入侵检测
功能简介
入侵检测主要包括暴力破解、异常登录、反弹Shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行和入侵处理记录几部分。
暴力破解:用于发现并阻止用户主机上各类关键应用被暴力破解,尝试登录的行为,防止登录账户被爆破。
异常登录:用于发现系统成功登录的信息中,包含非正常IP,非正常区域,非正常时间、非正常账号的登录信息。
反弹Shell:用于监控主机中所有利用Shell进行反向连接的行为,例如黑客入侵了一台服务器后通过设置一个反向Shell轻松地访问这台远程计算机等攻击行为,方便用户对主机中发生的反弹Shell行为进行查看、分析和处理。
本地提权:当用户以低权限进入主机系统,通过某种行为获得高权限时,该进程很有可能是黑客的网络攻击行为,威胁主机安全。本地提权功能用于对此类行为事件进行记录和统计。
后门检测:用于检测系统是否存在Booitkit、Rootkit、应用后门、病毒木马等问题。云端+客户端的双重检测模式,让后门的每一个特征和行为,都会被实时发现或者通过扫描进行上报告警,同时给出专业角度的安全分析。不仅支持对后门进行隔离、删除、修复验证等多种处理方式,同时也提供检测规则的高度自定义能力,方便用户对挖矿木马进行快速响应和预防。功能实现了从监控发现、检测分析、响应处理、设置预防的安全闭环能力,为用户提供稳定持续高效的安全服务。
Web后门:用于检查Web网站中存在的后门文件。
可疑操作:记录执行的Shell命令,您可以对操作进行筛选,也可以自定义规则发现可疑操作。
Web命令执行:通过分析常见的远程命令漏洞利用实例,利用模式识别的方式,实时监控用户进程行为的各项特征,对主机中进程异常的执行行为和执行命令内容进行精确匹配,有效发现黑客利用漏洞执行命令的行为痕迹,并及时进行告警。
入侵处理记录:用于保存并展示入侵中所有处理操作的记录,方便用户进行审核和排查错误。
概览视图
入侵概览主要用于展示入侵检测功能总体的数据概览信息。
暴力破解
各类入侵检测的处置方式类似,以下以暴力破解为例。
操作步骤
在左侧导航栏中,选择[产品与服务/安全/主机安全]菜单项,进入主机安全总览页面。
在“主机安全”首页,依次选择左侧导航栏中的<入侵检测/暴力破解>,进入暴力破解页面。
在“暴力破解”页面,可以完成如下配置。
|
参数 |
说明 |
|
攻击记录查看 |
点击“累计攻击次数”,可查看当前攻击来源对这台主机上的该服务已经进行的攻击记录。 |
|
自动封停 |
点击“自动封停设置”,会对达到封停条件的入侵告警进行封停操作,封停后攻击来源在封停时间内无法再次暴力破解该主机上的该服务。 |
|
手动封停按钮 |
点击 |
|
加入白名单按钮 |
点击 |
|
服务设置 |
单击“服务设置”,进入服务设置列表,可以根据需要选择 vsftpd 或者 sshd 两个服务的开启关闭状态。 |
|
查看白名单 |
选择“白名单规则”,进入白名单规则列表,进入白名单规则设置。暴力破解白名单是为了将某些登录认定为正常登录行为。 |
|
主机配置检测 |
检测各个服务在主机上的配置情况,可以根据需要导出主机配置信息进行处理。 |
