基于主機(jī)的IPS保衛(wèi)端點(diǎn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

由于網(wǎng)絡(luò)威脅在數(shù)量上和復(fù)雜度上繼續(xù)加強(qiáng)，一項(xiàng)新技術(shù)提供了又一層的保護(hù)?；谥鳈C(jī)的入侵防護(hù)系統(tǒng)（HIPS）技術(shù)保護(hù)網(wǎng)絡(luò)邊界內(nèi)的端點(diǎn)。它在網(wǎng)絡(luò)設(shè)備和服務(wù)器層面上與（病毒）感染和攻擊做斗爭(zhēng)，在不依靠需要不斷更新特征的情況下，提供一種分層的方法，對(duì)基于網(wǎng)絡(luò)的IPS（入侵防護(hù)系統(tǒng)）的投資起到互補(bǔ)的作用。

HIPS技術(shù)極其精確。它通過實(shí)施一組基礎(chǔ)的軟件協(xié)議而起作用，這個(gè)叫做應(yīng)用二進(jìn)位接口（ABI）的軟件協(xié)議從未改變過。ABI緊跟在應(yīng)用編程接口（API）之后，定義API加上特定CPU的機(jī)器語言。由于這些協(xié)議在編譯過的應(yīng)用程序中是通用的，所以想在遵循ABI的情況下劫持應(yīng)用程序幾乎是不可能的。

部署HIPS通常涉及兩部分：一組代理和一個(gè)管理和報(bào)告界面。HIPS代理是安裝在服務(wù)器上，設(shè)計(jì)在不需要或者只需一點(diǎn)點(diǎn)管理開銷的情況下無限定地運(yùn)行，不需要針對(duì)威脅特征進(jìn)行檢查的情況下，防止進(jìn)入機(jī)器的惡意程序被執(zhí)行。

實(shí)際中，代理通過針對(duì)原件進(jìn)行檢查，連續(xù)驗(yàn)證應(yīng)用程序指令的正確性，防止了無意中被感染的程序代碼被執(zhí)行。它們也捕捉偽裝成用戶數(shù)據(jù)的惡意代碼。此外，它們也進(jìn)行對(duì)程序控制的檢查，以確?？刂频霓D(zhuǎn)換總是符合ABI。這就防止了應(yīng)用程序受騙，將控制交給外部入侵的代碼。它還捕捉代碼復(fù)用攻擊，這是新出現(xiàn)的困擾安全專業(yè)人士的下一代先進(jìn)攻擊技術(shù)。

HIPS管理和報(bào)告界面能實(shí)現(xiàn)成千上萬的代理在整個(gè)企業(yè)網(wǎng)絡(luò)上的部署、管理和更新。此界面常常是基于Web的，以提供通用的訪問能力，它允許網(wǎng)絡(luò)和安全工作人員執(zhí)行配置修改、監(jiān)視警告和查看視圖報(bào)告。很多界面通過SMTP告知專業(yè)人士存在的問題或其他警告。該界面也是分析趨勢(shì)報(bào)告、按策略指定用戶和角色、以及保存綜合審計(jì)追蹤的關(guān)鍵。

部署HIPS能阻止如Sasser蠕蟲的威脅。該蠕蟲利用了微軟操作系統(tǒng)中存儲(chǔ)器缺陷，造成了全世界幾十億美元的損失。這個(gè)以前未知的Sasser代碼穿過未打補(bǔ)丁的防火墻，到達(dá)沒有防護(hù)的服務(wù)器。當(dāng)代碼進(jìn)入沒有防護(hù)服務(wù)器的內(nèi)存時(shí)，它馬上執(zhí)行緩存器溢出，將服務(wù)器系統(tǒng)級(jí)的控制權(quán)交給了遠(yuǎn)端的主機(jī)，實(shí)現(xiàn)在企業(yè)網(wǎng)內(nèi)的進(jìn)一步攻擊。

相反，當(dāng)Sasser進(jìn)入服務(wù)器內(nèi)存時(shí)，被保護(hù)的服務(wù)器中的HIPS代理能檢查出Sasser代碼。代理對(duì)此代碼的實(shí)時(shí)檢查揭示出緩存器溢出機(jī)制，這是一個(gè)違背ABI的過程。在不影響服務(wù)器性能的情況下，它馬上停止代碼的執(zhí)行，并通知管理組件攻擊存在，因而網(wǎng)絡(luò)和安全人員就能開始修補(bǔ)工作。(CCW)