大概去年的某天开始，我突然对手动的HIPS失去了兴趣。对几大HIPS的新版也只是装上看一眼，就删掉了~！之所以如此，主要是对弹窗失去了兴趣，我是个懒人，弹窗多了就觉得很烦~~~

其实，我从一开始就对纯手动HIPS的弹窗比较没信心。我以前还在版区发过拍砖帖，就HIPS的易用性问题跟大家舌战过，很多人应该还有印象的~~~呵呵~~~~

这种印象从看到K8的那一刻开始有所改变了！之前我对卡巴的主防也很深恶痛绝，K6的时候，主防的提示还不多，到了K7，主防，尤其是程序完整性检测的大幅加强导致了卡巴的提示有些时候比专业HIPS还多~~~。听说K8要增加完整的3D HIPS，更让我担心这个HIPS模块到了很多人手里可能依然变成摆设~~~。

可是，K8却让人眼前一亮。自动模式下，很多程序运行过后就会自动分组，基本上安静无打扰，只有极个别的程序需要调整组别。这无疑大大提升了HIPS的使用价值。要知道，对于很多菜鸟来说，给他弹窗有时候甚至还不如不给~！

K8的HIPS给出了两点很重要的启示。

第一，自动分组。组的概念在很多HIPS里面都有。其中windows的组策略就是基于分组的。简单的定义各个程序的组别就可以了。组对HIPS的发展很重要，因为组可以大大简化规则的编写难度，如果HIPS内置几个组，即使是简单的按照windows组策略的分组进行规则编写，也可以大大减少弹窗的数量。

第二，白名单。组的概念无疑很重要。但是如果没有白名单，即使有分组的设置，自动分组也很难做到。那仍然需要用户来选择组，依然存在易用性不足和安全性下降的问题。但是基于白名单，自动分组变得可行。以后，如果厂商愿意，大可以继续收集白名单并进行更加细致的分组。

不妨设想一下这样的情况，一个HIPS内置了数量巨大的白名单。并且有数个规则细致的分组。当用户运行一个程序的时候，根据白名单里面对这个程序的定义，自动分配到相应的组里面去。理论上，只要白名单不停完善，用户的需求就能够得到满足，而不需要用户参与，同时安全性也可以达到HIPS的级别~！HIPS的普及将不再是困难~~~~

就在我想到上面这些问题的时候，另一个“异类”出现了——GKR~！我没有看到程序（可能即使看到了也无法分析出来），但是看测试帖猜测，这个东西应该是个规则型的HIPS~！一直以来，规则型的HIPS都有个很大的问题，就是很难做到通用性，因为每个人的使用环境都不同。虽然EQ的使用者们编写了很多静默规则，但是使用中遇到问题，依然需要用户用学习模式，或者弹窗来解决！GKR如果是内置规则型的HIPS，那它无疑比较成功。不打扰用户的情况下就能起到很好的防护作用了。如果，如果这种内置的防护规则和上面的自动分组和白名单结合起来~~~内置的规则优先级最高，然后是白名单分组规则。那安全性和易用性将会更高~~~~~

呵呵，到了这里，思维的冲击依然没有结束。今天，一个到现在都无缘得见的东西给了我另一个冲击——Rudra！虽然没有看到它的实体，但是根据网站上的演示动画，可以判断，这个东西结合了规则防护和行为分析。是啊！为什么行为分析不能跟规则防护结合起来呢？在Comodo区看到了一个帖子，Comodo配合TF……。如果规则和行为分析结合起来，并且在同一个软件中实现，那不是更加美妙了吗？

看帖的，再来想一想，如果一个软件，首先有内置的底层保护规则（这些规则可以很精简，只防护最危险的行为，保证用户在极端危险的情况下不会中招就行了），然后带自动分组和白名单，根据白名单来将程序自动分组。一旦所运行的程序未在白名单内，则进入行为分析阶段，根据行为分析的结果进行分组，而且一旦行为分析发现恶意行为（恶意行为模型匹配成功），则弹窗要求隔离和回滚~~~~~~

如果这样的软件带有沙盘功能呢？如果这样的软件本身带有影子功能呢？如果这个软件本身还有特征码查杀…………如果………………

看到了卡巴，GKR，Rudra，我第一次觉得HIPS不再是高高山顶上的瑰丽花园了，只要开发者能够拓展思维，HIPS一样可以做的很简单，很易用，真正的很好很强大~~~~

期待K8，期待Rudra，也期待未来的HIPS技术...

关注天下网吧微信,了解网吧网咖经营管理，安装维护: