Host Intrusion Prevention System (HIPS)
Was ist ein Host Intrusion Prevention System (HIPS)?
Host-basierte Intrusion-Prevention-Systeme werden in der Regel zum Schutz von Endgeräten eingesetzt. Sobald eine böswillige Aktivität erkannt wird, kann das HIPS-Tool eine Reihe von Maßnahmen ergreifen. Beispielsweise einen Alarm an den Computerbenutzer senden, die böswillige Aktivität für künftige Untersuchungen protokollieren, die Verbindung zurücksetzen, böswillige Pakete verwerfen und nachfolgenden Datenverkehr von der verdächtigen IP-Adresse blockieren. Einige Host-Intrusion-Prevention-Systeme ermöglichen es den Benutzern, Protokolle bösartiger Aktivitäten und Fragmente verdächtigen Codes direkt an den Hersteller zur Analyse und möglichen Identifizierung zu senden.
Viele Host-Intrusion-Prevention-Systeme verwenden bekannte Angriffsmuster, so genannte Signaturen, um bösartige Aktivitäten zu erkennen. Die signaturbasierte Erkennung ist wirksam, kann das Host-Gerät aber nur vor bekannten Angriffen schützen. Sie kann nicht vor Zero-Day-Angriffen oder Signaturen schützen, die sich nicht bereits in der Datenbank des Anbieters befinden.
Ein zweiter Ansatz zur Erkennung von Eindringlingen legt eine Basislinie für normale Aktivitäten fest und vergleicht dann die aktuellen Aktivitäten mit dieser Basislinie. Das HIPS sucht nach Anomalien, einschließlich Abweichungen bei Bandbreite, Protokollen und Ports. Wenn die Aktivität außerhalb eines akzeptablen Bereichs liegt, zum Beispiel. wenn eine Remote-Anwendung versucht, einen normalerweise geschlossenen Port zu öffnen, ist möglicherweise ein Eindringen im Gange. Eine Anomalie, wie zum Beispiel ein plötzlicher Anstieg der Bandbreitennutzung, ist jedoch keine Garantie für einen tatsächlichen Angriff, so dass dieser Ansatz auf eine fundierte Vermutung hinausläuft und die Wahrscheinlichkeit von Fehlalarmen hoch sein kann.
Eine dritte gängige Methode zur Erkennung von Eindringlingen verwendet die zustandsabhängige Prüfung, um die tatsächlichen Protokolle in den Paketen, die das Netzwerk passieren, zu bewerten. Die Analyse wird als zustandsorientiert bezeichnet, weil das Malware-Präventionstool den Zustand der einzelnen Protokolle verfolgt. Es versteht beispielsweise, wie TCP- und UDP-Pakete DNS, SMTP, HTTP und andere Protokolle übertragen können oder nicht - und welche Werte in den einzelnen Paketen der einzelnen Protokolle enthalten sein sollten oder nicht. Die zustandsbehaftete Protokollanalyse sucht nach Abweichungen vom Normalzustand des Protokollinhalts und kann einen möglichen Angriff anzeigen, wenn eine unerwartete Abweichung auftritt. Da die zustandsabhängige Analyse die tatsächlichen Paketinhalte besser kennt, ist die Wahrscheinlichkeit von Fehlalarmen etwas geringer als bei der statistischen Anomalieerkennung. HIPS-Lösungen verwenden durchaus mehrere der genannten Ansätze.
