基础知识

• 恶意木马
  黑客入侵服务器后在服务器上安装的木马，黑客将可以通过“木马”程序控制服务器。任意毁坏、窃取被种者的文件，甚至远程操控被种主机。
• 暴力破解
  黑客通过穷举账户和密码的行为试图匹配正确的账户和密码，入侵目标服务器。
• 异地登录
  有人从服务器所有者的不常用的地点登录了服务器，则要考虑密码是否已经被黑客破解。
• 系统后门
  系统后门一般是指那些绕过安全性控制而获取操作系统访问权的程序方法。
• Web后门
  Web后门其实就是一段网页代码，攻击者通过这些后门代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透、提权获得服务器的控制权。
• Agent
  Agent也就是插件，是安装到服务器上的一个监控程序。

  产品定义

  主机安全用于检测主机上是否存在安全漏洞，是否发生黑客入侵行为，是否有黑客正在暴力破解服务器账号和密码，是否登录成功以及是否安装了后门木马。
  主机安全产品，通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，支持Linux和Windows。

  产品功能

  1、资产清点
  结合通用安全检查规范与安全事件数据需求，构建业务型资产对象；支持绝大部分主流操作系统，支持本地环境、虚拟环境、云环境等混合业务架构环境。
  （1）主机资产清点
  • 支持Linux及Windows
  • 支持绝大部分主流操作系统及多种业务环境
  • 支持对主机状态、主机名、内外网IP、操作系统等主要信息的清点
  （2）主机资产管理
  • 支持对主机资产分级
  • 支持对主机资产设置备注
  2、入侵检测
  通过多维度的感知网络叠加能力，和对用户主机环境的实时监控和深度了解，有效发现失陷主机和各种未知黑客攻击，更能够提供深入详细的入侵分析和响应手段，从而让用户精准有效地解决问题。
  （1）暴力破解
  • 实时监控主机上发生的爆破行为，并发送通知，同时提供封停爆破来源IP的能力。用户可以查看并处理暴力破解事件，也可以对暴力破解的“自动封停机制”和“服务设置”进行配置
  （2）异常登录
  • 实时监控主机上发生的异常登录行为，例如非常用时间登录、非常用地点登录等异常登录，并发送邮件通知。用户可以查看这些异常登录事件，也可设置正常登录规则规定哪些为正常的登录行为，正常登录外的行为将被认为是异常登录行为。
  （3）系统后门
  • 通过黑名单比对、系统特征检测等方式，实时发现主机上存在的系统后门，并发送邮件通知。用户可以查看并处理这些后门，若需要立刻查看系统后门的最新情况，可点击检查按钮立即运行后门检查。
  （4）web后门
  • 通过检测主机Web目录下的文件内容，发现是否存在有Web后门，并对发现的后门进行告警通知。提供实时检测和立即检查的方式来发现后门，并支持多种检测引擎。用户可以查看和处理发现的Web后门，还能够查看Web后门的具体文件信息并下载后门文件。
  3、系统设置
  （1）Agent安装
  • 通过直连和代理两种方式满足不同用户的安装和管理需求，灵活自助的系统设置功能。
  （2）Agent管理
  • Agent状态查询
  • 重启、删除Agent操作

  应用场景

• 资产掌握
  安全团队对于主机资产往往无法做到细粒度的掌握，对主机上的安全风险也无法有效的识别。
  通过产品资产清点功能监控服务器安全状况，清晰了解内网所有主机实时情况。
• 风险掌控
  面临外部和内部的网络攻击防护、入侵检测、数据泄露等威胁和风险，对安全风险无法进行统一管控。
  通过产品入侵检测功能对主机进行统一管理和监控，并及时进行入侵防护、风险修复。
• 安全问题
  针对被非法入侵，被暴力破解，有异常登录行为，被植入后门等威胁，可通过本产品进行安全防护。
• 统一管理
  复杂的信息化业务系统存在无法统一管控的安全问题。
  通过agent的统一通信、统一控制台管理来实现跨地域、跨平台的统一安全管理。

  架构原理

  主机安全产品，主要由Agent，Server，Web 三部分构成，为用户提供基础的、灵活的、稳固的核心能力支持。
• 轻量级的Agent，负责信息监控、采集、上报及简单指令控制
• 与云端Server进行联动，Server端对数据进行分析、统计
• 通过统一的web控制台实时监控云主机的安全性，管理安全事件，保障云主机的安全
• 有外网IP的agent通过直连的方式与server端进行通信
• 只有内网IP的agent通过代理的方式与server端进行通信