Класифікація HIPS - (Host-based Intrusion Prevention System)
Опції теми
Пошук на тему
Відображення
- Лінійний вигляд
- Комбінований вигляд
- Деревоподібний вигляд
Класифікація HIPS - (Host-based Intrusion Prevention System)
Класичні HIPS: – системи, оснащені відкритою таблицею правил. З цієї таблиці драйвери HIPS дозволяють /забороняють певні дії із боку додатків чи запитують користувача у тому, що потрібно зробити стосовно даному дії. Такий пристрій системи зорієнтований на ручне керування дозволами та активну взаємодію з користувачем, що висуває високі вимоги до компетентності останнього.
До цього типу можна віднести: -360.cn Malware Defender (колишній Torchsoft)http://labs.360.cn/malwaredefender/index.html -OSSS (Online Solutions Security Suite)http://www.online-solutions.ru/ -Jetico Personal Firewallhttp://www.jetico.com/home- no-flash-wiping/ -Real-time Defender Professional(колишній ProSecurity) http://www.rtdefender.com/cgi-sys/suspendedpage.cgi -CA Host-Based Intrusion Prevention System r8.1(CA HIPS - колишній Tiny Personal Firewall) http://www.ca.com/us/default.aspx -SafenSoft SysWatchhttp: //www.safensoft.ru/
Експертні HIPSінакше звані поведінковими евристиками, здійснюють аналіз активності працюючого додатку. Якщо сукупність виконуваних дій набуває підозрілого або небезпечного характеру, продукт даного типу повідомляє про можливу присутність шкідливої програми.
До цього типу можна віднести: -Comodo Internet SecurityПрограма комплексноїзахисту комп'ютера, що включає антивірус - Comodo Antivirus, персональний мережевий екран - Comodo Firewall і модуль проактивного захисту - Comodo Defense. http://personalfirewall.comodo.com/ -Privatefirewall(раніше Dynamic Security Agent)http://www.privacyware.com/ -PCTools ThreatFire ( Cyberhawk)http://www.threatfire.com/ -McAfee Host Intrusion Prevention for Desktops and ServersУ HIPS від McAfee об'єднані можливості продуктів Desktop Firewall та HIPS Entercept (до 2003 розроблявся однойменною компанією, яка була викуплена Network Associates). Доступний як самостійне рішення, так і частина комплексного продукту Total Protection for Endpoint. (модуль проактивного захисту, поведінковий аналізатор, евристика) http://www.mcafeesecurity.ru/ Так само даний вид ХІПС вбудований у багатьох антивірусах і має різні назви (модуль проактивного захисту, поведінковий аналізатор, евристика).
HIPS типу Sandbox («пісочниця»)
орієнтовані систему в цілому: -Returnil Virtual SystemReturnil Virtual System клонує вашу операційну систему і створює віртуальне середовище. Запустивши віртуальну систему, ви можете працювати з програмами в повністю ізольованому середовищі. Це забезпечує захист від небажаних змін, які можна повністю усунути шляхом перезавантаження системи. http://www.returnilvirtualsystem.com/ -Shadow DefenderShadow Defender дозволяє скасувати будь-які шкідливі, користувальницькі або інші дії, що відбулися в операційній системі, простим перезавантаженням комп'ютера. Shadow Defender, після перезавантаження комп'ютера можна повернути його початкове до зараження стан. При цьому всі видалені файли будуть відновлені. Крімтого, використовувати захист ОС цією програмою можна під час інсталяції будь-яких програм, ігор та інших експериментів - після перезавантаження комп'ютера будь-які зміни буде скасовано. -ShadowProtect та ShadowServer*ShadowProtect Desktop Edition– рішення для аварійного відновлення системи та захисту даних Windows-серверів. *ShadowProtect IT Edition– засіб відновлення даних для фізичних систем. *ShadowServer– рішення для швидкого системного відновлення та захисту від загроз (вірусів, троянських елементів тощо). http://www.storagecraft.com/ -PowerShadowhttp://www.powershadow.com/ -Deep FreezeПринцип дії програми простий : під час встановлення вона створює образ розділу, який потрібно "заморозити" (freeze) і при наступному перезавантаженні відновлює розділ по цьому образу. Значить розділ не буде схильний до жодних загроз, ні вірусів, ні троянам. http://www.faronics.com/en/Products.aspx -BitDiskBitDisk запам'ятовує стан комп'ютера під час встановлення (включаючи всі встановлені програми, ваші особисті дані, навіть положення піктограм робочого столу ) і в разі чого (наприклад, зараження ПК вірусом або втрата системних файлів) BitDisk без проблем відкотить систему назад. http://www.bitdisk.ru/ Виконання буває в 3-х варіантах: 1) хіпси окремим продуктом. 2) хіпси у файрволах. 3) хіпси в сек'юріті сьютах.
Принцип роботи HIPS
HIPS-система перехоплює всі звернення до ядра ОС
HIPS-система за допомогою власного драйвера перехоплює всі звернення до ядра ОС. У разі спроби виконання потенційно небезпечної дії з боку ПЗ, HIPS-система блокує виконання цієї дії та видає запиткористувачеві, який вирішує дозволити чи заборонити виконання цієї дії.
Основу будь-якої HIPS становить таблиця правил. В одних продуктах вона ніяк не поділяється, в інших – розбивається на проміжні таблиці відповідно до характеру правил (наприклад, правила для файлів, правила для мереж, правила для системних привілеїв тощо), у третіх поділ таблиці відбувається за додатками та їх групами . Ці системи контролюють певні системні події (наприклад, такі як створення або видалення файлів, доступ до реєстру, доступ до пам'яті, запуск інших процесів), і щоразу, коли ці події повинні відбутися, HIPS звіряється зі своєю таблицею правил, після чого діє відповідно до заданих у таблиці налаштувань. Дія або дозволяється, або забороняється, або HIPS ставить користувачеві питання про те, що їй слід зробити в даному конкретному випадку.
Види HIPS* HIPS, в яких рішення приймається користувачем — коли перехоплювач API-функцій перехоплює будь-яку функцію програми, виводиться питання подальшої дії. Користувач повинен вирішити, запускати програму чи ні, з якими привілеями чи обмеженнями її запускати. * HIPS, в яких рішення приймається системою - рішення приймає аналізатор, для цього розробником створюється база даних, до якої занесені правила та алгоритми прийняття рішень. * «Змішана» HIPS система - рішення приймає аналізатор, але коли він не може прийняти рішення або включені налаштування «про прийняття рішень користувачем» рішення та вибір подальших дій надаються користувачеві.Переваги HIPS* Низьке споживання системних ресурсів. * Не вимагають апаратного забезпечення комп'ютера. * Можуть працювати на різнихплатформи. * Висока ефективність протистояння новим загрозам. * Висока ефективність протидії руткітам, які працюють на прикладному рівні (user-mode).Недоліки HIPS* Низька ефективність протидії руткітам, які працюють на рівні ядра. * Велика кількість звернень до користувача. * Користувач повинен мати знання про принципи функціонування ОС. * Неможливість протидії активному зараженню комп'ютера.Приклади HIPS* Kaspersky Internet Security * Agnitum Outpost Security Suite * PC Tools Firewall Plus * Jetico Personal Firewall *