La questione è un poco complessa e richiederebbe tempo oltre che una certa chiarezza di linguaggio per affrontare l'argomento. Ho però trovato un interessante documento scritto in maniera chiara che, nonostante tratti di malware, potrebbe darti indicazioni su come interpretare i messaggi a volte eccessivamente fiscali (a mio avviso) di ZA e degli HIPS in generale.
Tieni conto che le applicazioni e i servizi che girano nel sistema operativo possono far ricorso a connessioni locali tra processi usando l'indirizzo
127.0.0.1:porta ed un esempio per tutti è messenger live che ne apre parecchie. Puoi usare il comando
netstat con il flag per rendere visibili sia protocollo che applicazione attive (mi pare netstat -b -p). Per l'help della riga di comando di windows vale sempre la regola di digitare
nome_comando /? e quindi nel tuo caso dovrai scrivere
netstat /? e premere invio
L'indirizzo 0.0.0.0 di norma è la convenzione numerica che indica tutta la rete e la si usa per esempio nei file di configurazione di router e firewall tipo i cisco ma anche con il comando route di Windows (è un po che non giocherello con questa roba)
Quello sotto è il link, vedi se ti è utile (non farti ingannare dalla presenza del termine linux poiché parla di WIndows)
http://nicetoad.homelinux.org/fp-conten ... ow-to.html