احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

HIPS چیست؟ سیستم تشخیص نفوذ مبتنی بر هاست چیست؟

HIPS چیست؟ سیستم Host Based Intrusion Detection System چیست؟ یکی از اهداف اساسی در امنیت سیستم و کامپیوتر، تامین سلامت و یکپارچگی آن ها میباشد. HIPS یک عنصر با ارزش در شبکه است که در حفظ یکپارچگی Host استفاده میشود. در پیاده سازی های سازمانی، HIPS بصورت مرکزی مدیریت میشود و مدیران سیستم از این طریق پالیسی ها و رول های مختلف را روی تک تک Host ها اجرا میکنند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

نسخه ای از هشدارهای ناشی از فعالیت خرابکارانه یا غیرعادی بر روی Host ها در سیستم مدیریت ذخیره میشود تا در آن جا بتوان آن ها را با یکدیگر Correlate (مرتبط) کرد. HIPS مستقیما بر روی سیستمی که قصد محافظت از آن را داریم، پیاده سازی میشود.سیاست های HIPS میتواند طوری تنظیم شوند تا فعالیت های غیرعادی و یا خرابکارانه را لاگ انداخته و یا جلوی فعالیت آن ها را بگیرند . HIPS عموما شامل چهار تکنولوژی مختلف است:

  1. Host Firewall
  2. Registry Monitor
  3. File integrity monitor
  4. Process یا application behavior monitor
وب سایت توسینسو

Host Firewall چیست؟

فایروال های موجود بر روی Host مانعی را در بین مسیر یک کامپیوتر و دیگر سیستم های خارجی قرار میدهد. تمام اطلاعاتی که به سیستم و یا احیانا از سیستم وارد و یا خارج میشوند، باید قبل از آن که بطور کامل پردازش شوند، از فایروال عبور کنند. فایروال بر روی ترافیک ورودی به Host بازرسی کامل و همچنین عمل port-blocking را انجام میدهد. نوعا فقط پورت های مورد استفاده و لازم باز میمانند و پورت های بلا استفاده بسته خواهند شد.

با این عمل احتمال آلوده شدن سیستم بواسطه پورت های غیر ضروری کاهش میابد. از آنطرف نیز، فایروال اپلیکیشن هایی را که مجاز به ارسال دیتا به بیرون از سیستم هستند را از طریق بررسی یک لیست سفیدی (چک لیست ترافیک مجاز) که در دست دارد، مدیریت میکند.

با این عمل شانس موفقیت اکسپلویت ها و بدافزارها برای تماس معکوس از سیستم با سرورهای معروف به Command & Control کاهش میابد. توصیه میشود فایروال طوری تنظیم شود که در برابر هر دو ترافیک ورودی و خروجی، از لیست سفید (چک لیست ترافیک مجاز) استفاده کند.

Registry Monitor چیست؟

اغلب اطلاعات ساختاری یک ویندوز در رجیستری یافت میشود. رجیستری اطلاعات مربوط به برنامه های نصب شده، ساختاربندی های سیستم عامل، لیست برنامه های اجرا شده و ... را درخود نگهداری میکند. وظیفه Registry Monitor مانیتور و محافظت از این بخش مهم در سیستم عامل است.

برخی از این رصد ها از رجیستری یک snapshot گرفته و سپس بر طبق زمانبندی که برای آن صورت میگیرد، مقادیر فعلی در رجیستری را با snapshot گرفته شده مقایسه میکنند و در صورت وجود تغییرات ناخواسته، آن را شناسایی و هشدار میدهند.نوعی دیگر از این رصدها به این گونه انجام میشود که هر برنامه ای را که بصورت غیرمجاز قصد ایجاد تغییرات در رجیستری را داشته باشد، بصورت لحظه ای بازرسی میکنند.

File Integrity Monitor چیست؟

بمانند Registry Monitor، این بخش نیز تغییرات صورت گرفته در بخش های حساس سیستم و فایل های اپلیکیشن را گزارش میدهد. File Integrity Monitor پیچیده تر این قابلیت را دارد تا از ایجاد تغییرات در فایل های حساس سیستمی بدون دخالت مستقیم کاربر جلوگیری کند. در حقیقت اکثر مانیتورهایی که به منظور یکپارچگی سیستم صورت میپذیرند، قابلیت محافظت از رجیستری و file system را دارند.

Process//Application Behavior Monitor چیست؟

این بخش به مطالعه رفتار فرآیندهایی که بروی سیستم اجرا میشوند می پردازند و در صورتی که اپلیکیشن رفتارهایی را از خود نشان دهد که خارج از عرف و یا رفتارهای مجاز باشد، هشدار خواهد داد. همچنین میتوان آن را طوری ساختاربندی کرد تا جلوی رفتارهای نامتعارف را بگیرد.

این تلاش های غیر نرمال شامل دسترسی به شبکه، ایجاد فایل و تغییرات در دایرکتوری های محافظت شده، اضافه کردن اطلاعات به بخش های حساس رجیستری، خواندن فایل های حساس، دسترسی بیش از حد به مموری، اجرای یک اپلیکیشن جدید، فراخوانی توابع دارای سطح دسترسی، لود کردن کتابخانه هایی که Untrust هستند و .... میباشند.

وب سایت توسینسو

برای آن که HIPS اثرگذاری خود را داشته باشد، باید دقت داشته باشیم که ذاتا خود HIPS دارای یک پالیسی منظم و خوب تعریف شده است. سازنده ها بطور پیش فرض بسیاری از رول ها در محصول خود گنجانده اند اما وظیفه مدیر سیستم است

تا این رول ها را با توجه به شرایط محیطی و شبکه خود اولویت بندی کرده و ریسک هایی که با آن روبرو هستند را به محصول معرفی کند.این احتمال وجود دارد که برخی از رول های از پیش تعریف شده با فعالیت های تجاری شما تضاد داشته باشند. در صورت بروز چنین رویدادی، باید با تعریف مجدد آن رول، موارد مختل کننده را جزو استثتائات آن رول بشمار آورد و یا آن که تا وقتی که لازم است رول مورد نظر را غیر فعال نمود.


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات