青藤主機(jī)自適應(yīng)安全平臺(tái)，通過對主機(jī)信息和行為進(jìn)行持續(xù)監(jiān)控和分析，快速精準(zhǔn)地發(fā)現(xiàn)安全威脅和入侵事件，并提供靈活高效的問題解決能力，將自適應(yīng)安全理念真正落地，為用戶提供下一代安全檢測和響應(yīng)能力。

青藤產(chǎn)品體系采用模塊化的組織形式，實(shí)現(xiàn)了各功能的智能集成和協(xié)同聯(lián)動(dòng)。“風(fēng)險(xiǎn)發(fā)現(xiàn)”可主動(dòng)、精準(zhǔn)發(fā)現(xiàn)系統(tǒng)中存在的安全風(fēng)險(xiǎn)，提供持續(xù)的風(fēng)險(xiǎn)監(jiān)測和分析能力；“入侵檢測”可實(shí)時(shí)發(fā)現(xiàn)入侵事件，提供快速防御和響應(yīng)能力；“資產(chǎn)清點(diǎn)”可主動(dòng)識(shí)別系統(tǒng)內(nèi)部資產(chǎn)情況，并與風(fēng)險(xiǎn)和入侵事件自動(dòng)關(guān)聯(lián)，提供靈活高效的回溯能力。

運(yùn)行在底層的青藤核心平臺(tái)架構(gòu)，是下一代主機(jī)安全能力引擎。其插件化的構(gòu)建方式，不僅具備靈活的擴(kuò)展能力，同時(shí)能實(shí)現(xiàn)各功能模塊之間無縫聯(lián)動(dòng)；其分布式的部署方式，能夠應(yīng)對客戶大量任務(wù)下發(fā)和大型攻擊來臨的海量數(shù)據(jù)分析處理，并始終保持穩(wěn)固的性能。

• 產(chǎn)品架構(gòu)

青藤自適應(yīng)安全的架構(gòu)體系是一種“探針+插件式安全能力+統(tǒng)一管理平臺(tái)”的架構(gòu)。

這種架構(gòu)有兩種探針：

第一種探針(Agent)需部署在每臺(tái)服務(wù)器上（物理機(jī)或虛擬機(jī)皆可）；

第二種探針則是一種無需部署、從外部進(jìn)行檢查的檢測器(Checker)；

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖1 ?青藤Agent部署情況

這兩種Agent都可以搭載很多模塊，以擴(kuò)充和加強(qiáng)不同的安全能力。這種模塊的搭載和部署是軟件化、虛擬化的，可以隨時(shí)隨地搭載和移除，并且模塊之間有很強(qiáng)的協(xié)同能力。

雙重探針代表企業(yè)安全的兩種角度，第一種角度是站在企業(yè)內(nèi)部，詳細(xì)掌握系統(tǒng)內(nèi)狀況；第二種是獨(dú)立的第三方角度。僅從一種角度去分析問題是不夠的，企業(yè)需要把這兩個(gè)維度放在云端相互關(guān)聯(lián)分析，把安全問題看得更加準(zhǔn)確和清楚。

此外，系統(tǒng)還可接入各種威脅情報(bào)，利用第三方情報(bào)對系統(tǒng)進(jìn)行鑒定，以發(fā)現(xiàn)是否有可疑度高的進(jìn)程。還可以通過監(jiān)測反向連接、DNS請求、登陸系統(tǒng)等，對比IP信息與黑名單確定是否有問題。

從本質(zhì)上看，這套架構(gòu)體系叫做安全聯(lián)動(dòng)平臺(tái)，此平臺(tái)是整個(gè)安全系統(tǒng)的核心，所有外部安全能力都可以被很好地融合到系統(tǒng)中。插件式的安全能力允許它引用整個(gè)安全行業(yè)的各種能力服務(wù)任何一個(gè)企業(yè)，滿足企業(yè)各種業(yè)務(wù)角色的安全需求，這是自適應(yīng)安全的一個(gè)顯著特性。

產(chǎn)品特點(diǎn)

? ? 青藤主機(jī)自適應(yīng)安全平臺(tái)，通過對主機(jī)信息和行為進(jìn)行持續(xù)監(jiān)控和分析，快速精準(zhǔn)地發(fā)現(xiàn)安全威脅和入侵事件，并提供靈活高效的問題解決能力，將自適應(yīng)安全理念真正落地，為用戶提供下一代安全檢測和響應(yīng)能力。

?產(chǎn)品特點(diǎn)

1. 從安全角度出發(fā)，重新定義資產(chǎn)

傳統(tǒng)意義上的資產(chǎn)，被定義為服務(wù)器和IT設(shè)備，僅限于從物理層清點(diǎn)資產(chǎn)；而資產(chǎn)清點(diǎn)從安全角度出發(fā)，結(jié)合通用安全檢查規(guī)范與安全事件數(shù)據(jù)需求，構(gòu)建業(yè)務(wù)型資產(chǎn)對象（包括：Web服務(wù)，Web站點(diǎn)，數(shù)據(jù)庫，大數(shù)據(jù)組件等等），更加契合基于安全對資產(chǎn)的實(shí)際需求；這種轉(zhuǎn)變，正是基于青藤多年積淀的自適應(yīng)安全理念，從“安全角度重新定義資產(chǎn)”。

2. 細(xì)粒度構(gòu)建系統(tǒng)內(nèi)部資產(chǎn)，有效彌補(bǔ)CMDB缺失信息

傳統(tǒng)運(yùn)維平臺(tái)的CMDB系統(tǒng)，主要用于存儲(chǔ)和管理IT設(shè)備的各種配置屬性，但對于與業(yè)務(wù)安全相關(guān)系統(tǒng)內(nèi)部資產(chǎn)，無法有效管理；平臺(tái)可清點(diǎn)10余類主機(jī)關(guān)鍵資產(chǎn)，識(shí)別200余類常見業(yè)務(wù)應(yīng)用，并支持與CMDB系統(tǒng)關(guān)聯(lián)，有效補(bǔ)充缺失的數(shù)據(jù)，提高管理者對整體資產(chǎn)把控能力。

3. 為風(fēng)險(xiǎn)發(fā)現(xiàn)和入侵檢測，提供資產(chǎn)關(guān)聯(lián)能力

資產(chǎn)清點(diǎn)作為數(shù)據(jù)支撐平臺(tái)，已與青藤自適應(yīng)平臺(tái)中的風(fēng)險(xiǎn)發(fā)現(xiàn)和入侵檢測系統(tǒng)全面關(guān)聯(lián)，實(shí)現(xiàn)一鍵查看，如：漏洞風(fēng)險(xiǎn)關(guān)聯(lián)對應(yīng)的軟件應(yīng)用狀態(tài)，賬號風(fēng)險(xiǎn)關(guān)聯(lián)到對應(yīng)的系統(tǒng)賬號；反彈Shell關(guān)聯(lián)對應(yīng)的端口進(jìn)程。用戶也可以使用資產(chǎn)API系統(tǒng)，將相關(guān)數(shù)據(jù)導(dǎo)入風(fēng)險(xiǎn)發(fā)現(xiàn)或入侵檢測等其他系統(tǒng)，獲得更為準(zhǔn)確的信息。

4. 支持不同業(yè)務(wù)系統(tǒng)，復(fù)雜業(yè)務(wù)環(huán)境主機(jī)的統(tǒng)一平臺(tái)管控

支持絕大部分主流Linux/Windows系統(tǒng)，支持本地環(huán)境、虛擬環(huán)境、云環(huán)境等混合業(yè)務(wù)架構(gòu)環(huán)境的主機(jī)，平臺(tái)采用集中式管理模式，統(tǒng)一平臺(tái)管控；同時(shí)提供各種結(jié)合業(yè)務(wù)的資產(chǎn)管理功能，用戶可以基于公司自身的組織架構(gòu)，創(chuàng)建多級業(yè)務(wù)組，將主機(jī)按資產(chǎn)等級，管理部門，負(fù)責(zé)人等靈活分組管理。

3 風(fēng)險(xiǎn)發(fā)現(xiàn)

事實(shí)證明，90%的攻擊事件都利用了未修補(bǔ)的漏洞，且攻擊者的手段不斷變化，網(wǎng)絡(luò)安全狀況也在隨著安全漏洞的增加變得日益嚴(yán)峻。而傳統(tǒng)的漏洞掃描器僅為按季度或按年的周期性掃描，在未進(jìn)行檢測期間，新的漏洞很容易被黑客利用入侵。因此，企業(yè)需要快速實(shí)現(xiàn)風(fēng)險(xiǎn)持續(xù)性地監(jiān)測與分析，化被動(dòng)為主動(dòng)，深入發(fā)現(xiàn)內(nèi)部暴露的問題和風(fēng)險(xiǎn)，持續(xù)有效地對風(fēng)險(xiǎn)進(jìn)行處理，從而提高攻擊門檻，縮減修復(fù)窗口期。

風(fēng)險(xiǎn)發(fā)現(xiàn)（Vulnerability Discover）致力于幫助用戶精準(zhǔn)發(fā)現(xiàn)內(nèi)部風(fēng)險(xiǎn)，幫助安全團(tuán)隊(duì)快速定位問題并有效解決安全風(fēng)險(xiǎn)，并提供詳細(xì)的資產(chǎn)信息、風(fēng)險(xiǎn)信息以供分析和響應(yīng)。

1. 提高攻擊門檻，有效減少90%被攻擊面

在資產(chǎn)細(xì)粒度清點(diǎn)的基礎(chǔ)上，持續(xù)、全面透徹地發(fā)現(xiàn)潛在風(fēng)險(xiǎn)及安全薄弱點(diǎn)，根據(jù)多維度的風(fēng)險(xiǎn)分析和精確到命令行的處理建議，用戶可及時(shí)處理重要風(fēng)險(xiǎn)，以限制黑客接觸系統(tǒng)、發(fā)現(xiàn)漏洞和執(zhí)行惡意代碼，從而大大提高系統(tǒng)的攻擊門檻。

2. 企業(yè)風(fēng)險(xiǎn)可視化，安全價(jià)值清晰可衡量

持續(xù)性監(jiān)測所有主機(jī)的安全狀況，圖形化展現(xiàn)企業(yè)風(fēng)險(xiǎn)場景。為安全決策者動(dòng)態(tài)展示企業(yè)安全指標(biāo)變化、安全走勢分析，使安全狀況的改進(jìn)清晰可衡量；為安全運(yùn)維人員實(shí)時(shí)展示風(fēng)險(xiǎn)分析結(jié)果、風(fēng)險(xiǎn)處理進(jìn)度，提供專業(yè)可視化的風(fēng)險(xiǎn)分析報(bào)告，使安全管理人員的工作價(jià)值得到可視化呈現(xiàn)。

3. 持續(xù)性監(jiān)控分析，及時(shí)發(fā)現(xiàn)最重要的風(fēng)險(xiǎn)

主動(dòng)、持續(xù)性地監(jiān)控所有主機(jī)上的軟件漏洞、弱密碼、應(yīng)用風(fēng)險(xiǎn)、資產(chǎn)暴露性風(fēng)險(xiǎn)等，并結(jié)合資產(chǎn)的重要程度進(jìn)行風(fēng)險(xiǎn)分析，準(zhǔn)確定位最急需處理的風(fēng)險(xiǎn)，幫助企業(yè)快速有效解決潛在威脅。另外，安全團(tuán)隊(duì)持續(xù)關(guān)注國內(nèi)外最新安全動(dòng)態(tài)及漏洞利用方法，不斷推出最新漏洞的檢測能力，實(shí)現(xiàn)緊急安全事件快速響應(yīng)。

?

3.1 產(chǎn)品功能

1. 發(fā)現(xiàn)未安裝的重要補(bǔ)丁

持續(xù)更新的補(bǔ)丁庫以及Agent探針式的主動(dòng)掃描，能及時(shí)、精準(zhǔn)發(fā)現(xiàn)系統(tǒng)需要升級更新的重要補(bǔ)丁，第一時(shí)間幫助用戶發(fā)現(xiàn)潛在可被黑客攻擊的危險(xiǎn)。深入檢測系統(tǒng)中各類應(yīng)用、內(nèi)核模塊、安裝包等各類軟件的重要更新補(bǔ)丁，結(jié)合系統(tǒng)的業(yè)務(wù)影響、資產(chǎn)及補(bǔ)丁的重要程度、修復(fù)影響情況，智能提供最貼合業(yè)務(wù)的補(bǔ)丁修復(fù)建議。

2. 發(fā)現(xiàn)應(yīng)用配置缺陷導(dǎo)致的安全問題

自動(dòng)識(shí)別應(yīng)用配置缺陷，通過比對攻擊鏈路上的關(guān)鍵攻擊路徑，發(fā)現(xiàn)并處理配置中存在的問題，大大降低可被入侵的風(fēng)險(xiǎn)。如下圖中黑客利用Redis應(yīng)用漏洞的攻擊鏈路，針對黑客的每一步探測，系統(tǒng)均會(huì)進(jìn)行持續(xù)性的檢測，及時(shí)發(fā)現(xiàn)并處理了某個(gè)配置缺陷后，將有效解決潛在安全隱患、阻斷黑客的進(jìn)一步活動(dòng)。

?

?圖 1 - Redis 應(yīng)用配置缺陷檢測

3. 快速發(fā)現(xiàn)系統(tǒng)和應(yīng)用的新型漏洞

安全分析師團(tuán)隊(duì)持續(xù)關(guān)注國內(nèi)外最新安全動(dòng)態(tài)及漏洞利用方法，不斷推出最新漏洞的檢測能力，至今已積累30000+的高價(jià)值漏洞庫，包括系統(tǒng)/應(yīng)用漏洞、EXP/POC等大量漏洞，覆蓋全網(wǎng)90%安全防護(hù)。同時(shí)，基于Agent的持續(xù)監(jiān)測與分析機(jī)制，能迅速與龐大的漏洞庫進(jìn)行比對，精準(zhǔn)高效地檢測出系統(tǒng)漏洞。

?

?圖 2 - 持續(xù)性漏洞檢測

4. 智能化的弱口令檢測，支持多種應(yīng)用

精準(zhǔn)檢測幾十種應(yīng)用弱密碼，覆蓋企業(yè)常用應(yīng)用如SSH、Tomcat、MySQL、Redis、OpenVPN等。識(shí)別方法以離線破譯優(yōu)先，且識(shí)別弱口令后會(huì)對沒有發(fā)生變化的離線弱口令文件哈希入庫，如口令未發(fā)生新的變更，不再重復(fù)對弱口令進(jìn)行檢測，通過分布式的Agent對全量主機(jī)的弱口令檢測，可極大的提高工作效率，快速的檢測弱口令的同時(shí)對流量及業(yè)務(wù)的影響也降到了最低。同時(shí)，結(jié)合企業(yè)特征，系統(tǒng)能智能識(shí)別更多組合弱口令，支持用戶自定義口令字典以及組合弱口令字典，能有效預(yù)防被黑客定向破譯的風(fēng)險(xiǎn)。

5. 發(fā)現(xiàn)服務(wù)器上的違規(guī)操作

監(jiān)控由于運(yùn)維人員的違規(guī)操作引起的安全風(fēng)險(xiǎn)。Agent會(huì)實(shí)時(shí)監(jiān)控用戶的操作命令，如修改重要配置文件、下載黑客工具、外傳數(shù)據(jù)、bash危險(xiǎn)命令執(zhí)行等，并結(jié)合黑客的攻擊手段，持續(xù)檢測并暴露這些可能存在威脅的安全隱患，及時(shí)通知給相關(guān)人員進(jìn)行處理。

6. 發(fā)現(xiàn)資產(chǎn)暴露性風(fēng)險(xiǎn)

監(jiān)測暴露在外的資產(chǎn)風(fēng)險(xiǎn)，如web風(fēng)險(xiǎn)文件、危險(xiǎn)進(jìn)程端口對外、不必要的進(jìn)程服務(wù)、不必要的系統(tǒng)賬號等。建立多維分析模型，結(jié)合資產(chǎn)重要程度及資產(chǎn)上所有風(fēng)險(xiǎn)進(jìn)行關(guān)聯(lián)分析，綜合分析出最易受攻擊的資產(chǎn)。

3.2 產(chǎn)品特點(diǎn)

1. 全面系統(tǒng)脆弱性發(fā)現(xiàn)

全方位檢測IT系統(tǒng)存在的脆弱性，發(fā)現(xiàn)信息系統(tǒng)存在的安全補(bǔ)丁、安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務(wù)、端口，形成整體安全風(fēng)險(xiǎn)報(bào)告，為企業(yè)提供無死角的風(fēng)險(xiǎn)狀況視圖，幫助安全管理人員先于攻擊者發(fā)現(xiàn)安全問題，及時(shí)進(jìn)行修補(bǔ)。

2. 白盒角度發(fā)現(xiàn)風(fēng)險(xiǎn)，比黑盒角度更準(zhǔn)

Agent探針式的掃描機(jī)制，建立了自內(nèi)而外的白盒視角。這種掃描機(jī)制能以極低的誤報(bào)率精準(zhǔn)發(fā)現(xiàn)軟件漏洞、發(fā)現(xiàn)更多更全的弱密碼賬戶等。如能探測到系統(tǒng)內(nèi)核模塊的軟件漏洞、能讀取MySQL數(shù)據(jù)庫文件中包括系統(tǒng)賬號在內(nèi)的更多業(yè)務(wù)賬號，對比從主機(jī)外部建立掃描的方式更加準(zhǔn)確、全面。

3. 比傳統(tǒng)掃描器更快、更方便

傳統(tǒng)的掃描器每次掃描均需要將遠(yuǎn)程安全評估系統(tǒng)接入各級網(wǎng)絡(luò)，部署相對麻煩且不能持續(xù)性掃描防護(hù)，同時(shí)無法與資產(chǎn)數(shù)據(jù)進(jìn)行關(guān)聯(lián)，掃描后風(fēng)險(xiǎn)整改困難。而基于Agent由內(nèi)而外的掃描方式，一條命令即可一鍵部署，部署成功后即可持續(xù)為企業(yè)安全保駕護(hù)航。

4. 資產(chǎn)數(shù)據(jù)自動(dòng)關(guān)聯(lián)

基于主機(jī)環(huán)境資產(chǎn)全面清點(diǎn)的基礎(chǔ)上進(jìn)行的持續(xù)性風(fēng)險(xiǎn)掃描，能對主機(jī)環(huán)境資產(chǎn)進(jìn)行持續(xù)性防護(hù)。風(fēng)險(xiǎn)掃描后自動(dòng)關(guān)聯(lián)資產(chǎn)數(shù)據(jù)，如主機(jī)IP、端口、進(jìn)程、賬號、應(yīng)用、web站點(diǎn)、主機(jī)負(fù)責(zé)人等資產(chǎn)詳細(xì)信息，均支持在發(fā)現(xiàn)了風(fēng)險(xiǎn)之后，一鍵查看對應(yīng)的資產(chǎn)情況，為風(fēng)險(xiǎn)的下一步處理提供有效信息。

4 入侵檢測

傳統(tǒng)的入侵防護(hù)方案能夠很好地抵御已知的攻擊，但是對于未知和迅速變化的攻擊手段則缺乏相應(yīng)的檢測能力。因此，如何實(shí)現(xiàn)有效的入侵檢測并提供實(shí)時(shí)的告警和響應(yīng)手段已經(jīng)成為安全建設(shè)亟需解決的問題。 當(dāng)前的攻擊手段千變?nèi)f化，但是攻擊成功后要做的事情卻是歸一化的。因此，青藤將視角從了解黑客的攻擊方式，轉(zhuǎn)化成對內(nèi)在指標(biāo)的持續(xù)監(jiān)控和分析，無論多么高級的黑客其攻擊行為都會(huì)觸發(fā)內(nèi)部的異常變化，從而被迅速發(fā)現(xiàn)并處理。

入侵檢測提供多錨點(diǎn)的檢測能力，能夠?qū)崟r(shí)、準(zhǔn)確地感知入侵事件，發(fā)現(xiàn)失陷主機(jī)，并提供對入侵事件的響應(yīng)手段。

1. 多錨點(diǎn)的檢測能力，實(shí)時(shí)發(fā)現(xiàn)失陷主機(jī)

攻擊者通常會(huì)同時(shí)采用多種手段來攻擊用戶主機(jī)。入侵檢測通過多維度的感知網(wǎng)絡(luò)疊加能力，對攻擊路徑的每個(gè)節(jié)點(diǎn)都進(jìn)行監(jiān)控，并提供跨平臺(tái)多系統(tǒng)的支持能力，保證了能實(shí)時(shí)發(fā)現(xiàn)失陷主機(jī)，對入侵行為進(jìn)行告警。

2. 不依賴對漏洞和黑客工具的了解，有效發(fā)現(xiàn)未知黑客攻擊

傳統(tǒng)的入侵檢測能力往往依賴于對已知的漏洞和黑客工具的了解，通過基于特征的檢測來發(fā)現(xiàn)攻擊。該方法對于突發(fā)的新型漏洞和未知的攻擊手段缺乏有效的發(fā)現(xiàn)能力，導(dǎo)致許多入侵行為不能被實(shí)時(shí)發(fā)現(xiàn)，從而造成無法挽回的損失。入侵檢測結(jié)合專家經(jīng)驗(yàn)，威脅情報(bào)、大數(shù)據(jù)、機(jī)器學(xué)習(xí)等多種分析方法，通過對用戶主機(jī)環(huán)境的實(shí)時(shí)監(jiān)控和深度了解，有效發(fā)現(xiàn)包括“0day”在內(nèi)的各種未知黑客攻擊。

3. 對業(yè)務(wù)系統(tǒng)“零”影響

需要進(jìn)行安全監(jiān)控的主機(jī)，往往也都承載著用戶的核心業(yè)務(wù)系統(tǒng)，比如數(shù)據(jù)庫、Web后臺(tái)等等。因此，安全監(jiān)控對主機(jī)性能和業(yè)務(wù)系統(tǒng)的影響是一個(gè)非常重要的指標(biāo)。Agent以其輕量高效的特性，在保證對用戶主機(jī)安全監(jiān)控的前提下，不對其業(yè)務(wù)系統(tǒng)產(chǎn)生影響，為用戶的主機(jī)安全提供了高效可靠的保護(hù)。

4. 結(jié)合資產(chǎn)信息，為響應(yīng)提供最準(zhǔn)確的一線信息

發(fā)現(xiàn)入侵事件只是入侵檢測的第一步，提供入侵的詳情信息和響應(yīng)手段才能真正幫助用戶解決問題。在獨(dú)有的資產(chǎn)管理能力支持下，我們不只能發(fā)現(xiàn)入侵，更能夠提供深入詳細(xì)的入侵分析和響應(yīng)手段，從而讓用戶精準(zhǔn)有效地解決問題。

4.1 產(chǎn)品功能

?

?圖 1 - 多維度入侵感知系統(tǒng)

1. 暴力破解監(jiān)控

通過實(shí)時(shí)監(jiān)控登錄行為，可以及時(shí)且自動(dòng)化地發(fā)現(xiàn)黑客使用不同服務(wù)嘗試暴力破解用戶登錄密碼的攻擊行為，并進(jìn)行自動(dòng)化封停處理，使得黑客不能進(jìn)行更多的嘗試。

2. Web后門監(jiān)控

通過自動(dòng)化地監(jiān)控關(guān)鍵路徑，結(jié)合正則庫，相似度匹配，沙箱等多種檢測方法，實(shí)時(shí)感知文件變化，從而能夠及時(shí)發(fā)現(xiàn)Web后門，并對后門影響部分進(jìn)行清晰標(biāo)注。

?

?圖 2 - Web 后門監(jiān)控

3. 反彈Shell

通過對用戶進(jìn)程行為進(jìn)行實(shí)時(shí)監(jiān)控，結(jié)合行為的識(shí)別方法，及時(shí)發(fā)現(xiàn)發(fā)現(xiàn)進(jìn)程的非法Shell連接操作產(chǎn)生的反彈Shell行為，有效感知“0day”漏洞利用的行為痕跡，并提供反彈Shell的詳細(xì)進(jìn)程樹。

4. 本地提權(quán)監(jiān)控

通過對用戶進(jìn)程行為進(jìn)行實(shí)時(shí)監(jiān)控，結(jié)合行為識(shí)別技術(shù)，我們能及時(shí)發(fā)現(xiàn)進(jìn)程的提權(quán)操作并通知用戶，并提供提權(quán)操作的詳細(xì)信息。

5. 系統(tǒng)后門監(jiān)控

區(qū)別于傳統(tǒng)的特征征析，我們通過對進(jìn)程關(guān)聯(lián)信息的分析，結(jié)合模式識(shí)別和行為檢測，提供了不依賴Hash的自動(dòng)化系統(tǒng)后門檢測方式，能夠?qū)崿F(xiàn)在多系統(tǒng)中進(jìn)行多維度、高準(zhǔn)度、快速度的后門發(fā)現(xiàn)，能夠?qū)Π?span>Linux下的Rootkit、Bootkit，還有Windows下的可疑進(jìn)程、可疑線程等多種后門。

?

?圖 3 - 系統(tǒng)后門監(jiān)控

6. 微蜜罐

青藤的微蜜罐可以簡易靈活的配置，讓主機(jī)對各端口進(jìn)行監(jiān)聽，從而擴(kuò)大監(jiān)控范圍。通過這樣消耗小而覆蓋面廣的蜜罐配置，發(fā)現(xiàn)黑客端攻擊行為的概率就會(huì)大大提升。所謂“微”蜜罐，也有“大”作用。

?

?圖 4 - 微蜜罐?

4.2 產(chǎn)品特點(diǎn)

?

?圖 5 - 入侵檢測產(chǎn)品特點(diǎn)

1. 全方位攻擊監(jiān)控

通過對攻擊路徑的每個(gè)節(jié)點(diǎn)進(jìn)行深入監(jiān)控，提供了多平臺(tái)、多系統(tǒng)的全方位、高實(shí)時(shí)的攻擊監(jiān)控，對進(jìn)程變化、文件變化、登錄登出等事件了如指掌，做到了實(shí)時(shí)監(jiān)控“全”方位。

2. 高實(shí)時(shí)入侵告警

在Agent的深入探針能力支持下，結(jié)合IoC、大數(shù)據(jù)、機(jī)器學(xué)習(xí)等多種分析方法，保證了對入侵事件的實(shí)時(shí)檢測，并提供包括短信、郵件等多種方式在內(nèi)的通知手段，讓用戶第一時(shí)間知道入侵發(fā)生，做到了入侵“高”實(shí)時(shí)。

3. 可視化深度分析

基于對攻擊時(shí)間和攻擊維度的深度分析，整理入侵事件的來龍去脈，以可視化方式完整呈現(xiàn)。讓用戶對于整體環(huán)境的入侵情況和需要處理的入侵事件有清晰的了解，使得入侵分析“深可見底”。

4. 多樣化處理方式

根據(jù)入侵場景不同，提供了包括自動(dòng)封停、手動(dòng)隔離、黑/白名單和自定義處理任務(wù)等多種處理方式，讓用戶從根本上解決入侵事件，讓處理從此“高效多樣”。

?

應(yīng)用指南

安裝分為兩個(gè)部分：

1.?????? 基礎(chǔ)庫和組件 （PHP, Python, MySQL, MongoDB, Redis, Kafka, Zookeeper etc.）

2.?????? 青藤系統(tǒng)服務(wù)

安裝流程：

前提條件，一臺(tái)與各臺(tái)服務(wù)器連通的工作機(jī)（可以是某臺(tái)服務(wù)器， 但必須保證與其它服務(wù)器之間連通）

1.?????? 配置IP

2.?????? 一鍵安裝部署

-????????? 分發(fā)、安裝

-????????? 配置

-????????? 啟動(dòng)

-????????? 初始化