因為在 survey 防毒的時候，看到這一個活動。
那好像是 Sophos 辦的一個「試膽活動」(?)，反正就是提供一堆病毒，
讓你下載回去試試看自己的防毒軟體夠不夠力！

01的討論中提到了「還沒下載或下載到一半就被防毒軟體給攔截了」這件事。
後來才知道這也是與 HIPS 相關的議題之一，再輔以 Sophos 官方的說法：

主機入侵防禦系統(HIPS, Host Intrusion Prevention System)是一種針對未知病毒及可疑行為的新式安全防禦技術，主要是為防止未知弱點在完全無解毒碼情況下遭受零時差攻擊，因為再快的病毒碼更新速度，永遠和病毒第一次被發現時有一段時間差，再加上病毒碼也有更新時間差，所以在這段時間內，只靠病毒碼的比對，會讓系統處於高風險狀態。

What Is the 'HOST' ?

到這兒總算大概知道 HIPS 在秋什麼了 :P
可是那個 host 又代表什麼意思呢？同樣來自維基百科的解釋：

投入使用的入侵預防系統按其用途進一步可以劃分為單機入侵預防系統（HIPS: Hostbased Intrusion Prevension System）和網路入侵預防系統（NIPS: Network Intrusion Prevension System）兩種類型。

網路入侵預防系統作為網路之間或網路組成部分之間的獨立的硬體設備，切斷交通，對過往包裹進行深層檢查，然後確定是否放行。網路入侵預防系統藉助病毒特徵和協議異常，阻止有害代碼傳播。有一些網路入侵預防系統還能夠跟蹤和標記對可疑代碼的回答，然後，看誰使用這些回答信息而請求連接，這樣就能更好地確認發生了入侵事件。

根據有害代碼通常潛伏於正常程序代碼中間、伺機運行的特點，單機入侵預防系統監視正常程序，比如Internet Explorer，Outlook，等等，在它們（確切地說，其實是它們所夾帶的有害代碼）向作業系統發出請求指令，改寫系統文件，建立對外連接時，進行有效阻止，從而保護網路中重要的單個機器設備，如伺服器、路由器、防火牆等等。這時，它不需要求助於已知病毒特徵和事先設定的安全規則。總地來說，單機入侵預防系統能使大部分鑽空子行為無法得逞。我們知道，入侵是指有害代碼首先到達目的地，然後幹壞事。然而，即使它僥倖突破防火牆等各種防線，得以到達目的地，但是由於有了入侵預防系統，有害代碼最終還是無法起到它要起的作用，不能達到它要達到的目的。

當NIPS所監控的是其他網路設備 (router, bridge, gateway... etc.) 時，HIPS 就是監控 host。
所以這個 host就是「安裝/設定了 HIPS 系統的機器」，也就是你我所使用的電腦了。
以我為例，host 就是我的電腦，而提供 IPS 機制的就是 Sophos 了！


Avoid From the Latest Threats

包括維基百科與 Sophos 官網另外也提到了 HIPS 的一個特點：不怕新病毒。
這麼說或許有點誇大，但由於 HIPS 透過行為監控來揪出可能的惡意程序，
在某種程度上的確是不用擔心層出不窮的新病毒 /木馬 /廣告 /惡意程式，
也不需花時間和成本不斷更新遇到最新型病毒也沒輒的病毒碼。

不過它所帶來的另一個困擾，也是前文舉出各家防毒軟體時提過的：敏感！
以我使用 Sophos 為例，首先遇到的就是只要在安裝完以後，
啟動任何一個會存取網路的程式，都會跳出寫著一堆有看沒有懂的文字的警告視窗。



但好處也是對我這種使用者來說，可以自己決定是否放行任何警告。
我這種使用者就是「不算 Power User，但具備簡單資訊相關知識」的人。
這邊剛好呼應到此篇所說的一些觀念：

…當某進程或者程序試圖偷偷執行的時候總是會調用系統的一些其他的資源，這個行為就會被hips檢測到然後彈出警告詢問用戶是否允許執行，用戶根據自己的經驗來判斷該行為是否正確安全，是則放行允許執行，否就不使之執行，一般來說，在用戶擁有足夠進程相關方面知識的情況下，裝上一個hips軟件能非常有效的防止木馬或者病毒的偷偷執行…

上面說的是單獨使用 HIPS 系統，那可能真的需要一些更進階點的知識。
而像我這樣的 USER，使用像 Sophos 這種具備 HIPS 機制的防毒軟體，則是另一種搭配！
真是有種騎士拿長矛，警察拿手槍的感想 －－ 什麼人用什麼武器啊！
其實真正的感想是幸好我當初沒有去念 Royal Hollaway 念資訊安全。


以上資訊為網路蒐集整理而來，如有錯誤煩請指正 :)

Reference:
Wikipedia (中文, 英文)
Sophos Lab Taiwan
瞭解何謂主機入侵防禦系統(HIPS)？ by 甲胖



Google 搜尋 HIPS 的第一張圖竟是美臀㊣妹Shakira

hip (n.)
1. 臀部,屁股;髖部;髖關節[C]

---