入侵检测
最近更新时间: 2023-08-17 14:44:51
文件查杀:提供常用的 Web 网站类脚本木马后门检测,包含ASP/PHP/JSP/Python 等脚本语言。提供对二进制可执行类的病毒木马检测。
异常登录: 支持实时监控异常登录行为,识别非白名单 IP 登录并判定威胁等级,支持白名单配置,条件支持实时检测主机内外联恶意域名请求,提供威胁源信息和事件记录,并自动告警用户。包括:来源 IP、登录用户名、登录时间、登录地和生效服务器范围。
密码破解:支持对 SSH、RDP 等暴力破解行为进行实时检测、告警、阻断功能,支持登录白名单配置,支持自定义暴破阻断规则,事件记录包含:来源 IP、来源地、登录用户名、攻击时间、尝试次数、阻断状态等信息。
本地提权:实时监控并告警您服务器上的权限提高事件(以低权限进入主机,之后通过某种行为获得高权限),支持白名单配置;事件记录包含:服务器/名称、提权用户、提权进程、父进程、父进程所属用户、发现时间、文件路径及进程树等。
反弹Shell:对服务器公网反弹 Shell 建立的连接行为进行识别和告警,并支持白名单配置;事件记录包含:服务器/名称、连接进程、父进程、目标主机、目标端口、发现时间、文件路径、进程树及执行命令等。
高危命令:记录云服务器上执行的 bash 命令,实时监控被审计规则判断为危险的操作;提供默认规则配置,以及支持用户自定义规则配置;事件记录包含:服务器/名称、命中规则名、危险等级、命令内容、登录用户及操作时间等。
Java内存马:实时监控、捕捉 JavaWeb 服务进程内存中存在的未知 Class,结合建行云攻防经验及专家知识自动识别内存木马,检测到内存马,系统将为您实时告警。