冰盾主动防御说明文档 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

工具

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

冰盾主动防御说明文档

创信长荣 2023-07-13 19:50:31 219490

所属地广东省

本文由创信长荣创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

关于冰盾

冰盾 · 主动防御系统【专业不流氓】是一款基于iMonitorSDK实现，基于P2DR安全模型设计，为专业人士打造的终端、主机主动防御系统。使用冰盾可以帮助您拦截漏洞攻击、对抗流氓软件、保护电脑安全、提高工作效率。

冰盾跟其他HIPS软件的差异

经常有人问，冰盾跟其他的HIPS软件有什么差异，为什么选择冰盾，而不是其他安全软件。

冰盾打破传统基于对象操作的防护模型（比如文件的增、删、改、读等操作防御），采用基于场景模式的创新规则模型（比如禁止进程启动、文档保护、隐私保护），同时设计了基于模板+参数的规则引擎，大大降低了防御规则的编辑难度，同时还提供规则市场，让规则的分享和获取变得触手可及。

在性能上，冰盾规则引擎采用双缓存模式，匹配的效率提升到了极致，在不错误设置规则的情况，对系统几乎没有任何性能消耗。长期运行也不会有任何内存增长或者性能累计消耗，不仅适应于个人电脑，同时也适用于云服务器。

冰盾完全采用微软推荐的标准内核API实现功能，兼容性好，可以跟其他的安全软件很好并存。

规则使用说明

冰盾的核心就是规则，规则主要包括基础规则和自定义规则。

基础规则

冰盾收集了一些常见场景的规则，直接内置进来，方便一键开启功能，降低使用成本。

智能防护：利用智能分析和识别恶意软件行为，提供实时防护机制，确保系统免受恶意软件侵害。
系统优化：拦截非必要的软件和联网行为，提高系统运行速度和稳定性，提供更优秀的用户体验。
安全加固：拦截系统存在漏洞的组件和常见入侵途径，增强系统安全性，避免遭受恶意软件攻击。
漏洞防御：根据已知漏洞入侵方式开发专门的防御规则，保障系统不受黑客攻击和恶意软件入侵。

自定义规则

冰盾的核心是自定义规则，通过自定义规则可以实现各种场景的防护。

自定义规则采用了模板+参数的方式，通过新建规则、选择模板创建规则后，只需要填写关键参数即可完成规则创建。

比如：使用“禁止启动进程”模板，只需要按需填写进程的名称、或者进程的路径就可以了。

目前已经支持40个不同场景的规则模板，未来还会持续增加。具体模板说明参考下面的介绍。

规则参数说明

规则参数里面最多使用的就是扩展后的通配符字符串：

* 表示任意字符

? 表示单一字符

> 用于结尾，表示文件夹目录本身以及子目录，比如 C:\abc> 表示 C:\abc 和 C:\abc\* 的组合

< 表示除了反斜杠\外的任意字符，用于表示当前目录但是不包括子目录

同时规则参数还支持一些环境变量，方便分享规则后在不同的操作系统都可以有效：

$(SystemRoot) 表示 C:\windows

$(SystemDrive) 表示 C:

$(ProgramData) 表示 C:\ProgramData

规则模板介绍

模板的详细说明和参数说明可以参考规则编辑里面。

进程规则模板

禁止进程启动
禁止加载驱动
禁止加载动态库
禁止打开进程
禁止进程创建子进程
进程保护

文件规则模板

禁止修改文件
禁止进程修改文件
禁止进程读取文件
文档保护
隐私保护

网络规则模板

禁止访问网络地址
禁止进程访问网络
禁止进程访问某些网络
网络端口防火墙
上网行为管理
自定义HTTP返回结果

注册表规则模板

禁止修改服务
禁止进程修改注册表
禁止进程读取注册表
禁止创建注册表键
禁止修改注册表值
注册表保护

系统规则模板

弹框拦截
禁止创建计划任务

经典规则模板

快速模板（拦截模式）
快速模板（信任模式）
进程操作
文件操作
网络操作
注册表操作
全能模板

专业版规则模板

除了场景规则模板，冰盾还提供了更加专业化的规则模板：高级模板、专家模板。（这两个属于专业版功能，目前个人版也可以免费使用）

使用高级模板、专家模板，可以实现更加灵活的防御效果。

拦截响应

匹配到规则后，可以设置不同的响应动作：

拦截：阻止事件的发生。
信任：信任当前的行为或者进程、配合优先级，可以实现白名单功能。
弹框（默认拦截）：拦截后弹框由用户确认具体的处理逻辑，如果没有响应则默认拦截行为发生。
弹框（默认信任）：拦截后弹框由用户确认具体的处理逻辑，如果没有响应则默认允许行为发生。
记录：只记录事件的发生，可以用于查看创建的进程或者全部的联网过程等。未来可以把记录的事件上报到第三方数据中心，实现EDR功能。
结束进程：结束当前的进程

统一管控

冰盾企业版即将推出统一管理功能，具体包括：

规则下发：支持对终端根据分组下发规则，保证企业安全策略的一致性。
企业定制：支持下发配置定制终端表现，例如添加企业专属LOGO、控制是否显示托盘、是否添加密码保护等。
数据上报：支持将监控的事件上报到企业数据中心，集成到企业内部的EDR、SOC系统，也可以实现数据报表等功能。

# 漏洞 # 网络安全 # 数据泄露 # 企业安全 # 网络安全技术

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

创信长荣

这家伙太懒了，还未填写个人描述！

已在FreeBuf发表 13 篇文章

本文为创信长荣独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多