Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » HIPS - Host-based Intrusion Prevention System

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Открыть новую тему     Написать ответ в эту тему

alt76



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HIPS

Основная задача HIPS - отслеживать активность ОС в режиме реального времени и предотвращать нежелательные действия от различных вредоносных и шпионских программ, т.е. основная задача HIPS – не допустить выполнения вредоносных действий со стороны любого приложения.
В теории подобное ПО является отличной альтернативой антивирусам т.к. позволяет засечь "заразу" по характерным особенностям ее поведения без использования сигнатурных баз требующих постоянного обновления.
Подобные системы скорее ориентированны на компьютерных спецов, которые обладают более менее достаточной квалификацией чтоб отличить полезное действие от злонамеренного.


В  соответствии  с принципом  организации  защиты  HIPS  могут  быть  
подразделены на три основные группы
:  
 
1) Классические  HIPS  
К этому типу можно отнести:
- 360.cn Malware Defender (бывш Torchsoft) - FREE, неплохие показатели в тестах
- OSSS (Online Solutions Security Suite) - платная, неплохие показатели в тестах
- Jetico Personal Firewall - платная, слабые результаты в тестах
- Real-time Defender Professional (бывший ProSecurity) - развивается пока только как RTD Smart
- CA Host-Based Intrusion Prevention System r8.1 (CA HIPS - бывший Tiny Personal Firewall)
- Safe'n'Sec Enterprise Pro - не развивается
- Ghost Security Suite (AppDefend, RegDefend) - не развивается
 
2) Экспертные    HIPS
К этому типу можно отнести:
- Comodo Internet Security - лидирует в тестах, FREE, активно развивается, с 4 версии так же включает в себя и sandbox
- Privatefirewall (ранее Dynamic Security Agent) - FREE, средние показатели в тестах
- Prevx  
- PCTools ThreatFire (Cyberhawk)  
- McAfee Host Intrusion Prevention for Desktops and Servers    
Так же данный вид ХИПСы встроен в многих антивирусах и имеет различные названия (модуль проактивной защиты, поведенческий анализатор, эвристика).
 
3) HIPS    типа    Sandbox («песочница»)
Типичные представители данного типа:
- DefenseWall HIPS  
- Sandboxie  
ориентированные на систему в целом:
- Returnil Virtual System
- Shadow Defender
- ShadowProtect и ShadowServer
- PowerShadow
- Deep Freeze
- BitDisk


Исполнение бывает в 3-х вариантах:
1) хипсы отдельным продуктом.
2) хипсы в файрволах.  
3) хипсы в секьюрити сьютах.


Предлагаем для начала ознакомиться с результатами тестирования различных HIPS:
multimania.fr от 17.07.2007 г.
а так же более свежее (23.05.2010) тестирование проактивной защиты от matousec.com:
 
 
Софт для тестирования HIPS:
На matousec (Подробнее)
На virusinfo
Comodo Buffer Overflow Test x86 x64
Comodo Leak Tests.  
 
 
результаты тестов matousec Proactive Security Challenge 64
 
 
 
Это мой (kosjachok) вариант исполнения шапки, старая шапка здесь #

Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 13:48 25-08-2007 | Исправлено: DrakonHaSh, 15:49 21-07-2015
bornbill



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alt76
в реале мной используется
Блокирование изменения автозагрузки(setacl + скрипты)
не против был бы ультра маленькой hisp системы.... не грузящей ни систему ни бедного пользователя своими тревогами, и мечтами тоесть хотелось бы просто указать в какие папки нельзяписать файлы с указанными расширениям этк
 
Добавлено:
забыл добавить также блокируется любой исходящий траффик на 25 порт (gpedit.msc)
сервер смтп расположен на 26 чем я фильтрую исходящий спам траффик

Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 13:57 25-08-2007
alt76



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
тоесть хотелось бы просто указать в какие папки нельзяписать файлы с указанными расширениям этк

По моему подобный функционал есть у ProSecurity. Насколько хорошо он работает не скажу
 

Цитата:
не грузящей ни систему ни бедного пользователя своими тревогами, и мечтами

подобные системы ориентированны скорее не на бедного пользователя , а на продвинутого спеца
 
 
Добавлено:
bornbill
какой конкретно софт используешь ?

Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 14:11 25-08-2007
bornbill



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alt76
плохо он работает... с момента твоего поста прошёлся по разным hisp и понял что от старфорс как всегда на высоте, но нет таблетки от жадности....

Цитата:
а на продвинутого спеца

вообщето HISP системы изначально придуманы были ,как понятие, как часть корпоративной безопасности тоесть как приятное добавление к антивирусу внутри организации....
 
тоесть есть организация в которой работают пользователи, на PC которых стоят HISP системы которые работают по правилам настроенным системным администратором системы, и пользователю видеть злобные окошки с выкриками ни всегда обязательно(чаще всего нервы пользователей и системного администратора не железные), иногда проще заразится а уж потом в спокойной обстановке системный администратор произведет восстановление системы....
 
тоесть есть правила которые нарушать не льзя по мнению сисадмина и нарушать некому не позволено, и сообщать об этом страдающему пользователю который хочет поставить себе игрушку, или пропатчить оную пинчем необязательно...
 

Цитата:
какой конкретно софт используешь ?

мозг+руки
 
Блокирую на изменение ветки реестра(взятые из autoruns)
С помощью Setacl и самописных скриптов....
 
а gpedit.msc правлю политики так чтобы нельзя было испускать на 25 порт
 
Стоит NOD32 и всё мирно себе работает не напрягается
 
В случаях заражения(что бывает редко но бывает) прохожусь AVZ...
Потомучто элементарное блокирование автозагрузки спасает от 90% зловредных программ, сюда есстественно не поподают все качественные руткиты. есть списки файлов сделанные утилиткой filelist, которые иногда сравниваются с шаблон один раз в день в конце рабочего дня дабы сообщить мне о всех новых exe,com,bat,cmd,sys,dll,vxd в системных файлах... как итог изменения получаю на почту.... опять же в случае правильных руткитов это не спасает....
 
В идеале мечтаю:
диск поделен на
С:System
D:Backup+Data
E:Winpe.
 
Каждый день при первом старте стартует WinPE отслеживает изменения в системных файлах, и отправляет их мне на автоматический(viruslist.com), полуавтоматический анализ(мне на почту), если необходимо то затирает указанные файлы, и восстанавливает реестр.
 
Такой себе осовремененный Adinf
 
Таким образом получим, присмотр за системой+возможность её быстрого восстановления+отсутствия процессов,программ перехватывающих всё и вся...

Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 14:38 25-08-2007 | Исправлено: bornbill, 14:55 25-08-2007
cracklover



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
хм... продукты платные.. 34-35 баксов не лишние(

----------
Когда-то я вёл авторскую музыкальную передачу на радио. Можно послушать!

Всего записей: 6631 | Зарегистр. 04-10-2004 | Отправлено: 14:44 25-08-2007
alt76



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
хм... продукты платные.. 34-35 баксов не лишние(

есть бесплатный Dynamic Security Agent по тестам он не так уж плох
ну и вечно триальный варез еще никто не отменял
 
Добавлено:
bornbill

Цитата:
плохо он(ProSecurity) работает...

да, я тоже как-то тестировал его в VMware - файлы у него защищать как-то не получалось
 

Цитата:
с момента твоего поста прошёлся по разным hisp и понял что от старфорс как всегда на высоте, но нет таблетки от жадности....

Насчет старфорса согласен
В принципе еще неплохое впечатление на меня произвел System Safety Monitor. Защиту файлов авторы обещали сделать летом Пока еще не сделали

Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 14:51 25-08-2007 | Исправлено: alt76, 14:52 25-08-2007
bornbill



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

имхо тема не для обсуждения ценовой политики компаний производителей и методов обхода ограничений а рассуждения на тему какая hisp система лучше, кто что пользует и каковы результаты данного использования
 
А по делу к примеру ProSecurity странным образом просыпается при своём деинсталле (защита файлов)
 
System Safety Monitor-- не полностью контролит автозагрузку, что теоритически может привести к заражению зловредным ПО

Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 15:01 25-08-2007 | Исправлено: bornbill, 15:08 25-08-2007
iglezz

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
мозг+руки

самый важный компонент вобще любой системы
 
winpooch подходит под определение hips? если да, то вот еще один бесплатный (даже opensource)
 

Цитата:
В идеале мечтаю:  
диск поделен на  
С:System  
D:Backup+Data  
E:Winpe.  
 
Каждый день при первом старте стартует WinPE отслеживает изменения в системных файлах, и отправляет их мне на автоматический(viruslist.com), полуавтоматический анализ(мне на почту), если необходимо то затирает указанные файлы, и восстанавливает реестр.  
 
Такой себе осовремененный Adinf

это сколько же времени уйдет на загрузку системы, если вдруг случится перезагрузка?

Всего записей: 1521 | Зарегистр. 18-02-2003 | Отправлено: 15:11 25-08-2007
bornbill



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iglezz
один раз в начале рабочего дня...
+ имхо на отлаженной системе перезагрузок не бывает
минут 10-15 зато это гарантирует спокоствие пользователю и сис администратору в целосности ситемы и отсутствие проникновения зловредного ПО
также онли имхо процессорного времени HISP системы набежит не меньше за рабочий день
 
 
winpooch уже почти понравился  
 
его минусы,  
-доступ к окну нельзя запретить паролем
-очень интенсивно(жестоко я бы даже заметил) работает с винтом если включенны по умолчанию правила для сети....
 
ну а вс остальное как бы решаемо
 бум тестить на профпригодность с борьбой против руткитов....
 
Протестил проф пригодность равна нулю....
 
3 из 5 руткитов под рукой которые были пропустил и ни как не реагировал на создание ими exe шников запрещённых, наблюдаются интерфейсные глюки, более 12 Bsod в драйвере

Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 15:32 25-08-2007 | Исправлено: bornbill, 17:42 25-08-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мое мнение - HIPS - альтернатива антивирусам и файрволам  -  не совсем точное название.
Не все существующие HIPS умеют работать с сетью (например ProcessGuard) + не защитят от входящих соединений.
Есть предложние - HIPS - как альтернатива антивирусам.
 
cracklover

Цитата:
хм... продукты платные.. 34-35 баксов не лишние(

А теперь представь, что ты купил Tiny фаервол - там уже есть HIPS.
Причем по конфигурации он намного удобнее и интереснее чем ProcessGuard.
Посчитай свою экономию.

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 20:51 25-08-2007
maispovis



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1) Safe'n'Sec - гавнище редкостное. создал тест на выход в сеть с инжнктом в виндовс обновлятор. Эта"поделка" и не пикнула. хотя каспер HIPS сечет норм.
 
2) ну не верю я что у ProSecurity прям super HIPS,  скорее тест это пиар того чему она может противостоять. Приходилось както тестироать проги этой конторы Анти Троян Элит(вдумайтесь название то какое) ..и ничегошеньки незнаем, даж стареньких пионЭров...

Всего записей: 985 | Зарегистр. 01-02-2006 | Отправлено: 01:30 26-08-2007 | Исправлено: maispovis, 20:42 03-10-2007
alt76



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
решил попробовать winpooch - открываю bred3-ом boot.ini, правлю, нажимаю ESC - BSOD
диагноз - в топку
 
Добавлено:
решил поискать на яндексе "ProSecurity System Safety Monitor"
первая строка - руборд
там месага от NightHorror:

Цитата:
Host Intrusion Prevention System - специализированный программный продукт для поведенческого анализа и контроля активности приложений. То что мы видим в аутпосте или джетике (ну и в других фаерах тоже) как попытки повлиять на адресное пространство/состояние чужих процессов: запись в чужое адр. пр-во, создание удаленных потоков, приостановка/возобновление потоков, установка системных хуков и т.д. Там много способов воздействия. В фаерах реализованы ограниченные функционально зачатки такой защиты (проактивной), но тем не менее они зачастую способны отловить/не дать запуститься трою. Ну а специализированные HIPS'ы - те предназначены для тотального контроля и защиты как приложений так и реестра от потенциально вредоносных действий. Очень хорошие решения - System Safety Monitor и Prosecurity HIPS. На сегодняшний день, с ними и имея голову на плечах возможно полностью застраховаться от заражения компа троем или руткитом. За исключением, возможно, применения против твоего компа какого-нибудь приватного сплоита тонн за 20 килобаксов, использующего малоизвестную уязвимость оси. Ну тут надо заплатками обновляться вовремя.


Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 16:12 26-08-2007
bornbill



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
maispovis
если верно настроиш правила наступит тебе счастье....
 
 
У каспера есть большой минус, он не имеет правил для контроля чего и где в том же реестре
Например посмотри эти темы до конца
НОД vs Kasper 7.0
Защита в Kaspersky Internet Security и Anti-Virus 6.0.х
 
из этих тем видно что иногда даже проактивная защита каспера, имеет дыры которые никак не отрегулируеш...
 
А системы HISP дают возможность контролить... то что хочет пользователь и запрещать ессено..

Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 18:42 26-08-2007
alt76



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ВОТ еще один тест нарыл по 38 файрволам (HIPS там относят похоже тоже к Firewall )
 
Excellent:
1.  Comodo Firewall Pro 2.4.18.184FREE
2.  Jetico Personal Firewall 2.0.0.28 beta
Very good:
3.  ProSecurity 1.40 beta 1
4.  Outpost Firewall PRO 4.0 (1024.700.292)
5.  ZoneAlarm Pro 7.0.362.000
6.  Lavasoft Personal Firewall 2.0.1019.7604 (700)
7.  Online Armor Personal Firewall 2.0.1.204
8.  Kaspersky Internet Security 7.0.0.119
9.  System Safety Monitor 2.4.0.617 beta
10. Jetico Personal Firewall 1.0.1.61 FreewareFREE
11. Privatefirewall 5.0.8.11
12. Ghost Security Suite [BETA] 1.110
...
None, т.е. хуже, чем Very poor
38 Windows Firewall XP SP2FREE

Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 11:16 01-09-2007 | Исправлено: alt76, 11:30 01-09-2007
maispovis



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bornbill
ненадо мне такого счастья
есесно настраивал...

Всего записей: 985 | Зарегистр. 01-02-2006 | Отправлено: 20:48 01-09-2007
Mylord666

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
...Если есть "железный" файрвол (то бишь линаксовый фильтр пакетов в роутере) - HIPS, как мне кажется - самое то...

Всего записей: 819 | Зарегистр. 19-11-2006 | Отправлено: 03:00 02-09-2007
clancy



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Страшная вещь эта ProSecurity, хотя понравилась, но систему грузит, да и русский язык не помешал бы. System Safety Monitor попроще будет, пользуюсь пока им.
Сам не пробовал, но может для защиты лучше использовать Shadow User?

Всего записей: 1144 | Зарегистр. 04-12-2006 | Отправлено: 16:16 06-09-2007
alt76



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Страшная вещь эта ProSecurity, хотя понравилась, но систему грузит

Ща юзаю 1.40.beta2, тоже понравилась, правда принцип ее работы на 100% не усек, но впечатление очень даже вери гуд.
Тормозов от ее юзания, кста, не заметил.

Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 13:35 07-09-2007
BlackXSun

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Несколько лет назад работал сисадмином в интернет клубе. Первоочередная задача при открытии клуба была - поиск программы администрирования клуба которую бы нельзя было бы ломануть (поиграться на халяву). Опробовав не много не мало около пары десятков таких программ все таки такой софт был найден (рекламировать не буду, кому интересно в личку). Не утверждаю, что ее вообще никак нельзя ломануть, но пару знакомых хакеров сломать не смогли. Может хакеры некудышние (но предыдущие подопытные образцы ломали), может возиться не захотели, но вывод - простому смертному юзеру не ломануть.
Обеспечение взломоустойчивости этой программы со стороны клиетна организованно таким макаром: В операционку, как и в HIPS системах вшивается модуль, который перехватывает все процессы. При первом запуске любого из процессов, программа не дает ему запускаться и одновременно снимает с него показания (контрольную сумму и путь запуска, что исключает подмену файла). Администратор может указать программе стоит ли вообще когда либо разрешать запускаться этому процессу и если стоит то при каком тарифе. При блокировании компьютера (когда у клиента заканчиваеться время) абсолютно все процессы "гасяться". Зная архитектуру программы я счел лишним устанавливать антивирус на клиентские машины. За три года работы в салоне небыло ниодного заражения клиентских компов (все работали под админскими правами) при том, что все компы каждый день по несколько часов "выходили" в интернет. Ну а какие сайты посищают посетители интернет салонов наверное все догадываються (Вы даже не догадываетесь ). Естественно тела вирусов я частенько находил в темпах IE, но ниодного заражения !!!
 
Вопросы:
1. Интересно мне просто везло или это действительно возможно (может просто не нарывались на вирусов способных обойти эту защиту)???
2. Из вышеобсуждаемых HIPS систем есть с похожим функциолналом (в которой тупо можно указать какие процессы можно запускать, а какие нет)??? Сейчас в конторе которую я админю, все работают под ограниченным доступом (тупо "пользователь"). Хотелось бы вообще на рабочих местах отказаться от антивирусов как таковых (ну можно сканером прогонять раз в месяц - "трупы пособирать").
3. Раз уж затронул ограниченный доступ - какова вероятность подцепить какую либо заразу работая под ограниченным доступом вообще без защиты ??? Если можно поподробнее.

Всего записей: 160 | Зарегистр. 12-04-2006 | Отправлено: 19:45 02-10-2007 | Исправлено: BlackXSun, 19:48 02-10-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BlackXSun

Цитата:
 1. Интересно мне просто везло или это действительно возможно (может просто не нарывались на вирусов способных обойти эту защиту)???

Нет, это не тебе везло...    Способы....если без подробностей ... очень дорого

Цитата:
 2. Из вышеобсуждаемых HIPS систем есть с похожим функциолналом (в которой тупо можно указать какие процессы можно запускать, а какие нет)??? Сейчас в конторе которую я админю, все работают под ограниченным доступом (тупо "пользователь"). Хотелось бы вообще на рабочих местах отказаться от антивирусов как таковых (ну можно сканером прогонять раз в месяц - "трупы пособирать").  
 
ProSecurity очень понравился, другие особо не тестировал.Также рекомендую тебе посетить их форум,
особенно раздел BUGS   Еще есть фаеры с HIPS - из них самый сильный HIPS в Tiny.

Цитата:
 3. Раз уж затронул ограниченный доступ - какова вероятность подцепить какую либо заразу работая под ограниченным доступом вообще без защиты ??? Если можно поподробнее.
В общем - не панацея, но как вариант тоже имеет право жить.
 
То что ты просишь называется"белый список"+"раздача прав приложениям". Нормально реализован лишь в Tiny и появилась основа в Comodo Firewall Pro V 3.0.9.229beta.Возможно, были еще программы,но я не встречал.

Цитата:
 Обеспечение взломоустойчивости этой программы со стороны клиетна организованно таким макаром
А ты о какой программе говоришь?

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 22:55 02-10-2007 | Исправлено: KUSA, 23:18 02-10-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Компьютерный форум Ru.Board » Компьютеры » Программы » HIPS - Host-based Intrusion Prevention System


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru