容器安全告警事件概述
开启节点防护后,部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控,支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型,及时发现资产中的安全威胁、实时掌握资产的安全状态。
约束限制
- 仅HSS容器版支持容器安全告警功能。购买和升级HSS的操作,请参见购买主机安全防护配额和配额版本升级。
容器安全告警介绍
关于容器安全告警类型及具体的告警项介绍请参见表1。
告警类型 |
告警类型说明 |
告警项 |
告警原理说明 |
---|---|---|---|
恶意软件 |
恶意软件可能是黑客入侵成功之后植入的病毒、蠕虫、木马、后门等,用于窃取数据或攫取不当利益。 例如:黑客入侵之后植入木马,将受害主机作为挖矿、DDoS肉鸡使用,这类程序会大量占用主机的CPU资源或者网络资源,破坏用户业务的稳定性。 |
未分类恶意软件 |
通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出容器中未知的恶意程序和病毒变种。 |
病毒 |
对容器进行实时检测,对在容器环境中发现的各种病毒进行告警上报。 |
||
蠕虫 |
对容器中入侵的蠕虫或已存在的蠕虫进行检测,并进行告警上报。 |
||
木马 |
对容器中入侵的木马或已存在的木马病毒进行检测、查杀,并进行告警上报。 |
||
僵尸网络 |
对容器中入侵的僵尸网络或已存在的僵尸网络进行检测、查杀,并进行告警上报。 |
||
后门 |
检测容器中存在的后门,并进行告警上报。 |
||
rootkits |
检测容器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。 |
||
勒索软件 |
检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。 |
||
Webshell |
检测容器中Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。 |
||
黑客工具 |
检测利用漏洞或者黑客工具的恶意行为,一旦发现进行告警上报。 |
||
挖矿软件 |
对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测,发现时立即进行告警上报。 |
||
漏洞利用 |
漏洞利用是指利用服务器系统、软件或网络中存在的漏洞,以获取未授权访问权限、窃取数据或对目标系统进行破坏的行为。 漏洞利用通常被分为远程利用和本地利用。远程漏洞利用指攻击者利用网络连接到目标系统,挖掘系统漏洞实施攻击。本地漏洞利用指攻击者已在目标系统上取得低权限访问后,利用漏洞升级权限或执行其他恶意操作。 |
漏洞逃逸攻击 |
漏洞逃逸攻击是指攻击者利用应用程序漏洞、容器基础设施/编排系统漏洞、容器运行时漏洞等,通过一些操作或手段,绕过安全机制,获取未授权的访问权限或执行未授权操作等。 HSS监控到容器内进程行为符合已知漏洞的行为特征时(例如:“脏牛”、“bruteforce”、“runc”、“shocker”等),触发逃逸漏洞攻击告警。 |
文件逃逸攻击 |
文件逃逸攻击是指攻击者利用文件系统或应用程序漏洞,绕过文件权限限制,访问或修改未经授权的文件或目录。 HSS监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,HSS仍然会触发告警。
说明:
统信UOS 1050u2e操作系统暂不支持文件逃逸攻击检测。 |
||
SQL注入 |
实时检测SQL注入攻击,同时检测Java应用是否存在对应漏洞。 SQL注入(SQL Injection)是一种攻击技术,攻击者利用Web应用程序中构建动态SQL查询的漏洞缺陷,在用户输入字段中插入恶意代码,欺骗数据库执行SQL命令,从而窃取、篡改或破坏各类敏感数据,甚至是在数据库主机上执行危险的系统级命令。由于绝大多数网站和Web应用都需要使用SQL数据库,这使得SQL注入攻击成为了最古老、分布最广的网络攻击类型之一。 支持的操作系统:Linux、Windows。 |
||
命令注入 |
检测远程OS命令注入攻击,同时检测Java应用是否存在对应漏洞。 OS命令注入(OS Command Injection)是一个Web程序漏洞,这种漏洞通常出现在需要用户输入命令的应用程序中,如果用户输入没有有效的过滤和验证机制,就可能导致该漏洞。它允许攻击者在运行应用程序的服务器上执行任意的操作系统命令。 |
||
XSS攻击 |
检测存储型跨站脚本注入攻击。 XSS(Cross-Site Scripting,跨站脚本攻击)是一种典型的Web程序漏洞利用攻击。攻击者利用Web程序对用户输入检查不足的漏洞将可执行恶意脚本注入网站或Web应用,当用户访问网页时触发恶意脚本的执行,从而达到窃取用户个人数据、弹出广告,甚至篡改网页内容等攻击目的。 支持的操作系统:Linux、Windows。 |
||
XML注入 |
检测XML外部实体攻击,同时检测Java应用是否存在对应漏洞。 XML外部实体注入(XML External Entity Injection)漏洞。如果应用程序在解析XML文件时,没有禁用外部实体引用,攻击者可通过构造恶意的XML内容,读取任意文件、执行系统命令等。 |
||
代码注入 |
检测表达式注入和反序列化输入等攻击。 表达式注入即EL表达式注入(EL Injection),当EL表达式外部可控时,攻击者可以通过构造恶意的EL表达式让程序执行恶意操作。 反序列化指的是将序列化的数据(字符串、字节流等)恢复为原始对象的过程。在生成反序列化对象过程中,攻击者可以通过构造特定的序列化数据输入,控制生成的对象,从而实现一些恶意攻击。 |
||
命令执行 |
检测执行的命令中是否含有0 day漏洞等安全漏洞,避免黑客利用这些漏洞进行网络攻击。 |
||
JNDI注入攻击 |
检测JNDI注入攻击,同时检测Java应用是否存在对应漏洞。 当应用使用JNDI的lookup方法时,如果查询的URL可以由外部控制,攻击者可以构造恶意的URL,使得服务器加载恶意载荷,从而实现远程代码执行。 |
||
SSH登录逃逸 |
检测容器通过SSH登录主机后,利用主机权限执行恶意操作突破隔离的操作。攻击者利用该操作可获取主机资源控制权,危害系统安全。 |
||
系统异常行为 |
系统异常行为是指服务器在运行过程中出现的不正常行为,这种行为通常是由于系统故障、恶意攻击或其他安全漏洞引起的。系统异常行为可能会导致数据丢失、系统瘫痪等问题。因此,及时发现和处理系统异常行为是保障服务器系统和数据安全的重要措施之一。 |
反弹Shell |
实时监控用户的进程行为,支持告警和阻断进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 如需反弹Shell自动化阻断,可在“策略管理”的“HIPS检测”策略中开启“自动化阻断”。 目前支持阻断的反弹shell类别:exec反弹Shell、Perl反弹Shell、AWK反弹Shell、Python反弹Shell.b、Python反弹Shell.a、Lua反弹Shell、mkfifo/openssl反弹Shell、PHP反弹Shell、Ruby反弹Shell、使用rssocks进行反向代理、Bash反弹Shell、Ncat反弹Shell、exec重定向反弹Shell、Node反弹Shell、Telnet双端口反弹Shell、nc反弹Shell、Socat反弹Shell、rm/mkfifo/sh/nc反弹Shell、socket/tchsh反弹Shell。 |
文件提权 |
检测利用SUID、SGID程序漏洞进行root提权的行为,一旦发现进行告警上报。 |
||
进程提权 |
当黑客成功入侵容器后,会尝试利用漏洞进行root提权或者文件提权,从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作:
|
||
关键文件变更 |
实时监控系统关键文件(例如:ls、ps、login、top等),对修改文件内容的操作进行告警,提醒用户关键文件可能被篡改。监控的关键文件的路径请参见关键文件变更监控路径。 对于关键文件变更,HSS只检测文件内容是否被修改,不关注是人为还是进程进行的修改。 |
||
文件/目录变更 |
实时监控系统文件/目录,对创建、删除、移动、修改属性或修改内容的操作进行告警,提醒用户文件/目录可能被篡改。 |
||
进程异常行为 |
检测容器进程信息,包括进程ID、命令行、进程路径、行为等,当进程出现无故崩溃、占用过多资源、产生网络连接等异常行为时进行告警。 |
||
高危系统调用 |
Linux系统调用是用户进程进入内核执行任务的请求通道。HSS实时监控容器进程,如果发现进程使用了危险系统调用(例如:“open_by_handle_at”、“ptrace”、“setns”、“reboot”等),触发高危系统调用告警。 |
||
异常Shell |
检测容器系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测,HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 |
||
高危命令执行 |
实时检测容器系统中执行的高危命令,当发生高危命令执行时触发告警。 |
||
容器进程异常 |
|||
敏感文件访问 |
HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 |
||
容器异常启动 |
HSS监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险,并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击,仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测:
|
||
容器镜像阻断 |
在Docker环境中容器启动前,HSS检测到镜像异常行为策略中指定的不安全容器镜像运行时触发告警。
说明:
|
||
可疑命令执行 |
|
||
运行时异常行为 |
运行时异常行为是指在容器运行过程中出现的一些可疑行为,这些行为可能会对容器安全造成影响,甚至被攻击者利用实现容器逃逸。 HSS的运行时异常行为检测功能提供网络、主机、Pod、容器、进程、系统调用多层次防护,可监控容器宿主机和容器内出现的进程、文件、网络活动、进程Capabilities、系统调用共5种异常行为,支持对异常行为进行告警和阻断,阻止容器逃逸,保护容器运行时的安全。
满足以下条件的容器可以使用运行时异常行为检测功能:
如需使用运行时异常行为检测功能,需要配置并开启容器防逃逸策略,具体操作请参见配置策略。 |
||
异常命令执行 |
检测攻击者通过Webshell或其他漏洞在服务器上执行未经授权的系统命令的行为,如执行恶意命令cmd、bash命令等。 |
||
数据库连接异常 |
检测数据库连接异常,包括认证异常、通信异常等,一旦发现立即告警上报。 |
||
用户异常行为 |
用户异常行为是指在特定环境或系统中,用户的行为模式与正常行为模式不符,或者在短时间内出现了异常的、突发的行为,这些行为可能表现为异常登录、非法访问等。为了检测和识别这些异常行为,需要对用户的操作进行分析检测。 |
非法系统用户账号 |
黑客可能通过风险账号入侵容器,以达到控制容器的目的,需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号;如果存在可疑账号、克隆账号等,则触发告警。 |
暴力破解 |
黑客通过账户暴力破解成功登录容器后,便可获得容器的控制权限,并进而执行一系列恶意操作,包括但不限于窃取用户数据、实施勒索加密、植入挖矿程序、部署DDoS木马攻击等,严重危害容器的安全。 HSS支持在容器运行时监控SSH、MySQL和 vsftp服务的登录行为,以检测是否遭受暴力破解攻击。每个容器节点支持检测的容器SSH服务实例最多为3个,MySQL或vsftp服务实例最多为5个,超出部分将不进行暴力破解攻击检测。 默认情况下,当同一IP地址在30秒内连续输入错误密码达5次及以上,或者1小时内连续输入错误密码达15次及以上时,HSS将不区分具体的登录用户,根据最后一次尝试登录的用户名进行告警。如需修改暴力破解检测规则请参见登录安全检测。
说明:
Ubuntu 24.04、Suse 15 SP6操作系统暂不支持暴力破解检测告警。 |
||
异常登录 |
检测攻击者通过暴力破解成功登录主机的异常登录事件。 |
||
用户密码窃取 |
检测到通过非法手段获取用户密钥行为,一旦发现进行告警上报。 |
||
网络异常访问 |
网络异常访问指的是网络连接或数据传输过程中出现的不符合正常使用模式的异常情况,这些异常包括资源异常使用、非授权访问、异常连接等。服务器中出现网络异常访问行为可能是遭受攻击的前兆。 |
异常外联行为 |
检测容器中存在异常外联可疑ip的行为,一旦发现进行告警上报。 仅支持检测5.10及以上内核版本的容器。 |
端口转发检测 |
检测到利用可疑工具进行端口转发行为,一旦发现进行告警上报。 |
||
信息破坏 |
信息破坏是指未经授权对信息系统的数据进行非法修改、删除或破坏的行为,目的是破坏信息的完整性、可用性。 |
目录遍历 |
检测目录遍历行为,一旦发现立即告警上报。 目录遍历(Directory Traversal),又称路径遍历(Path Traversal),是一种利用应用程序对文件路径验证不严的安全漏洞。攻击者通过构造特殊路径字符串(如"../"),访问应用程序预期范围之外的文件系统目录和文件,可能导致敏感信息泄露、系统文件被篡改等安全风险。 |
集群异常行为 |
集群异常行为是指在集群环境中出现的异常行为,比如Pod创建或执行异常、枚举用户信息等,这些异常可能表明集群正在遭受攻击。 |
Pod异常行为 |
检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为,以及对现存pod执行的异常操作,一旦发现进行告警上报。 |
枚举用户信息 |
检测存在枚举集群用户的权限以及可执行操作列表的行为,一旦发现进行告警上报。 |
||
绑定集群用户角色 |
检测绑定、创建高权限集群角色或Service Account的行为,一旦发现进行告警上报。 |
||
Kubernetes事件删除 |
检测集群中删除Kubernetes事件的行为,一旦发现进行告警上报。 |
||
无文件攻击 |
无文件攻击是一种网络攻击方式,它在实施一次完整的攻击过程中,没有释放恶意的可执行文件,而是直接将恶意代码写入系统内存或注册表中。由于没有恶意文件,这种攻击方式往往很难被发现。 无文件攻击按照磁盘文件的活动,被分成3个类型: |
进程注入 |
检测将恶意代码注入到正在运行的进程的行为,一旦发现立即告警上报。 |
动态库注入进程 |
检测通过劫持动态链接库中的函数,从而实现白加黑注入代码的行为,一旦发现立即告警上报 。 |
||
内存文件进程 |
检测通过memfd_create的系统调用,创建一个只存在于RAM中的匿名恶意文件,从而执行恶意文件的行为,一旦发现立即告警上报。 |
安全告警等级说明
企业主机安全根据告警事件对业务系统的威胁程度,将告警划分为致命、高危、中危、低危四个等级,表2详细解释了各告警等级的含义。
告警等级 |
说明 |
---|---|
致命 |
致命级别的告警表示系统已经受到严重的攻击,可能导致数据丢失、系统崩溃或者长时间的服务中断。例如,发现勒索加密行为或恶意程序感染。建议您立即处理,避免对系统造成更严重的损害。 |
高危 |
高危级别的告警表示系统可能正在受到攻击,但尚未造成严重的损害。例如,检测到未授权的登录尝试或执行了危险命令(如删除关键系统文件或修改系统设置的命令)。建议您及时调查并采取措施,以防止攻击蔓延。 |
中危 |
中危级别的告警表示系统存在潜在的安全威胁,但目前没有明显遭受攻击的迹象。例如,检测到文件或目录的异常修改,表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施,以确保系统的安全。 |
低危 |
低危级别的告警表示系统存在轻微的安全威胁,不会对系统的正常运行产生显著影响。例如,检测到一些端口扫描行为,这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理,不需要立即采取紧急措施。如果您的资产安全等级要求较高,可以关注该等级的安全告警。 |