服务介绍

什么是服务器安全监测

服务器安全监测由管理平台、终端授权（Agent）两部分构成，专注于服务端主机的安全防护，提供持续的安全监控、分析和快速响应能力，能够在物理机、虚拟机等业务环境下实现安全的统一策略管理和快速的入侵响应能力。

服务器安全监测系统采用的Adaptive Security架构是Gartner提出的面向未来十年的企业安全架构，能够在复杂和变化的环境下有效抵御高级攻击，是整个安全行业的发展方向。其创新之处在于：一方面将安全视角转移到防火墙之后的业务系统内部，强调基于业务、自内而外地构建安全体系；另一方面将安全从传统的安全事件防护变成一项持续安全响应和处理过程，从多个维度持续地保护了企业安全。

服务器安全监测有快速、灵活、可扩展的特点，可以将现有的安全技术与持续运营的安全模型相结合，给用户提供一个持续化的动态安全解决方案。服务器安全监测提供统一安全管理平台，统一的安全框架和灵活的社区交互能力，将安全的价值最大化。

服务器安全监测的防护能力有三大部分组成：

• 风险分析——“清点+分析”

清点业务资产情况，分析系统内潜在的风险与合规性问题，生成清晰的分析报告，帮助用户修复资产问题。

• 管理加固——“可视化+加固”

可视化梳理业务角色，根据业务灵活配置安全模块并制定安全策略，快速构建防御体系。

• 入侵监控——“监测+响应”

采用基于行为模式的异常行为监测，第一时间发现入侵行为，并迅速做出响应。

相关概念

• 主机发现

通过设置检查规则，系统自动检查已安装Agent的主机。针对不同网络状况，提供多种探查方法，包括“ARP缓存分析”、“Ping扫描”、“Nmap扫描”等，客户可灵活选择。

• 应用清点

自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web应用等十余类安全资产。根据每个服务器业务特点，系统有针对性识别应用。每个应用在风险发现与入侵检测中，均提供对应安全防护策略。

• 暴力破解监控

通过实时监控登录行为，及时且自动化地发现黑客使用不同服务器尝试暴力破解用户登录密码的攻击行为，并进行自动化封停处理，使得黑客不能进行更多的尝试。

• Web后门监控

通过自动化地监控关键路径，结合正则库、相似度匹配、沙箱等多种检测方法，实时感知文件变化，从而能够及时发现Web后门，并对后门影响部分进行清洗标注。

• 系统后门监控

通过对进程关联信息的分析，结合模式识别和行为检测，提供了不依赖Bash的自动化系统后门检测方式，能够实现在多系统中进行多维度、高准度、快速度的后门发现。

• 微蜜罐

微蜜罐可以简易灵活的配置，让主机对各端口进行监听，从而扩大监控范围。通过这样消耗小而覆盖面广的蜜罐配置，发现黑客端攻击行为的概率就会大大提升。

产品优势

资产清点能力

致力于从安全角度自动化构建细粒度资产信息，支持对业务层资产进行精确识别和动态感知，让保护对象清晰可见。提供10余类主机关键资产清点，800余类业务应用自动识别，并拥有可自定义运营的扩展能力。

• 秒级构建资产信息

通过安装Agent，可在15秒内从正在运⾏的环境中，反向⾃动化构建主机业务资产结构，上报中央管控平台，集中统⼀管理。

• 资产变化实时通知

平台在清点资产后，将保持对资产持续监控，保证监控数据与实际业务数据⼀致；对⼀些需要特殊关注的敏感资产发⽣变化，将提供实时或定时通知。

• 灵活快速检索定位

细粒度资产清点体系，利⽤多维度的视图，引导⽤户轻松获得需要的资产信息；借助多⻆度的搜索⼯具，帮助⽤户快速定位关键资产信息。

风险分析能力

致力于帮助用户精准发现内部风险、有效解决安全风险，同时，提供详细的资产信息和风险信息，以供进行精准的分析和响应，支持检测30余种应用的弱密码，30000多高价值漏洞自动匹配。

• 多维度风险发现

全⾯发现潜在风险及安全薄弱点，根据漏洞检测、补丁管理、弱口令检查等功能，⽤户可及时处理重要风险以限制⿊客接触系统、发现漏洞和执⾏恶意代码。

• 持续性风险监控分析

主动、持续性地监控所有主机上的软件漏洞、弱密码、应⽤风险、资产暴露性风险等，并结合资产的重要程度进⾏风险分析，准确定位最急需处理的风险。

• 主机风险可视化

持续性监测所有主机的安全状况，以图形化展现企业风险场景，为安全管理者动态展示企业安全指标变化、安全⾛势分析，使安全状况的改进清晰可衡量。

• 智能化的弱口令检测，支持多种应用

精准检测几十种应用弱密码，覆盖企业常用应用如 SSH、Tomcat、MySQL、Redis、OpenVPN等。结合企业特征，智能识别更多组合弱口令，支持用户自定义口令字典以及组合弱口令字典，能有效预防被黑客定向破译的风险。

入侵检测能力

提供多锚点的检测能力，实时准确地感知入侵事件，发现失陷主机，并提供对入侵事件的响应手段，对业务系统"零"影响。检测能力覆盖100余个入侵场景，快速响应时间<15s，通过可视化的深度分析，让更攻击检测更全面高效。

• 多锚点安全入侵检测

结合暴力破解、异常登录、反弹Shell，Web后门、本地提权等多种检测维度，对⽤户主机环境的实时监控和快速响应，有效发现包括“0day”在内的各种未知⿊客攻击通过实时监控登录行为，

• “轻量级”检测，业务“零影响”

No Driver检测，在保证对⽤户主机安全监控的前提下，不对其业务系统产⽣影响，为⽤户的主机安全提供更⾼效更可靠的安全保护。

• 实时发现失陷主机

通过多维度的感知⽹络叠加能⼒，对攻击路径的每个节点进⾏监控，并提供跨平台多系统的⽀持能⼒，保证实时发现失陷主机，对⼊侵⾏为进⾏告警。

病毒查杀能力

通过集成包括⼩红伞、ClamAV等国内外多个主流的病毒查杀引擎，并利用自研的⼤数据分析、机器学习和模式⾏为等多种检测模型，为用户提供全⾯和实时的后端检测和防护能⼒。

• 多引擎检测能力

采⽤“云端+客户端”双重检测机制，实时地监控⽤户各类进程的运⾏状态，在客户端检测和云端分布式检测引擎的加持下，⼀旦判定为恶意后端，⽴即进⾏上报，并⽀持隔离、删除、修复验证等处理⽅式。

• 覆盖全面的检测规则

拥有10w+的检测规则，涵盖以下多种恶意后端：

图-1 多类型检测规则

 

丰富的安全日志类型

从安全角度引导客户对日志进行查询与分析，发现黑客入侵的蛛丝马迹，还原攻击现场。可在5秒内获得查询结果，同时对TB级数据进行统计分析，并保证所有数据至少保留180天，灵活导入其他系统使用。

• 操作审计日志

详细的主机Bash操作日志，满足主机操作行为回溯需求，提供操作者IP，操作终端，操作用户，操作详情等关键信息。

• 账号&登录日志

提供登录成功、失败、登出等所有登录日志记录；同时监控账号与账号组变化，包括增加，删除，修改，密码与权限变化等。

应用场景

勒索病毒防护

对于需要对勒索病毒进行防护的场景，服务器安全监测支持从安全监测、发现攻击到病毒查杀、响应处置再到最终的病毒溯源的一体化防护方案。

 

漏洞及补丁管理

信息行业业务开放、变化快、竞争激烈，仅仅依靠基础网络安全设备已经无法满足需求，信息系统所面临的安全形势越来越严峻，病毒、木马等恶意程序都会对信息系统的安全、正常使用以及最终用户的访问带来新的威胁。

通过服务器安全监测服务，可以实时监测服务器漏洞及补丁库快速更新，帮助用户完成服务器的安全监测与防护。

• 漏洞持续监测

基于Agent 的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。

• 补丁库快速更新

持续更新的补丁库能及时、精准发现系统需要升级的重要补丁，第一时间帮助用户，发现潜在可被黑客攻击的危险。

• 智能提供修复建议

结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。