孩交精品xxxx视频视频-综合久久国产九一剧情麻豆-好深好大好长好爽18禁-熟熟熟熟熟熟熟熟妇50岁

Phone: 15828001315 Email: 532171911@qq.com

防0day進程防火墻

2024-04-03 11:04:57 276

Process Traffic 0 Day Firewall 簡稱ZDFW是一款Linux服務器高級威脅感知系統(tǒng),XDP下一代流量防火墻、進程防火墻和主機安全組成,專注未知攻擊0day對抗,目標是徹底解決服務器安全問題。

總體架構

進程流量防火墻平臺,主要由端+控制臺構成,提供了包含漏洞掃描、風險管理、入侵威脅管理、流量監(jiān)控、安全防護、合規(guī)基線、抗DDOS、安全告警、登錄分析等功能。

端:主機客戶端輕量Agent

客戶端Agent部署在服務器上(支持物理服務器、虛擬化服務器),提供多個層面的安全監(jiān)測和安全防護,可快速識別及阻斷黑客攻擊。Agent主要功能:進程活動與流量分析并引入機器學習。

Server端安全引擎

Server 端安全引擎作為平臺的中樞,持續(xù)接收各個Agent上報的信息,并進行解析、處理、分析和保存,根據(jù)經驗庫和用戶自定義規(guī)則,發(fā)現(xiàn)漏洞、異常登錄行為、異常網絡連接行為、文件異常操作、賬號異常操作、異常命令調用行為和進程異常行為,實時發(fā)現(xiàn)入侵行為。

控制臺:Web管理平臺

Web 控制臺的形式和?戶交互,清晰展示各項安全檢測和分析的結果,并對重?威脅進?實時告警,同時以人機交互的方式提供用戶自定義各種安全策略,以及靈活的策略分發(fā),提升精細化管理,幫助?戶更好更快地處理安全問題。

    1. 功能架構

物理安全:主要是監(jiān)測計算資源使用情況,CPU、內存被進行消耗明細及風險預測。

流量安全:基于各進程流量采集進行機器學習再綜合分析,可設置白黑名單、抗DDOS、XDP防護。

進程安全:捕獲進程原始聯(lián)網報文,在結合機器學習,對進程行為進行風控分析。

SSH安全:分析server后臺登錄安全態(tài)勢,以及操作命令記錄,對公網服務器登錄進行安全評估。

文件篡改:檢測重要目錄、重要文件是否被非法串改。

基線檢測:對操作系統(tǒng)重要配置進程合規(guī)檢測提高安全防護能力。

漏洞掃描:對指定文件路徑進行掃描發(fā)現(xiàn)漏洞。

  • 動態(tài)實時防護檢測進程

進程流量防火墻支持動態(tài)實時監(jiān)控文件落盤的方式,檢測在惡意文件篡改啟動運行之前進行檢測并處置,檢測時效性強。而且支持自定義目錄進行掃描和實時監(jiān)控。

  • 無文件內存馬攻擊檢測

內存馬是無文件攻擊的一種常用手段,通過在內存中植入惡意后門或木馬并執(zhí)行,達到遠程控制WEB服務器的目的。在攻擊者通過容器漏洞或應用漏洞注入內存馬后,可在所訪問任意url或者指定url中帶上命令執(zhí)行參數(shù),進而在服務器執(zhí)行系統(tǒng)命令。以Java為例,客戶端發(fā)起的WEB請求可能會經過Listener、Filter、Servlet等組件,攻擊者只要在這個請求的過程中在內存中修改已有的組件或者動態(tài)注冊一個新的組件,插入惡意的代碼,即可達到目的。

進程流量防火墻無文件內存馬檢測支持定時或實時檢測注入進程的內存馬,包括Listener、Filter、Servlet等內存馬類型,并支持JSP和Agent注入兩種檢測引擎。

  • 進程監(jiān)控檢測遠程命令執(zhí)行

通過分析常見的遠程命令漏洞利?實例,利?模式識別的?式,實時監(jiān)控?戶進程?為的各項特征,對主機中進程異常的執(zhí)??為和執(zhí)?命令內容進?精確匹配,能有效發(fā)現(xiàn)?客利?漏洞執(zhí)?命令的?為痕跡,并及時進?告警。檢測的漏洞利用規(guī)則覆蓋ATT&CK攻擊矩陣中14個階段常見的攻擊戰(zhàn)術和WEB RCE(遠程命令執(zhí)行) 漏洞利用的檢測,包括:密碼查看工具、提權工具、隧道工具、端口掃描工具、進程注入工具、計劃任務、遠程管理、獲取交互式命令行界面、遠程執(zhí)行下載命令、白名單進程利用、0day漏洞利用等等WEB RCE漏洞利用的規(guī)則包括:Java反序列化遠程命令執(zhí)行漏洞、redis遠程命令執(zhí)行漏洞、IIS遠程命令執(zhí)行漏洞、apache2遠程命令執(zhí)行漏洞、php-fpm遠程命令執(zhí)行漏洞及常見廠商的遠程命令執(zhí)行漏洞等。

功能同時也?持?戶?定義規(guī)則進?檢測,可幫助適應客戶多樣化的業(yè)務流程,精準覆蓋各類 RCE 攻擊的監(jiān)控場景。

  • 登錄監(jiān)控常用登錄自學習

進程流量防火墻支持自學習主機常用登錄IP,并記錄到主機登錄常用IP白名單中。白名單中的IP登錄不告警。同時支持設置互信登錄組,在同一個互信登錄組內的主機相互登錄默認為正常登錄。

  • 反彈shell檢測

通過對主機上的進程?為進?實時監(jiān)控,識別進程的網絡外聯(lián)外聯(lián)行為,實時發(fā)現(xiàn)進程的?法外聯(lián)所產?的反彈 Shell 。支持查看反彈shell的詳細進程信息,包括反彈進程信息、父進程信息、進程命令參數(shù)等。

  • 文件蜜罐

本產品支持文件蜜罐功能,支持對主機上的敏感文件設置規(guī)則進行實時監(jiān)控,也支持創(chuàng)建虛假的蜜罐文件,來誘導黑客進行惡意篡改。支持監(jiān)控的文件操作有創(chuàng)建、刪除、修改、讀取、權限修改,同時支持進程樹的采集。一旦發(fā)現(xiàn)符合監(jiān)控規(guī)則的惡意操作行為,立刻發(fā)送告警。

  • 外聯(lián)監(jiān)測

外聯(lián)監(jiān)測指通過機器學習主機外聯(lián)行為,并形成外聯(lián)行為基線,當檢測到主機發(fā)生基線外的外聯(lián)行為時認為存在異常外聯(lián),并進行告警。

Copyright © 成都英特斯瑪特科技有限公司 2017.All right reserved.Powered by SIYUCMS
備案號:蜀ICP備19029051號-1

選擇樣式

選擇布局
選擇顏色
選擇背景
選擇背景
0.055222s