最近更新时间:2022-04-01
入侵检测主要包括暴力破解、异常登录、反弹Shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行和入侵处理记录几部分。
暴力破解
用于发现并阻止用户主机上各类关键应用被暴力破解,尝试登录的行为,防止登录账户被爆破。
异常登录
用于发现系统成功登录的信息中,包含非正常IP,非正常区域,非正常时间、非正常账号的登录信息。
反弹Shell
用于监控主机中所有利用Shell进行反向连接的行为,例如黑客入侵了一台服务器后通过设置一个反向Shell轻松地访问这台远程计算机等攻击行为,方便用户对主机中发生的反弹Shell行为进行查看、分析和处理。
本地提权
当用户以低权限进入主机系统,通过某种行为获得高权限时,该进程很有可能是黑客的网络攻击行为,威胁主机安全。本地提权功能用于对此类行为事件进行记录和统计。
后门检测
用于检测系统是否存在Booitkit、Rootkit、应用后门、病毒木马等问题。云端+客户端的双重检测模式,让后门的每一个特征和行为,都会被实时发现或者通过扫描进行上报告警,同时给出专业角度的安全分析。不仅支持对后门进行隔离、删除、修复验证等多种处理方式,同时也提供检测规则的高度自定义能力,方便用户对挖矿木马进行快速响应和预防。功能实现了从监控发现、检测分析、响应处理、设置预防的安全闭环能力,为用户提供稳定持续高效的安全服务。
Web后门
用于检查Web网站中存在的后门文件。
可疑操作
记录执行的Shell命令,您可以对操作进行筛选,也可以自定义规则发现可疑操作。
Web命令执行
通过分析常见的远程命令漏洞利用实例,利用模式识别的方式,实时监控用户进程行为的各项特征,对主机中进程异常的执行行为和执行命令内容进行精确匹配,有效发现黑客利用漏洞执行命令的行为痕迹,并及时进行告警。
入侵处理记录
用于保存并展示入侵中所有处理操作的记录,方便用户进行审核和排查错误。