HIPS (Host-based Intrusion Prevention System)


HIPS (Host-based Intrusion Prevention System) — система предотвращения вторжений. С помощью продуктов данного класса, осуществляют управление правами приложений на выполнение тех или иных действий (наподобие того, как брандмауэр управляет сетевым доступом). Часто HIPS объединяются с брандмауэром в составе одного защитного продукта.


Принцип работы
HIPS является средством проактивной защиты, то есть не содержит базы данных сигнатур вирусов и не осуществляет их детектирование. Таким образом, HIPS оперирует не понятиями "легитимный файл — вредоносный файл", а понятиями "разрешенное действие — запрещенное действие". 100 % эффективность HIPS, предотвращения повреждения или инфицирования системы, возможна. Однако большинство программ этого класса требует от пользователя определенных знаний для управления ими. В соответствии с принципом организации защиты HIPS могут быть подразделены на три основные группы.


Виды HIPS

  • Классические HIPS — системы, оснащенные открытой таблицей правил. На основании этой таблицы драйверы HIPS разрешают или запрещают определенные действия со стороны приложений либо запрашивают пользователя о том, что необходимо предпринять по отношению к данному действию. Такое устройство системы ориентировано на ручное управление разрешениями и активное взаимодействие с пользователем, что предъявляет высокие требования к компетентности последнего;

  • Экспертные HIPS, или поведенческие эвристики — осуществляют анализ активности работающего приложения. Если совокупность выполняемых действий приобретает подозрительный или опасный характер, продукт данного типа сообщает о вероятном присутствии вредоносной программы;

  • HIPS типа Sandbox (песочница) — реализуют принцип минимального взаимодействия с пользователем. В их основе лежит разделение приложений на доверенные и не доверенные. На работу доверенных приложений HIPS не оказывает никакого воздействия, в то время как не доверенные запускаются в специальном пространстве, отграниченном от системы. Это позволяет работать с подозрительными приложениями без риска инфицирования или повреждения системы и изучать отчеты об их активности.