文档首页> 企业主机安全(旧版)HSS> 用户指南(阿布扎比区域)> 入侵检测> 告警事件概述
更新时间:2022-02-22 GMT+08:00
查看PDF

告警事件概述

企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵检测能力,用户可通过事件管理全面了解告警事件类型,帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。

告警事件列表说明

告警名称

告警说明

基础版

企业版

旗舰版

网页防篡改版

账户暴力破解

黑客通过账户暴力破解成功登录主机后,便可获得主机的控制权限,进而窃取用户数据、勒索加密、植入挖矿程序,DDoS木马攻击等恶意操作,严重危害主机的安全。

检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。
  • 如果30秒内,账户暴力破解次数达到5次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因账户破解被入侵。

    SSH类型攻击默认拦截12小时,其他类型攻击默认拦截24小时。

  • 根据账户暴力破解告警详情,如“攻击源IP”“攻击类型”“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。

账户异常登录

检测“异地登录”“账户暴力破解成功”等异常登录。若发生异常登录,则说明您的主机可能被黑客入侵成功。

  • 检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。

    异地登录检测信息包括被拦截的“登录源IP”“登录时间”,攻击者尝试登录主机时使用的“用户名”“云服务器名称”

    若在非常用登录地登录,则触发安全事件告警。

  • 若账户暴力破解成功,登录到云主机,则触发安全事件告警。

恶意程序(云查杀)

恶意程序可能是黑客入侵成功之后植入的木马、后门等,用于窃取数据或攫取不当利益。

例如:黑客入侵之后植入木马,将受害主机作为挖矿、DDoS肉鸡使用,这类程序会大量占用主机的CPU资源或者网络资源,破坏用户业务的稳定性。

通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。

×

(隔离查杀)

(隔离查杀)

(隔离查杀)

进程异常行为

检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。

对于进程的非法行为、黑客入侵过程进行告警。

进程异常行为可以监控以下异常行为:
  • 监控进程CPU使用异常。
  • 检测进程对恶意IP的访问。
  • 检测进程并发连接数异常等。

×

关键文件变更

篡改系统关键文件,通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。

  • 对系统关键文件(例如:ls、ps、login、top等)进行监控,一旦文件被修改就进行告警,提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径
  • 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。
  • 添加关键文件指纹库,收集关键文件信息,便于清点合法文件信息,检测异常文件。

对于关键文件变更,HSS只检测目录或文件是否被修改,不关注是人为或者某个进程修改的。

×

网站后门

以php、jsp等网页文件形式存在的一种命令执行环境。

黑客在入侵了一个网站后,通常会将后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后使用浏览器来访问php或者jsp后门,得到一个命令执行环境,以达到控制网站服务器的目的。

检测云服务器上Web目录中的文件,判断是否为WebShell木马文件,支持检测常见的PHP、JSP等后门文件类型。

  • 网站后门检测信息包括“木马文件路径”“状态”“首次发现时间”“最后发现时间”。您可以根据网站后门信息忽略被查杀的可信文件。
  • 您可以使用手动检测功能检测主机中的网站后门。

×

反弹Shell

实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

您可以在“策略管理”“反弹/异常Shell检测”中配置反弹Shell检测,HSS会实时检测执行的可疑指令,主机被远程控制执行任意命令等。

×

×

异常Shell

检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。

您可以在“策略管理”“反弹/异常Shell检测”中配置异常Shell检测,HSS会实时检测执行的可疑指令,主机被远程控制执行任意命令等。

×

×

高危命令执行

您可以在“策略管理”“高危命令检测”中预置高危命令。

HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

×

×

自启动检测

大多数木马通常通过创建自启动服务、定时任务、预加载动态库等方式入侵主机,自启动检测会收集所有云主机自启动的信息,帮助您快速发现主机中可疑的自启动,并清除木马程序问题。

HSS检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹,帮助用户及时发现非法自启动。

×

×

风险账户

黑客可能通过风险账号入侵主机,以达到控制主机的目的,需要您及时排查系统中的账户。

HSS检查系统中存在的可疑隐藏账号、克隆账号;若存在可疑账号、克隆账号等,则触发告警。

×

提权操作

当黑客成功入侵主机后,会尝试利用漏洞进行root提权或者文件提权,从而达到非法创建和修改系统账号的权限或者篡改文件的目的。

HSS检测当前系统的“进程提权”“文件提权”操作。

检测以下异常提权操作:
  • 利用SUID程序漏洞进行root提权。
  • 利用内核漏洞进行root提权。
  • 对文件的提权。

×

×

Rootkit程序

HSS检测Rootkit安装的文件和目录,帮助用户及时发现可疑的Rootkit安装。

  • 使用文件特征码检测Rootkit。
  • 对隐藏文件、端口、进程的检测。

×

×

关键文件变更监控路径

类型

Linux

bin

/bin/ls

/bin/ps

/bin/bash

/bin/netstat

/bin/login

/bin/find

/bin/lsmod

/bin/pidof

/bin/lsof

/bin/ss

usr

/usr/bin/ls

/usr/bin/ps

/usr/sbin/ps

/usr/bin/bash

/usr/bin/netstat

/usr/sbin/netstat

/usr/sbin/rsyslogd

/usr/sbin/ifconfig

/usr/bin/login

/usr/bin/find

/usr/sbin/lsmod

/usr/sbin/pidof

/usr/bin/lsof

/usr/sbin/lsof

/usr/sbin/tcpd

/usr/bin/passwd

/usr/bin/top

/usr/bin/du

/usr/bin/chfn

/usr/bin/chsh

/usr/bin/killall

/usr/bin/ss

/usr/sbin/ss

/usr/bin/ssh

/usr/bin/scp

sbin

/sbin/syslog-ng

/sbin/rsyslogd

/sbin/ifconfig

/sbin/lsmod

/sbin/pidof
父主题: 入侵检测