文档首页/ 企业主机安全 HSS/ 用户指南/ 资产管理/ 主机指纹/ 主机指纹概述
更新时间:2025-12-10 GMT+08:00
查看PDF
分享

主机指纹概述

什么是主机指纹

企业IT环境中,可能会运行成百上千台主机,这些主机中的端口、账号、软件等资产信息会随运营运维持续不断的变化,运维管理人员很难实时、全面掌握每台主机的资产信息,导致资产状态不明、存在安全盲区,从而可能被攻击者利用,带来潜在安全风险。

企业主机安全的主机指纹功能,通过全面采集主机的账号、开放端口、进程、软件、自启动项、Web应用、Web服务、Web框架、Web站点、中间件、内核模块及数据库等关键特征信息,帮助用户掌握每台主机的资产状态,提升运维效率,消除安全盲点。

主机指纹采集内容

主机指纹采集的资产类型包括账号、开放端口、进程、软件、自启动项、Web应用、Web服务、Web框架、Web站点、中间件、内核模块和数据库,采集的具体信息项请参见主机指纹采集内容

表1 主机指纹采集内容

资产类型

采集说明

采集信息项

支持的操作系统

账号

采集主机系统账号,帮助用户识别可疑账号。
  • 账号的实时信息:账号名称、关联服务器数、服务器名称/IP、登录权限、ROOT权限、用户组、用户目录、用户启动Shell
  • 账号的历史变动记录信息:账号名称、关联服务器、服务器名称/IP、变动状态、登录权限、ROOT权限、用户组、用户目录、用户启动Shell

Linux、Windows

开放端口

采集主机系统中的端口,帮助用户识别出其中的危险端口。HSS定义的危险端口请参见危险端口列表

端口号、协议类型、关联服务器数、服务器名称/IP、监听IP、状态、进程PID、程序文件

Linux、Windows

进程

采集主机系统中运行的进程,帮助用户发现异常进程(如隐藏进程、陌生 HASH 进程)。

若连续30天未检测到进程活动,将自动从进程信息列表中移除该进程的相关记录。

进程路径、关联服务器数、服务器名称/IP、启动参数、启动时间、运行用户、文件权限、进程PID、文件HASH

Linux、Windows

软件

采集主机系统中的软件信息,帮助用户清点软件资产,识别不安全的软件版本。

已支持采集的软件类型如下:

  • Linux:包管理器(如rpm,dpkg)安装的软件信息。
  • Windows:注册表中的软件信息。
  • 软件的实时信息:软件名称、关联服务器数、服务器名称/IP、软件版本
  • 软件的历史变动记录信息:软件名称、关联服务器数、服务器名称/IP、变动状态、软件版本

Linux、Windows

自启动项

采集主机系统中的自启动服务、开机启动文件夹、预加载动态库、Run注册表键、定时任务,帮助用户及时发现异常自启动项,快速定位木马程序。
  • 自启动项的实时信息:自启动项名称、类型、服务器数、服务器名称/IP、路径、文件HASH、运行用户
  • 自启动项的历史变动记录信息:服务器名称/IP、路径、文件HASH、运行用户

Linux、Windows

Web站点

采集Web内容存放目录及对外访问的站点信息,帮助用户全面掌握网站结构与访问路径,防止非法访问。

已支持采集的Web站点包括:基于Linux系统的Apache、Nginx、Tomcat。

Web站点名称、服务器数、服务器名称/IP、对外域名、对外端口、URL路径、Web目录、目录权限、目录UID、目录最后修改时间、是否SSL证书、证书颁发者、证书使用者、证书颁发时间、证书过期时间、关联进程PID

Linux

Web框架

采集Web页面所使用的开发框架信息,帮助用户识别框架漏洞。

已支持采集的Web框架类型包括以下几种,均基于Linux系统:

  • Java语言框架:Struts、struts2、spring、hibernate、webwork、quartz、velocity、turbine、freemarker、flexive、stripes、vaadin、vertx、wicket、zkoss、jackson、fastjson、shiro、MyBatis、Jersey、JFinal。
  • Python语言框架:Django、Flask、Tornado、web.py、web2py。
  • PHP语言框架:Webasyst、KYPHP、CodeIgniter、InitPHP、SpeedPHP、ThinkPHP、OneThink
  • Go语言框架:Gin、Beego、Fasthttp、Iris、Echo。

Web框架名称、服务器数、服务器名称/IP、版本号、路径、关联进程PID、进程路径

Linux

中间件

采集主机系统中的所有Python包、npm包、Java 进程当前加载的jar包及其嵌套依赖的jar包,帮助用户掌握服务运行支撑组件,识别异常组件。

中间件名称、服务器数、服务器名称/IP、版本号、路径、关联进程PID、进程路径

Linux、Windows

内核模块

采集加载到操作系统内核层的程序模块,帮助用户识别底层运行行为,防止底层入侵。

模块名称、服务器数、版本号、源码版本号、模块描述、驱动文件路径、文件大小、文件权限、文件用户ID、文件创建时间、最后修改时间、文件HASH

Linux

Web服务

采集对外提供Web内容访问的软件详细信息,帮助用户了解网站托管服务配置,防范服务漏洞与配置风险。

已支持采集的Web服务类型包括:

  • Linux:Apache、Nginx、Tomcat、Weblogic、WebSphere、JBoss、Wildfly、Jetty。
  • Windows:Tomcat

Web服务名称、服务器数、服务器名称/IP、版本号、软件目录、目录权限、目录UID、目录最后修改时间、配置文件、关联进程PID、进程路径

Linux、Windows

Web应用

采集用于推送和发布Web内容的软件详细信息,帮助用户了解内容传播渠道,防范应用漏洞。

已支持采集的Web应用类型包括:

  • Linux:PHPMailer、PHPMyadmin、DedeCMS、Wordpress、ThinkPHP、BigTree、JPress、Jenkins、Zabbix、Discuz!、ThinkCMF。
  • Windows:畅捷通

Web应用名称、服务器数、服务器名称/IP、版本号、软件目录、目录权限、目录UID、目录最后修改时间、配置文件、关联进程PID、进程路径

Linux、Windows

数据库

采集提供数据存储的软件详细信息,帮助用户掌握核心数据存储“载体”,防范数据库漏洞和配置风险。

已支持采集的数据库类型包括:

  • Linux:MySQL、Redis、Oracle、MongoDB、Memcache、PostgreSQL、HBase、DB2、Sybase、达梦数据库管理系统、金仓数据库管理系统KingbaseES。
  • Windows:MySQL

数据库名称、服务器数、服务器名称/IP、版本号、软件目录、目录权限、目录UID、目录最后修改时间、配置文件、关联进程PID、进程路径

Linux、Windows

主机指纹采集方式

主机指纹支持自动采集和手动采集两种采集方式,如有需要您可以设置自动采集周期或手动采集指纹。

  • 自动采集

    在服务器开启企业主机安全企业版及以上版本的防护后,企业主机安全将自动采集所有资产的指纹信息,各指纹项的采集周期如表2所示。自动采集周期的起始点为Agent安装成功或重启的时间点。

    如果您使用的企业主机安全旗舰版及以上版本,可自定义中间件、Web框架、内核模块、Web应用、Web站点、Web服务以及数据库的自动采集周期,详细操作请参见资产发现

    表2 自动采集的资产类型和采集周期

    资产类型

    自动采集周期

    账号

    每小时自动采集。

    开放端口

    每30秒自动采集。

    进程

    每小时自动采集。

    软件

    每日自动采集。

    自启动项

    每小时自动采集。

    Web站点

    1次/周,每周一凌晨04:10(+1小时内随机偏移)。

    Web框架

    1次/周,每周一凌晨04:10(+1小时内随机偏移)。

    中间件

    1次/周,每周一凌晨04:10(+1小时内随机偏移)。

    内核模块

    1次/周,每周一凌晨04:10(+1小时内随机偏移)。

    Web服务

    1次/周,每周一凌晨04:10(+1小时内随机偏移)。

    Web应用

    1次/周,每周一凌晨04:10(+1小时内随机偏移)。

    数据库

    1次/周,每周一凌晨04:10(+1小时内随机偏移)。
  • 手动采集

    如果您想立即查看资产的最新指纹信息,可使用企业主机安全提供的一键采集功能采集主机指纹。

约束与限制

主机指纹功能仅企业主机安全企业版、旗舰版、网页防篡改版、容器版支持,购买和升级企业主机安全的操作,请参见购买主机安全防护配额升级防护配额

相关文档

父主题: 主机指纹

相关文档