应用场景

拦截恶意攻击

通过分析7层协议（包括HTTP/MySQL等交互协议），对满足一些恶意特征的请求进行检测，并产生响应告警。通过安全运营手段进一步确认之后，通过IP黑名单的方式进行阻断和拦截，避免黑客利用云主机的漏洞和脆弱性实施攻击。NDR支持拦截的恶意攻击类型包括但不限于以下类型：

• 目录遍历攻击
• 信息泄露攻击
• WebShell、后门木马攻击
• SQL注入攻击
• 文件包含、文件上传攻击
• 绕过、提权攻击
• 跨站脚本、请求伪造攻击
• 代码执行攻击
• Web管理平台爆破（phpmyadmin、wordpress）

阻断暴力破解和恶意扫描

通过网络流量分析，在时间维度上针对包含暴力破解和恶意扫描特征的请求进行检测，并产生告警。通过安全运营手段进一步确认之后，通过IP黑名单的方式进行阻断和拦截。

当云主机被黑客暴力破解后，主机即成为“僵尸/肉鸡”，黑客通常会通过跳板机来控制僵尸主机进行二次暴力破解和恶意扫描，企图扩大被控制主机的数量。其原理如图1所示。

图1 云主机暴力破解和恶意扫描

• 暴力破解

  NDR支持对FTP、SSH、RDP协议的暴力破解检测和拦截；并对数据库，包括MS-SQL、MySQL的恶意访问进行检测和拦截；同时针对常见Web管理后台的暴力破解进行检测，包括phpmyadmin、wordpress。

• 恶意扫描

  NDR支持对常见扫描工具、漏洞扫描进行检测：如nmap扫描、zmap扫描、RPC漏洞扫描、CLDAP反射扫描，发现并记录风险事件。

拦截主机对外攻击

黑客通过上传木马后门去控制僵尸主机，并通过僵尸主机对外发动攻击（如暴力破解、恶意扫描、DDoS攻击），让企业无法溯源到真实的攻击源信息。

其原理如图2所示。

NDR支持对被控制主机对外的攻击行为进行检测和拦截。

图2 云主机被控制后对外发起攻击

阻断主机挖矿

挖矿是指使用大算力或海量服务器挖掘虚拟货币的通俗说法。因为有利可图，黑客通过控制主机来进行挖矿，期间会占用大量CPU、带宽等资源，影响正常业务运行的同时造成巨大的资源浪费。

当黑客控制多台主机后，即可在主机上部署挖矿脚本，此脚本通过专门的挖矿控制通道与黑客的控制端通讯。其原理如图3所示。

NDR支持对非法挖矿行为进行检测和拦截，有效防止因挖矿带来的资源浪费及业务中断。

图3 主机被控制后挖矿

流量审计

NDR可以记录高危协议、中间件应用、黑客工具的访问日志，可以用于流量审计和分析。