主机未知防御系统(HIPS)软件介绍HIPS(Host Intrusion Prevent System)主机入侵防御系统。
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，
并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。
比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。
引用一句话："病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。"
HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。
但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的
攻击行为。

HIPS可以分为：
FD(File Defend)文件防御体系,作用就是监控系统对任何文件的读取，修改，创建，删除操作;
AD(Application Defend)--应用程序防御体系,监控程序运行，加载，访问物理内存，操作底层磁盘，
键盘记录等等的关键操作;
RD(Registry Defend)注册表防御体系,监控对注册表的操作;


它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
目前在有些杀软或防火墙中，也含HIPS功能。


假设有病毒入侵电脑：
1病毒首先会在硬盘上建立病毒实体，这时候就会触发FD的“创建”规则
2接着读取病毒体，触发FD的“读取”规则
3接着运行病毒体，触发AD的各项规则
4如果是感染型病毒，在运行过程中还会修改硬盘的文件，例如感染exe文件，触发FD的“修改”规则；
如果是破坏型病毒，运行过程中还会删除硬盘的文件，例如删除exe，gho等文件，触发FD的“删除”规则
5接着病毒通常会修改注册表来达到自启动或破坏的目的，此时会触发RD规则；如果病毒连接网络的话，
就会触发ND规则（也就是防火墙规则，这就在EQ范围之外了）。

    从上面可以看到，重要性由高到低的排列：
FD的“创建”> FD的“读取”> AD > FD的“修改，删除”> ND > RD。
    前三项是最为重要的，因为关系到病毒能否成功运行，后面的只是病毒运行之后的补救措施而已。
每次触发规则，hips就会从规则库里面查找，如果里面已经有对该操作的规则，就按规则办；没有的话，
就会询问使用者。从性能来讲，触发得越频繁，匹配的规则越多，导致的性能越低下。对触发频繁程度
由高到低的排列：
FD的“读取”> RD > FD的“修改”> AD > FD的“删除”> FD的“创建” 。
（本排列是在本机的eq上添加监视规则，统计日志得出的。）
要写出高效的规则，必先了解所用的hips对规则的处理方法。以EQ为例，它的规则分3个组。
组间优先级从高到低的排列：“黑名单”>“应用程序规则”> “所有程序规则”。
在“黑名单”和“所有程序规则”两个组之中，同组的规则是优先级是从上到下排列。
“应用程序规则”是按程序的进程查找匹配，同组的规则没有优先级之分。
具体请参考spbic写的《EQSecure 规则执行流程图（拆解为各类各条）》
http://www.eqsecure.com/bbs/read.php?tid=8475&fpage=2
根据以上排列，我们就可以通过调整规则，达到安全性和性能的平衡。将对性能影响很大，但安全性影
响不大的规则尽量简化；将对性能影响不大，但安全性影响很大的规则尽量详细。



Tiny Firewall防护规则：AD+RD+FD+ND（4D）
ProSecurity v1.26  防护规则：FD+RD+AD
EQSecure for System防护规则： AD+FD+RD
System Safety Monitor（SSM） 防护规则：RD+AD