Содержание |
Принцип работы HIPS
HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.
Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. Эти системы контролируют определенные системные события (например, такие, как создание или удаление файлов, доступ к реестру, доступ к памяти, запуск других процессов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.
Особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. Как правило, приложения деляться на доверенные и недоверенные, а также возможны промежуточные группы (например, слабо ограниченные и сильно ограниченные). Доверенные приложения никак не ограничиваются в своих правах и возможностях, слабо ограниченным запрещаются наиболее опасные для системы действия, сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а недоверенные не могут выполнять практически никаких системных действий.
Правила HIPS содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). В зависимости от типа объекта правила разделяются на три группы:
- файлы и системный реестр (объект – файлы, ключи реестра);
- системные права (объект – системные права на выполнение тех или иных действий);
- сети (объект – IP-адреса и их группы, порты и направления).
Виды HIPS
- HIPS, в которых решение принимается пользователем — когда перехватчик Application Programming Interface (API)-функций перехватывает какую либо функцию приложения, выводится вопрос о дальнейшем действии. Пользователь должен решить, запускать приложение или нет, с какими привилегиями или ограничениями его запускать.
- HIPS, в которых решение принимается системой — решение принимает анализатор, для этого разработчиком создается база данных, в которую занесены правила и алгоритмы принятия решений.
- «Смешанная» HIPS система — решение принимает анализатор, но когда он не может принять решение или включены настройки «о принятии решений пользователем» решение и выбор дальнейших действий предоставляются пользователю.
Преимущества HIPS
- Низкое потребление системных ресурсов.
- Не требовательны к аппаратному обеспечению компьютера.
- Могут работать на различных платформах.
- Высокая эффективность противостояния новым угрозам.
- Высокая эффективность противодействия руткитам, работающим на прикладном уровне (user-mode).
Недостатки HIPS
- Низкая эффективность противодействия руткитам, работающим на уровне ядра.
- Большое количество обращений к пользователю.
- Пользователь должен обладать знаниями о принципах функционирования ОС.
- Невозможность противодействия активному заражению компьютера.
Примеры HIPS
- Kaspersky Internet Security
- Agnitum Outpost Security Suite
- PC Tools Firewall Plus
- Jetico Personal Firewall
- Comodo Internet Security