入侵检测
<p class="shortdesc"></p>
<section><div class="tasklabel"><h2 class="doc-tairway">操作步骤</h2></div><ol class="ol steps"><li class="li step stepexpand">
<span class="ph cmd">登录<a class="xref" href="https://www.ocftcloud.com/console/microApp/psc/overview" target="_blank">PSC控制台。</a>。</span>
</li><li class="li step stepexpand">
<span class="ph cmd">在<span class="ph uicontrol">概览</span>页面,点击<span class="ph uicontrol">安全风险</span>板块的<span class="ph uicontrol">管理</span>。</span>
</li><li class="li step stepexpand">
<span class="ph cmd">在<span class="ph uicontrol">安全首页</span>页面,选择<span class="ph uicontrol">Linux</span>或者<span class="ph uicontrol">Windows</span>页签,点击<span class="ph uicontrol">入侵检测</span>。</span>
<div class="itemgroup info">
<div class="p">
<div class="note note note_note"><span class="note__title">说明:</span> Linux与windows操作类似,本文以Linux为例描述。</div>
</div>
<p class="p"><span class="ph uicontrol">入侵检测</span>包括的功能如下表。</p>
<table class="table" id="psc_0022__table_fy1_52v_t5b"><caption></caption><colgroup><col><col></colgroup><tbody class="tbody">
<tr class="row">
<td class="entry"><strong class="ph b">功能</strong></td>
<td class="entry"><strong class="ph b">说明</strong></td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">入侵总览</p>
</td>
<td class="entry">
<p class="p">展示入侵检测功能总体的数据概览信息,支持各项操作来展示不同的统计视图信息。</p>
</td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">暴力破解</p>
</td>
<td class="entry">
<p class="p">用于发现用户主机上各类阻止各类关键应用被暴力破解,尝试登录的行为,防止登录账户被爆破。目前支持vsftpd和sshd两个服务的检查。</p>
</td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">异常登录</p>
</td>
<td class="entry">
<p class="p">用于发现系统成功登录的信息中,包含非正常IP、非正常区域、非正常时间、非正常账号的登录信息。</p>
</td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">反弹shell</p>
</td>
<td class="entry">
<p class="p">用于监控主机中所有利用Shell进行反向连接的行为,方便用户对主机中发生的反弹Shell行为进行查看、分析和处理。</p>
</td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">本地提取</p>
</td>
<td class="entry">
<p class="p">当用户以低权限进入主机系统,通过某种行为获得高权限时,该进程很有可能是黑客的网络攻击行为,威胁主机安全。本地提权功能用于对此类行为事件进行记录和统计。</p>
</td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">后门检测</p>
</td>
<td class="entry">
<p class="p">用于检测系统是否存在Booitkit、Rootkit、应用后门、病毒木马等问题。云端+客户端的双重检测模式,让后门的每一个特征和行为,都会被实时发现或者通过扫描进行上报告警,同时给出专业角度的安全分析。不仅支持对后门进行隔离、删除、修复验证等多种处理方式,同时也提供检测规则的高度自定义能力,方便用户对挖矿木马进行快速响应和预防。</p>
</td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">Web后门</p>
</td>
<td class="entry">
<p class="p">用于检查Web网站中存在的后门文件,Web后门文件为安全威胁检查中即为重要的一环。Web后门支持实时监控和扫描两种检测方式。</p>
</td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">可疑操作</p>
</td>
<td class="entry">
<p class="p">可疑操作记录执行的shell命令,您可以对操作进行筛选,也可以自定义规则发现可疑操作。该功能需要安装服务器安全监测系统的bash插件。</p>
</td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">Web命令执行</p>
</td>
<td class="entry">
<p class="p">WebRCE是黑客写入Web后门后,通过启动Web进程来执行恶意操作的一种手段。Web命令执行通过分析常见的远程命令漏洞利用实例,利用模式识别的方式,实时监控用户进程行为的各项特征,对主机中进程异常的执行行为和执行命令内容进行精确匹配,能有效发现黑客利用漏洞执行命令的行为痕迹,并及时进行告警。</p>
</td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">内存后门</p>
</td>
<td class="entry">
<p class="p">内存后门(Memory
Backdoor)功能为了捕捉无文件攻击,则从无文件攻击的核心技术过程—进程内存中进行检测,精确捕获注入至进程内存中的恶意代码,能够有效检出无文件攻击。</p>
<div class="p">主要解决如下问题:<ul class="ul" id="psc_0022__ul_uvw_vk1_55b">
<li class="li">
<p class="p">帮助用户发现在进程内存中运行的恶意代码,并及时发送告警。</p>
</li>
<li class="li">
<p class="p">提供对恶意代码的特征分析和说明,帮助用户认清告警做出判断,进一步处理。</p>
</li>
<li class="li">
<p class="p">利用精确检测的能力帮助用户验证对内存后门的修复结果,实现对事件生命周期的管理。</p>
</li>
</ul></div>
</td>
</tr>
<tr class="row">
<td class="entry">
<p class="p">异常文件监控</p>
</td>
<td class="entry">
<p class="p">异常文件操作功能针对主机内现有的、真实有效的文件进行实时监控,当文件发生不符合预期的操作时,判定为异常操作上报,及时告警,提供详细信息便于安全人员分析处理。</p>
</td>
</tr>
</tbody></table>
</div>
</li></ol></section>
提交成功!非常感谢您的反馈,我们会继续努力做到更好!