青藤云安全,江湖人称“藤厂”,凭借在理念、技术和产品方面的优势在网络安全圈逐步封神,久战而立于不败之地。为了让更多人了解青藤、了解网络安全,笔者特开通此专栏,争取用简洁明了的语言讲清楚晦涩难懂的网安知识。
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片7-2.png)
第3事 拒绝服务器“裸奔”
前几天被问到这么一个问题
主机这么重要
为啥这几年才开始关注主机侧的入侵检测呢
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片8-4.png)
其实原因很简单:壁垒深、投入大、风险高
绝大部分厂商都不愿意去啃这块硬骨头
不过,青藤作为技术流代表
硬是把主机侧的入侵检测做成功了
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片9-4-1024x724.png)
此后,主机入侵检测系统HIDS
才正式成为重要的主机安全产品之一
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片10-4.jpg)
一、什么是HIDS?
主机入侵检测系统(HIDS)
就是基于主机的入侵检测系统
对,这次不是基于网络侧的入侵检测了
而是基于主机侧
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片11-4.png)
它通过在被检测的主机上运行一个Agent
该Agent扮演着检测引擎的角色
对受检测主机进行web后门、
反弹shell、本地提权、系统后门、挖矿木马
及web RCE等监控和检测
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片12-4.png)
当发现可疑行为和安全违规事件时
系统就会向管理员报警,以便采取措施
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片13-5.png)
二、为什么要搞HIDS?
说白了,都是攻击技术进化倒逼的
首先,网络入侵者花招百出,招招致命
其次,敌人有时候就在内部,防不胜防
最后,边界防御设备能挡住的入侵越来越少
形同虚设
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片14-4.png)
而想要确保网络的安全
光靠网络入侵检测系统(NIDS)
和防火墙(FW)是远远不够的
而是要从最核心的主机着手
进行安全防护
这就需要专门为主机量身定制的
HIDS无时不在的防护
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片15-4.png)
三、HIDS的技术壁垒在哪里?
如此专业、吊炸天的HIDS
是不是所有网安人的“梦中情品”嘞
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片16-3.png)
虽然现在号称有HIDS厂商众多
但大部分产品都存在这样或那样的问题
很难满足用户的真实诉求
要么是漏报太多,形同虚设
十个有九个都不发出告警
那这样的HIDS几乎等于白装
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片17-4.png)
要么告警铺天盖地,难辨真假
安全人员一天少说也得接到好几百条告警
但绝大部分告警都毫无意义
因为压根没人有时间管它
更可怕的是这些误报
甚至会淹没真正有价值的告警
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片18-3.png)
要么就是基于特征库,检测不到未知威胁
有的HIDS产品是“憨憨”
只能根据已经设置好的特征库来检测威胁
而面对特征库里没有输入的威胁种类时
它就成了“睁眼瞎”
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片19-3.png)
四、万相,HIDS产品中的王炸
俗话说
关关难过关关过,拒绝躺平,人人有责
青藤本着主机安全领域企业的自觉性
针对以上种种难题放了一个大招
自研了一款高效且功能全面的HIDS产品
青藤万相
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片20-3.png)
与其他HIDS产品相比
青藤万相牛批得可不是一点点
1、多锚点的检测能力,减少漏报
对攻击路径的每个节点都进行监控
并提供跨平台多系统的支持能力
保证了能实时发现失陷主机
对入侵行为进行告警
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片21-2.png)
2、检测并告警“成功的入侵”,抓住重点
只对成功的入侵行为发出告警
减少警报数量,让警报更有价值
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片22-3.png)
3、基于行为分析,有效发现未知手段的攻击
结合专家经验、威胁情报、大数据、 机器学习等
多种分析方法
通过对用户主机环境的实时监控
和深度了解有效发现包括“0Day”在内的各种未知攻击
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片23-2.png)
4、结合资产信息,为响应提供最准确的一线信息
万相不只能发现入侵
还能够提供详细的入侵分析和响应手段
让用户精准有效地解决问题
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片24-2.png)
将主机上的实时入侵事件发给SOC/SIEM平台进行联动
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片25-2.png)
此外,万相的最新版本具备防护能力
提供进程阻断、IP封禁、文件隔离/删除等服务
不过这些功能默认不开启
用户可根据实际需要自行操作
万相的这些独门绝技
让主机入侵检测实现
低漏报、低误报、主动检测未知威胁、
实时联动安全平台备受各行各业青睐
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片26-2-1024x723.png)
如果你有任何关于入侵检测或网络安全的需求与疑问
可以扫码添加青藤安全专家微信进行1V1交流
![](https://www.aqniu.com/wp-content/uploads/2022/07/图片27.jpg)
也可以拨打400-188-9287如有需求。