opt_step
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Принцип работы HIPS
HIPS-система перехватывает все обращения ПО к ядру ОС
HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.
Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. Эти системы контролируют определенные системные события (например, такие, как создание или удаление файлов, доступ к реестру, доступ к памяти, запуск других процессов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.
Особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. Как правило, приложения деляться на доверенные и недоверенные, а также возможны промежуточные группы (например, слабо ограниченные и сильно ограниченные). Доверенные приложения никак не ограничиваются в своих правах и возможностях, слабо ограниченным запрещаются наиболее опасные для системы действия, сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а недоверенные не могут выполнять практически никаких системных действий.
Правила HIPS содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). В зависимости от типа объекта правила разделяются на три группы: - файлы и системный реестр (объект – файлы, ключи реестра); - системные права (объект – системные права на выполнение тех или иных действий); - сети (объект – IP-адреса и их группы, порты и направления).
Виды HIPS
* HIPS, в которых решение принимается пользователем — когда перехватчик API-функций перехватывает какую либо функцию приложения, выводится вопрос о дальнейшем действии. Пользователь должен решить, запускать приложение или нет, с какими привилегиями или ограничениями его запускать.
* HIPS, в которых решение принимается системой — решение принимает анализатор, для этого разработчиком создается база данных, в которую занесены правила и алгоритмы принятия решений.
* «Смешанная» HIPS система — решение принимает анализатор, но когда он не может принять решение или включены настройки «о принятии решений пользователем» решение и выбор дальнейших действий предоставляются пользователю.
Преимущества HIPS
* Низкое потребление системных ресурсов.
* Не требовательны к аппаратному обеспечению компьютера.
* Могут работать на различных платформах.
* Высокая эффективность противостояния новым угрозам.
* Высокая эффективность противодействия руткитам, работающим на прикладном уровне (user-mode).
Недостатки HIPS
* Низкая эффективность противодействия руткитам, работающим на уровне ядра.
* Большое количество обращений к пользователю.
* Пользователь должен обладать знаниями о принципах функционирования ОС.
* Невозможность противодействия активному заражению компьютера.
Примеры HIPS
* Kaspersky Internet Security
* Agnitum Outpost Security Suite
* PC Tools Firewall Plus
* Jetico Personal Firewall
* Comodo Internet Security
Есть желание в доработке шапки |
Всего записей: 11236 | Зарегистр. 10-09-2008 | Отправлено: 11:55 28-05-2010 | Исправлено: opt_step, 11:56 28-05-2010 |
|
