什么是信息安全中的主机入侵防御系统?
基于主机的入侵防御系统 (HIPS) 是一种用于保护关键计算机系统(包括重要数据)免受病毒和某些互联网恶意软件攻击的系统或程序。从网络层一直到应用层,HIPS 都可以确保防止已知和未知的恶意攻击。
HIPS 定期检查单个主机的功能以及主机内发生的各种事件,以查找可疑活动。HIPS 可以部署在多种类型的机器上,例如服务器、工作站和计算机。
基于主机的 IPS 是一种入侵防御软件驻留在特定 IP 地址上的系统,通常位于单个计算机上。HIPS 补充了传统的基于指纹和启发式的防病毒检测方法,因为它不需要持续升级来领先于新的恶意软件。
现有 HIPS 的一个缺点是需要大量的系统资源,这些 HIPS 将防火墙、系统级操作控制和沙盒集成到一个统一的检测网络中,并建立在传统的防病毒产品的基础之上。
这种广泛的保护方案可能适用于经常在不受信任的环境中运行的笔记本电脑(例如,在咖啡馆或机场 Wi-Fi 网络中),但强大的防御措施会影响电池续航时间,并明显降低计算机的通用响应能力,因为 HIPS 保护组件和传统的防病毒产品会测试 PC 上的每个文件,以查看它是否为恶意软件,并将其与庞大的黑名单进行对比。
或者,如果 HIPS 与使用白名单技术的防病毒产品结合使用,则系统资源的需求就会大大减少,因为 PC 上的一些应用程序是受信任的(列入白名单)。因此,HIPS 作为应用程序,成为传统防病毒产品的真正替代品。
HIPS 需要一个被监控的系统对象数据库,通过分析系统调用、软件日志和文件系统修改(二进制文件、密码文件、功能数据库和访问控制列表)来识别入侵。对于每个有问题的对象,HIPS 学习每个对象的属性并生成内容的校验和。这些信息将保存在安全数据库中,以便以后进行比较。
系统还会验证内存的适当区域是否未被更改。通常,它不需要病毒模式来检测恶意软件,而是维护一个受信任程序列表。违反其权限的程序将被阻止执行未经批准的操作。
HIPS 有几个优点。首先也是最重要的是,企业和家庭用户可以获得增强的保护,防止未知的恶意攻击。HIPS 使用了一种特殊的规避系统,与传统的保护措施相比,它有更高的机会阻止此类攻击。使用此类系统的另一个优点是无需运行和处理多个安全应用程序来保护 PC,包括防病毒软件、反间谍软件和防火墙。