host intrusion prevention system (HIPS)

Apa Itu Host Intrusion Prevention System (HIPS)?

Host Intrusion Prevention System (HIPS) adalah pendekatan keamanan yang menggunakan alat perangkat lunak pihak ketiga untuk mendeteksi dan mencegah aktivitas berbahaya pada perangkat.

Sistem HIPS biasanya digunakan untuk melindungi perangkat endpoint seperti komputer atau server. Ketika aktivitas berbahaya terdeteksi, alat HIPS dapat melakukan berbagai tindakan, seperti:

  • Mengirim peringatan kepada pengguna komputer.
  • Mencatat aktivitas berbahaya untuk investigasi di masa depan.
  • Mengatur ulang koneksi yang mencurigakan.
  • Menghentikan paket data yang berbahaya.
  • Memblokir lalu lintas berikutnya dari alamat IP yang dicurigai.

Beberapa sistem HIPS memungkinkan pengguna mengirim log aktivitas berbahaya dan kode mencurigakan langsung ke vendor untuk analisis lebih lanjut.

Metode Deteksi pada HIPS

Ada tiga pendekatan utama yang digunakan dalam HIPS untuk mendeteksi serangan:

1. **Deteksi Berbasis Tanda Tangan (Signature-Based Detection)**
Metode ini menggunakan pola serangan yang sudah dikenal, disebut tanda tangan, untuk mendeteksi aktivitas berbahaya. Pendekatan ini efektif melindungi perangkat dari serangan yang sudah diketahui. Namun, metode ini tidak mampu mendeteksi serangan zero-day atau serangan dengan pola yang belum ada dalam basis data penyedia.

2. **Deteksi Anomali (Anomaly-Based Detection)**
Metode ini membangun baseline aktivitas normal pada perangkat dan membandingkan aktivitas saat ini dengan baseline tersebut. HIPS mencari anomali seperti:

  • Peningkatan tiba-tiba pada penggunaan bandwidth.
  • Pemakaian protokol yang tidak biasa.
  • Akses ke port yang biasanya tertutup.

Walaupun berguna, metode ini memiliki kemungkinan tinggi menghasilkan false positive (peringatan palsu).

3. **Analisis Stateful (Stateful Inspection)**
Metode ini menganalisis protokol dalam paket data yang melewati jaringan. Disebut “stateful” karena alat ini melacak status setiap protokol, seperti:

Metode ini mencari penyimpangan dari status protokol yang normal dan lebih mampu mengurangi false positive dibandingkan metode deteksi anomali.

Kombinasi Metode dalam Produk HIPS

Banyak produk HIPS berfokus pada satu metode deteksi, namun beberapa vendor mengintegrasikan beberapa metode sekaligus untuk meningkatkan akurasi dan efektivitas deteksi.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *