更新时间:2024-10-28 GMT+08:00

主机安全告警事件概述

企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等入侵检测能力,用户可通过事件管理全面了解告警事件类型,帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。

AV检测和HIPS检测的告警分类会按照具体的告警情况在不同的告警类型中呈现。

  • AV检测告警结果只在恶意软件下的不同类别呈现。
  • HIPS检测的告警结果会根据实际种类在所有类型的子类别中呈现。

约束限制

未开启防护不支持告警事件相关操作。

主机安全告警介绍

关于主机安全告警类型及具体的告警项介绍请参见表1。不同HSS版本支持的告警项不同,详情请参见产品功能

表1 主机安全告警说明

告警类型

告警类型说明

告警项

告警原理说明

恶意软件

恶意软件可能是黑客入侵成功之后植入的病毒、蠕虫、木马、后门等,用于窃取数据或攫取不当利益。

例如:黑客入侵之后植入木马,将受害主机作为挖矿、DDoS肉鸡使用,这类程序会大量占用主机的CPU资源或者网络资源,破坏用户业务的稳定性。

未分类恶意软件

HSS通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

病毒

检测服务器资产中存在的各种病毒,进行告警上报,支持对病毒文件进行隔离查杀。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

蠕虫

对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

木马

对服务器中入侵的木马或已存在的木马病毒进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

僵尸网络

对服务器中入侵的僵尸网络或已存在的僵尸网络进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

后门

检测服务器中存在的后门,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

Rootkits

检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。

支持的操作系统:Linux。

勒索软件

检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。

支持的操作系统:Linux、Windows。

隔离查杀:部分勒索软件支持自动、手动隔离查杀。

黑客工具

对服务器中入侵的黑客工具或已存在的黑客工具进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持手动隔离查杀。

Webshell

检测云服务器上web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。

您可以在“策略管理”的“Webshell检测”中配置Webshell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

该告警需要您在策略管理中添加防护目录,添加详情请参见Webshell检测

支持的操作系统:Linux、Windows。

隔离查杀:支持手动隔离查杀。

挖矿软件

对服务器中入侵的挖矿软件或已存在的挖矿软件进行检测、查杀,并进行告警上报。

支持的操作系统:Linux、Windows。

隔离查杀:支持自动、手动隔离查杀。

漏洞利用

漏洞利用是指利用服务器系统、软件或网络中存在的漏洞,以获取未授权访问权限、窃取数据或对目标系统进行破坏的行为。

漏洞利用通常被分为远程利用和本地利用。远程漏洞利用指攻击者利用网络连接到目标系统,挖掘系统漏洞实施攻击。本地漏洞利用指攻击者已在目标系统上取得低权限访问后,利用漏洞升级权限或执行其他恶意操作。

远程代码执行

实时检测利用漏洞入侵主机的行为,对发现的入侵行为进行告警上报。

支持的操作系统:Linux、Windows。

Redis漏洞利用

实时检测Redis进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

支持的操作系统:Linux。

Hadoop漏洞利用

实时检测Hadoop进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

支持的操作系统:Linux。

MySQL漏洞利用

实时检测MySQL进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

支持的操作系统:Linux。

系统异常行为

系统异常行为是指服务器在运行过程中出现的不正常行为,这种行为通常是由于系统故障、恶意攻击或其他安全漏洞引起的。系统异常行为可能会导致数据丢失、系统瘫痪等问题。因此,及时发现和处理系统异常行为是保障服务器系统和数据安全的重要措施之一。

反弹Shell

实时监控用户的进程行为,并支持告警和阻断进程的非法Shell连接操作产生的反弹Shell行为。

实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

您也可以在“策略管理”的“HIPS检测”策略中配置自动化阻断反弹Shell行为。

支持的操作系统:Linux。

文件提权

检测当前系统对文件的提权行为并进行告警。

支持的操作系统:Linux。

进程提权

检测以下进程提权操作并进行告警:
  • 利用SUID程序漏洞进行root提权。
  • 利用内核漏洞进行root提权。

支持的操作系统:Linux。

关键文件变更

实时监控系统关键文件(例如:ls、ps、login、top等),对修改文件内容的操作进行告警,提醒用户关键文件可能被篡改。监控的关键文件的路径请参见关键文件变更监控路径

对于关键文件变更,HSS只检测文件内容是否被修改,不关注是人为还是进程进行的修改。

支持的操作系统:Linux。

文件/目录变更

实时监控系统文件/目录,对创建、删除、移动、修改属性或修改内容的操作进行告警,提醒用户文件/目录可能被篡改。

支持的操作系统:Linux、Windows。

进程异常行为

检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。

对于进程的非法行为、黑客入侵过程进行告警。

进程异常行为可以监控以下异常行为:

  • 监控进程CPU使用异常。
  • 检测进程对恶意IP的访问。
  • 检测进程并发连接数异常等。

支持的操作系统:Linux、Windows。

隔离查杀:部分异常进程支持手动隔离查杀。

高危命令执行

您可以在策略管理 > 实时进程“高危命令检测”中预置高危命令。

HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

支持的操作系统:Linux、Windows。

异常Shell

检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

您可以在“策略管理”“恶意文件检测”中配置异常Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

支持的操作系统:Linux。

敏感文件访问

检测未经授权访问或修改敏感文件的行为。

支持的操作系统:Linux、Windows。

Crontab可疑任务

检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。

帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。

支持的操作系统:Linux、Windows。

系统安全防护被禁用

检测勒索软件加密前准备动作:通过注册表关闭 Windows Defender 实时保护功能,一旦发现立即上报告警。

支持的操作系统:Windows。

备份删除

检测勒索软件加密前准备动作:删除备份格式文件或Backup文件夹下的文件,一旦发现立即上报告警。

支持的操作系统:Windows。

异常注册表操作

检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作,一旦发现立即上报告警。

支持的操作系统:Windows。

系统日志删除

检测到通过命令或工具清除系统日志的操作时进行告警。

支持的操作系统:Windows。

可疑命令执行

  • 检测通过命令或工具创建、删除计划任务或自启动任务。
  • 检测远程执行命令的可疑行为。

支持的操作系统:Windows。

可疑进程运行

如果您使用了应用进程控制功能,HSS将根据学习完成的白名单策略,检测未经过认证或授权的应用进程运行,一旦发现进行告警上报。

关于应用进程控制功能的说明和使用请参见应用进程控制概述

支持的操作系统:Linux、Windows。

可疑进程文件访问

如果您使用了应用进程控制功能,HSS将根据学习完成的白名单策略,检测未经过认证或授权的进程访问指定的目录,一旦发现进行告警上报。

关于应用进程控制功能的说明和使用请参见应用进程控制概述

支持的操作系统:Linux、Windows。

用户异常行为

用户异常行为是指在特定环境或系统中,用户的行为模式与正常行为模式不符,或者在短时间内出现了异常的、突发的行为,这些行为可能表现为异常登录、非法访问等。为了检测和识别这些异常行为,需要对用户的操作进行分析检测。

暴力破解

黑客通过账户暴力破解成功登录主机后,便可获得主机的控制权限,进而窃取用户数据、勒索加密、植入挖矿程序、DDoS木马攻击等恶意操作,严重危害主机的安全。

检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。
  • 如果30秒内,账户暴力破解次数(连续输入错误密码)达到5次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因账户破解被入侵。默认拦截时间为12小时。
  • 根据账户暴力破解告警详情,如“攻击源IP”“攻击类型”“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。

支持的操作系统:Linux、Windows。

异常登录

检测“异地登录”“账户暴力破解成功”等异常登录。如果发生异常登录,则说明您的主机可能被黑客入侵成功。

  • 检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。

    异地登录检测信息包括“登录源IP”“登录时间”,攻击者尝试登录主机时使用的“用户名”“云服务器名称”

    如果在非常用登录地登录,则触发安全事件告警。

  • 如果账户暴力破解成功,登录到云主机,则触发安全事件告警。

支持的操作系统:Linux、Windows。

非法系统账号

黑客可能通过风险账号入侵主机,以达到控制主机的目的,需要您及时排查系统中的账户。

HSS检查系统中存在的可疑隐藏账号、克隆账号;如果存在可疑账号、克隆账号等,则触发告警。

支持的操作系统:Linux、Windows。

用户账号添加

检测使用命令创建隐藏账户,一旦创建成功后用户交互界面和命令查询均不可见。

支持的操作系统:Windows。

用户密码窃取

检测主机中的系统账号和密码Hash值被异常获取的行为,一旦发现进行告警上报。

支持的操作系统:Windows。

网络异常访问

网络异常访问指的是网络连接或数据传输过程中出现的不符合正常使用模式的异常情况,这些异常包括资源异常使用、非授权访问、异常连接等。服务器中出现网络异常访问行为可能是遭受攻击的前兆。

云蜜罐

检测到连接主机蜜罐端口的行为,进行告警上报。

支持的操作系统:Linux、Windows。

可疑的下载请求

检测到利用系统工具下载程序的可疑HTTP请求时进行告警。

支持的操作系统:Windows。

可疑的HTTP请求

检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。

支持的操作系统:Windows。

异常外联行为

检测到服务器存在异常外联可疑ip的行为,一旦发现进行告警上报。

支持的操作系统:Linux。

端口转发检测

检测到利用可疑工具进行端口转发行为,一旦发现进行告警上报。

支持的操作系统:Linux。

资源侦查

资源侦查是指恶意攻击者在发起正式攻击前,对目标网络进行的一系列侦查活动,以收集目标网络的相关信息,便于为后续的入侵寻求突破口。

端口扫描

检测用户指定的端口存在被扫描或者嗅探的行为,一旦发现进行告警上报。

支持的操作系统:Linux。

主机扫描

检测网络对主机规则覆盖ICMP ARP nbtscan的扫描活动,一旦发现立即上报告警。

支持的操作系统:Linux。

无文件攻击

无文件攻击是一种网络攻击方式,它在实施一次完整的攻击过程中,没有释放恶意的可执行文件,而是直接将恶意代码写入系统内存或注册表中。由于没有恶意文件,这种攻击方式往往很难被发现。

无文件攻击按照磁盘文件的活动,被分成3个类型:

  • 没有任何的文件活动

    即攻击活动没有任何的磁盘文件落地和磁盘文件的操作行为,一般这种攻击活动都脱离了操作系统,是由更上层的硬件固件和软件层发起的。

  • 通过文件间接活动

    即没有磁盘落地文件,但通过文件间接活动。恶意代码一般通过白文件间接加载到内存中执行。这类攻击恶意代码的载体大多数都是脚本,通过程序命令执行,也有通过磁盘引导记录等特定机制的执行。

  • 需要操作文件进行活动

    通常来说就是恶意代码变成了数据,攻击者利用文件相关的程序漏洞或功能特性将恶意数据转换为恶意代码执行。

进程注入

检测将恶意代码注入到正在运行的进程的行为,一旦发现立即告警上报。

支持的操作系统:Linux。

动态库注入进程

检测通过劫持动态链接库中的函数,从而实现白加黑注入代码的行为,一旦发现立即告警上报。

支持的操作系统:Linux。

内存文件进程

检测通过memfd_create的系统调用,创建一个只存在于RAM中的匿名恶意文件,从而执行恶意文件的行为,一旦发现立即告警上报。

支持的操作系统:Linux。

关键文件变更监控路径

类型

Linux

bin

/bin/ls

/bin/ps

/bin/bash

/bin/login

usr

/usr/bin/ls

/usr/bin/ps

/usr/bin/bash

/usr/bin/login

/usr/bin/passwd

/usr/bin/top

/usr/bin/killall

/usr/bin/ssh

/usr/bin/wget

/usr/bin/curl