Відкрити головне меню

HIPS (Host-based Intrusion Prevention System) — система запобігання вторгненням. Продукти цього класу управляють правами застосунків на виконання тих чи інших дій, подібно до того, як брандмауер керує мережевим доступом; схожість принципів роботи обумовлює той факт, що нерідко HIPS об'єднуються з брандмауером в складі одного захисного продукту.

Принцип роботиРедагувати

HIPS є засобом проактивного захисту, тобто не містить бази даних сигнатур вірусів і не здійснює їх детектування; таким чином, HIPS оперує не поняттями «легітимний файл — шкідливий файл», а поняттями «дозволена дія — заборонена дія». Ефективність HIPS може добігати до 100% запобігання пошкодження або інфікування системи, однак більшість програм цього класу вимагає від користувача певних знань для управління ними. Відповідно до принципу організації захисту HIPS можуть бути поділені на три істотні групи.

Види HIPSРедагувати

  • Класичні HIPS — системи, оснащені відкритою таблицею правил. На підставі цієї таблиці драйвер и HIPS дозволяють / забороняють певні дії з боку застосунків або запитують користувача про те, що необхідно зробити по відношенню до даної дії. Такий пристрій системи орієнтований на ручне керування дозволами та активну взаємодію з користувачем, що пред'являє високі вимоги до компетентності останнього. Як приклад можуть бути приведені продукти System Safety Monitor і AntiHook.
  • Експертні HIPS, або поведінкові евристики — здійснюють аналіз активності працюючого застосунку. Якщо сукупність дій, що виконуються набуває підозрілий або небезпечний характер, продукт даного типу повідомляє про ймовірну присутність шкідливої програми. Прикладом експертної HIPS може слугувати система ThreatFire (колишній CyberHawk).
  • HIPS типу Sandbox («пісочниця») — реалізують принцип мінімальної взаємодії з користувачем. В їхній основі лежить поділ застосунків на довірені і недовірені; на роботу довірених застосунків HIPS не надає ніякого впливу, в той час як недовірені запускаються в спеціальному просторі, відмежовані від системи. Це дозволяє працювати з підозрілими застосунками без ризику інфікування або пошкодження системи і вивчати звіти про їхню активність. Типові представники цього типу — продукти DefenseWall HIPS та Sandboxie.