计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

主机安全告警事件概述

更新时间:2025-02-12 GMT+08:00

企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等入侵检测能力,用户可通过事件管理全面了解告警事件类型,帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。

说明:

AV检测和HIPS检测的告警分类会按照具体的告警情况在不同的告警类型中呈现。

  • AV检测告警结果只在恶意软件下的不同类别呈现。
  • HIPS检测的告警结果会根据实际种类在所有类型的子类别中呈现。

约束限制

未开启防护不支持告警事件相关操作。

主机安全告警介绍

关于主机安全告警类型及具体的告警项介绍请参见表1。不同HSS版本支持的告警项不同,详情请参见产品功能

表1 主机安全告警说明

告警类型

告警类型说明

告警项

告警原理说明

恶意软件

恶意软件可能是黑客入侵成功之后植入的病毒、蠕虫、木马、后门等,用于窃取数据或攫取不当利益。

例如:黑客入侵之后植入木马,将受害主机作为挖矿、DDoS肉鸡使用,这类程序会大量占用主机的CPU资源或者网络资源,破坏用户业务的稳定性。

未分类恶意软件

HSS通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

病毒

检测服务器资产中存在的各种病毒,进行告警上报,支持对病毒文件进行隔离查杀。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

蠕虫

对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

木马

对服务器中入侵的木马或已存在的木马病毒进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

僵尸网络

对服务器中入侵的僵尸网络或已存在的僵尸网络进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

后门

检测服务器中存在的后门,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

Rootkits

检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。

支持的操作系统:Linux。

勒索软件

检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。

支持的操作系统:Linux、Windows。

隔离查杀:部分勒索软件支持自动、手动隔离查杀。

黑客工具

对服务器中入侵的黑客工具或已存在的黑客工具进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持手动隔离查杀。

Webshell

检测云服务器上web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。

您可以在“策略管理”的“Webshell检测”中配置Webshell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

该告警需要您在策略管理中添加防护目录,添加详情请参见Webshell检测

支持的操作系统:Linux、Windows。

隔离查杀:支持手动隔离查杀。

挖矿软件

对服务器中入侵的挖矿软件或已存在的挖矿软件进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

漏洞利用

漏洞利用是指利用服务器系统、软件或网络中存在的漏洞,以获取未授权访问权限、窃取数据或对目标系统进行破坏的行为。

漏洞利用通常被分为远程利用和本地利用。远程漏洞利用指攻击者利用网络连接到目标系统,挖掘系统漏洞实施攻击。本地漏洞利用指攻击者已在目标系统上取得低权限访问后,利用漏洞升级权限或执行其他恶意操作。

远程代码执行

实时检测利用漏洞入侵主机的行为,对发现的入侵行为进行告警上报。

支持的操作系统:Linux、Windows。

Redis漏洞利用

实时检测Redis进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

支持的操作系统:Linux。

Hadoop漏洞利用

实时检测Hadoop进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

支持的操作系统:Linux。

MySQL漏洞利用

实时检测MySQL进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

支持的操作系统:Linux。

系统异常行为

系统异常行为是指服务器在运行过程中出现的不正常行为,这种行为通常是由于系统故障、恶意攻击或其他安全漏洞引起的。系统异常行为可能会导致数据丢失、系统瘫痪等问题。因此,及时发现和处理系统异常行为是保障服务器系统和数据安全的重要措施之一。

反弹Shell

实时监控用户的进程行为,支持告警和阻断进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

如需反弹Shell自动化阻断,可在“策略管理”的“HIPS检测”策略中开启“自动化阻断”

目前支持阻断的反弹shell类别:exec反弹Shell、Perl反弹Shell、AWK反弹Shell、Python反弹Shell.b、Python反弹Shell.a、Lua反弹Shell、mkfifo/openssl反弹Shell、PHP反弹Shell、Ruby反弹Shell、使用rssocks进行反向代理、Bash反弹Shell、Ncat反弹Shell、exec重定向反弹Shell、Node反弹Shell、Telnet双端口反弹Shell、nc反弹Shell、Socat反弹Shell、rm/mkfifo/sh/nc反弹Shell、socket/tchsh反弹Shell。

说明:

启用反弹Shell自动阻断,需开启开启恶意程序隔离查杀

支持的操作系统:Linux。

文件提权

检测当前系统对文件的提权行为并进行告警。

支持的操作系统:Linux。

进程提权

检测以下进程提权操作并进行告警:
  • 利用SUID程序漏洞进行root提权。
  • 利用内核漏洞进行root提权。

支持的操作系统:Linux。

关键文件变更

实时监控系统关键文件(例如:ls、ps、login、top等),对修改文件内容的操作进行告警,提醒用户关键文件可能被篡改。监控的关键文件的路径请参见关键文件变更监控路径

对于关键文件变更,HSS只检测文件内容是否被修改,不关注是人为还是进程进行的修改。

支持的操作系统:Linux。

文件/目录变更

实时监控系统文件/目录,对创建、删除、移动、修改属性或修改内容的操作进行告警,提醒用户文件/目录可能被篡改。

支持的操作系统:Linux、Windows。

进程异常行为

检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。

对于进程的非法行为、黑客入侵过程进行告警。

进程异常行为可以监控以下异常行为:

  • 监控进程CPU使用异常。
  • 检测进程对恶意IP的访问。
  • 检测进程并发连接数异常等。

支持的操作系统:Linux、Windows。

隔离查杀:部分异常进程支持手动隔离查杀。

高危命令执行

您可以在策略管理 > 实时进程“高危命令检测”中预置高危命令。

HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

支持的操作系统:Linux、Windows。

异常Shell

检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

您可以在“策略管理”“恶意文件检测”中配置异常Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

支持的操作系统:Linux。

敏感文件访问

检测未经授权访问或修改敏感文件的行为。

支持的操作系统:Linux、Windows。

Crontab可疑任务

检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。

帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。

支持的操作系统:Linux、Windows。

系统安全防护被禁用

检测勒索软件加密前准备动作:通过注册表关闭 Windows Defender 实时保护功能,一旦发现立即上报告警。

支持的操作系统:Windows。

备份删除

检测勒索软件加密前准备动作:删除备份格式文件或Backup文件夹下的文件,一旦发现立即上报告警。

支持的操作系统:Windows。

异常注册表操作

检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。

支持的操作系统:Windows。

系统日志删除

检测到通过命令或工具清除系统日志的操作时进行告警。

支持的操作系统:Windows。

可疑命令执行

  • 检测通过命令或工具创建、删除计划任务或自启动任务。
  • 检测远程执行命令的可疑行为。

支持的操作系统:Windows。

可疑进程运行

如果您使用了应用进程控制功能,HSS将根据学习完成的白名单策略,检测未经过认证或授权的应用进程运行,一旦发现进行告警上报。

关于应用进程控制功能的说明和使用请参见应用进程控制概述

支持的操作系统:Linux、Windows。

可疑进程文件访问

如果您使用了应用进程控制功能,HSS将根据学习完成的白名单策略,检测未经过认证或授权的进程访问指定的目录,一旦发现进行告警上报。

关于应用进程控制功能的说明和使用请参见应用进程控制概述

支持的操作系统:Linux、Windows。

用户异常行为

用户异常行为是指在特定环境或系统中,用户的行为模式与正常行为模式不符,或者在短时间内出现了异常的、突发的行为,这些行为可能表现为异常登录、非法访问等。为了检测和识别这些异常行为,需要对用户的操作进行分析检测。

暴力破解

黑客通过账户暴力破解成功登录主机后,便可获得主机的控制权限,进而窃取用户数据、勒索加密、植入挖矿程序、DDoS木马攻击等恶意操作,严重危害主机的安全。

HSS支持检测如下服务账号遭受的口令破解攻击:

  • Windows:RDP、SQL Server
  • Linux:MySQL、vsftpd、SSH

如果账户暴力破解次数(连续输入错误密码)在30秒内达5次及以上,或1小时内达15次及以上,HSS就会拦截登录源IP,默认拦截12小时,禁止其再次登录,防止主机因账户破解被入侵。

您可根据账户暴力破解告警详情,如“攻击源IP”、“攻击类型”和“拦截次数”,识别登录源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。

支持的操作系统:Linux、Windows。

异常登录

检测“异地登录”“账户暴力破解成功”等异常登录。如果发生异常登录,则说明您的主机可能被黑客入侵成功。

  • 检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。

    异地登录检测信息包括“登录源IP”“登录时间”,攻击者尝试登录主机时使用的“用户名”“云服务器名称”

    如果在非常用登录地登录,则触发安全事件告警。

  • 如果账户暴力破解成功,登录到云主机,则触发安全事件告警。

支持的操作系统:Linux、Windows。

非法系统账号

黑客可能通过风险账号入侵主机,以达到控制主机的目的,需要您及时排查系统中的账户。

HSS检查系统中存在的可疑隐藏账号、克隆账号;如果存在可疑账号、克隆账号等,则触发告警。

支持的操作系统:Linux、Windows。

用户账号添加

检测使用命令创建隐藏账户,一旦创建成功后用户交互界面和命令查询均不可见。

支持的操作系统:Windows。

用户密码窃取

检测主机中的系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。

支持的操作系统:Windows。

网络异常访问

网络异常访问指的是网络连接或数据传输过程中出现的不符合正常使用模式的异常情况,这些异常包括资源异常使用、非授权访问、异常连接等。服务器中出现网络异常访问行为可能是遭受攻击的前兆。

云蜜罐

检测到连接主机蜜罐端口的行为,进行告警上报。

支持的操作系统:Linux、Windows。

可疑的下载请求

检测到利用系统工具下载程序的可疑HTTP请求时进行告警。

支持的操作系统:Windows。

可疑的HTTP请求

检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。

支持的操作系统:Windows。

异常外联行为

检测服务器存在异常外联可疑ip的行为,一旦发现进行告警上报。

支持的操作系统:Linux(仅支持5.10及以上内核版本)。

端口转发检测

检测到利用可疑工具进行端口转发行为,一旦发现进行告警上报。

支持的操作系统:Linux。

资源侦查

资源侦查是指恶意攻击者在发起正式攻击前,对目标网络进行的一系列侦查活动,以收集目标网络的相关信息,便于为后续的入侵寻求突破口。

端口扫描

检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。

支持的操作系统:Linux。

主机扫描

检测网络对主机规则覆盖ICMP ARP nbtscan的扫描活动,一旦发现立即上报告警。

支持的操作系统:Linux。

无文件攻击

无文件攻击是一种网络攻击方式,它在实施一次完整的攻击过程中,没有释放恶意的可执行文件,而是直接将恶意代码写入系统内存或注册表中。由于没有恶意文件,这种攻击方式往往很难被发现。

无文件攻击按照磁盘文件的活动,被分成3个类型:

  • 没有任何的文件活动

    即攻击活动没有任何的磁盘文件落地和磁盘文件的操作行为,一般这种攻击活动都脱离了操作系统,是由更上层的硬件固件和软件层发起的。

  • 通过文件间接活动

    即没有磁盘落地文件,但通过文件间接活动。恶意代码一般通过白文件间接加载到内存中执行。这类攻击恶意代码的载体大多数都是脚本,通过程序命令执行,也有通过磁盘引导记录等特定机制的执行。

  • 需要操作文件进行活动

    通常来说就是恶意代码变成了数据,攻击者利用文件相关的程序漏洞或功能特性将恶意数据转换为恶意代码执行。

进程注入

检测将恶意代码注入到正在运行的进程的行为,一旦发现立即告警上报。

支持的操作系统:Linux。

动态库注入进程

检测通过劫持动态链接库中的函数,从而实现白加黑注入代码的行为,一旦发现立即告警上报。

支持的操作系统:Linux。

内存文件进程

检测通过memfd_create的系统调用,创建一个只存在于RAM中的匿名恶意文件,从而执行恶意文件的行为,一旦发现立即告警上报。

支持的操作系统:Linux。

安全告警等级说明

企业主机安全根据告警事件对业务系统的威胁程度,将告警划分为致命、高危、中危、低危四个等级,表2详细解释了各告警等级的含义。

表2 安全告警等级说明

告警等级

说明

致命

致命级别的告警表示系统已经受到严重的攻击,可能导致数据丢失、系统崩溃或者长时间的服务中断。例如,发现勒索加密行为或恶意程序感染。建议您立即处理,避免对系统造成更严重的损害。

高危

高危级别的告警表示系统可能正在受到攻击,但尚未造成严重的损害。例如,检测到未授权的登录尝试或执行了危险命令(如删除关键系统文件或修改系统设置的命令)。建议您及时调查并采取措施,以防止攻击蔓延。

中危

中危级别的告警表示系统存在潜在的安全威胁,但目前没有明显遭受攻击的迹象。例如,检测到文件或目录的异常修改,表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施,以确保系统的安全。

低危

低危级别的告警表示系统存在轻微的安全威胁,不会对系统的正常运行产生显著影响。例如,检测到一些端口扫描行为,这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理,不需要立即采取紧急措施。如果您的资产安全等级要求较高,可以关注该等级的安全告警。

关键文件变更监控路径

类型

Linux

bin

/bin/ls

/bin/ps

/bin/bash

/bin/login

usr

/usr/bin/ls

/usr/bin/ps

/usr/bin/bash

/usr/bin/login

/usr/bin/passwd

/usr/bin/top

/usr/bin/killall

/usr/bin/ssh

/usr/bin/wget

/usr/bin/curl

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容