基于主機的IPS保衛(wèi)端點

申請免費試用、咨詢電話：400-8352-114

由于網絡威脅在數量上和復雜度上繼續(xù)加強，一項新技術提供了又一層的保護。基于主機的入侵防護系統(tǒng)（HIPS）技術保護網絡邊界內的端點。它在網絡設備和服務器層面上與（病毒）感染和攻擊做斗爭，在不依靠需要不斷更新特征的情況下，提供一種分層的方法，對基于網絡的IPS（入侵防護系統(tǒng)）的投資起到互補的作用。

HIPS技術極其精確。它通過實施一組基礎的軟件協議而起作用，這個叫做應用二進位接口（ABI）的軟件協議從未改變過。ABI緊跟在應用編程接口（API）之后，定義API加上特定CPU的機器語言。由于這些協議在編譯過的應用程序中是通用的，所以想在遵循ABI的情況下劫持應用程序幾乎是不可能的。

部署HIPS通常涉及兩部分：一組代理和一個管理和報告界面。HIPS代理是安裝在服務器上，設計在不需要或者只需一點點管理開銷的情況下無限定地運行，不需要針對威脅特征進行檢查的情況下，防止進入機器的惡意程序被執(zhí)行。

實際中，代理通過針對原件進行檢查，連續(xù)驗證應用程序指令的正確性，防止了無意中被感染的程序代碼被執(zhí)行。它們也捕捉偽裝成用戶數據的惡意代碼。此外，它們也進行對程序控制的檢查，以確保控制的轉換總是符合ABI。這就防止了應用程序受騙，將控制交給外部入侵的代碼。它還捕捉代碼復用攻擊，這是新出現的困擾安全專業(yè)人士的下一代先進攻擊技術。

HIPS管理和報告界面能實現成千上萬的代理在整個企業(yè)網絡上的部署、管理和更新。此界面常常是基于Web的，以提供通用的訪問能力，它允許網絡和安全工作人員執(zhí)行配置修改、監(jiān)視警告和查看視圖報告。很多界面通過SMTP告知專業(yè)人士存在的問題或其他警告。該界面也是分析趨勢報告、按策略指定用戶和角色、以及保存綜合審計追蹤的關鍵。

部署HIPS能阻止如Sasser蠕蟲的威脅。該蠕蟲利用了微軟操作系統(tǒng)中存儲器缺陷，造成了全世界幾十億美元的損失。這個以前未知的Sasser代碼穿過未打補丁的防火墻，到達沒有防護的服務器。當代碼進入沒有防護服務器的內存時，它馬上執(zhí)行緩存器溢出，將服務器系統(tǒng)級的控制權交給了遠端的主機，實現在企業(yè)網內的進一步攻擊。

相反，當Sasser進入服務器內存時，被保護的服務器中的HIPS代理能檢查出Sasser代碼。代理對此代碼的實時檢查揭示出緩存器溢出機制，這是一個違背ABI的過程。在不影響服務器性能的情況下，它馬上停止代碼的執(zhí)行，并通知管理組件攻擊存在，因而網絡和安全人員就能開始修補工作。(CCW)