2010/05/11 23:24:26

HIPS

HIPS (Host Intrusion Prevention Systems) — система отражения локальных угроз. HIPS контролирует работу запущенных приложений и блокирует выполнение опасных операций.

Содержание

Принцип работы HIPS

HIPS-система перехватывает все обращения <!--LINK 0:0--> к ядру <!--LINK 0:1-->
HIPS-система перехватывает все обращения ПО к ядру ОС

HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.

Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. Эти системы контролируют определенные системные события (например, такие, как создание или удаление файлов, доступ к реестру, доступ к памяти, запуск других процессов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.

Особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. Как правило, приложения деляться на доверенные и недоверенные, а также возможны промежуточные группы (например, слабо ограниченные и сильно ограниченные). Доверенные приложения никак не ограничиваются в своих правах и возможностях, слабо ограниченным запрещаются наиболее опасные для системы действия, сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а недоверенные не могут выполнять практически никаких системных действий.

Правила HIPS содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). В зависимости от типа объекта правила разделяются на три группы:

  • файлы и системный реестр (объект – файлы, ключи реестра);
  • системные права (объект – системные права на выполнение тех или иных действий);
  • сети (объект – IP-адреса и их группы, порты и направления).

Виды HIPS

  • HIPS, в которых решение принимается пользователем — когда перехватчик Application Programming Interface (API)-функций перехватывает какую либо функцию приложения, выводится вопрос о дальнейшем действии. Пользователь должен решить, запускать приложение или нет, с какими привилегиями или ограничениями его запускать.
  • HIPS, в которых решение принимается системой — решение принимает анализатор, для этого разработчиком создается база данных, в которую занесены правила и алгоритмы принятия решений.
  • «Смешанная» HIPS система — решение принимает анализатор, но когда он не может принять решение или включены настройки «о принятии решений пользователем» решение и выбор дальнейших действий предоставляются пользователю.

Преимущества HIPS

  • Низкое потребление системных ресурсов.
  • Не требовательны к аппаратному обеспечению компьютера.
  • Могут работать на различных платформах.
  • Высокая эффективность противостояния новым угрозам.
  • Высокая эффективность противодействия руткитам, работающим на прикладном уровне (user-mode).

Недостатки HIPS

  • Низкая эффективность противодействия руткитам, работающим на уровне ядра.
  • Большое количество обращений к пользователю.
  • Пользователь должен обладать знаниями о принципах функционирования ОС.
  • Невозможность противодействия активному заражению компьютера.

Примеры HIPS