主机安全是一款针对于云上主机安全防护的产品,基于腾讯安全积累的海量威胁数据,利用机器学习为您提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解拦截、异常登录提醒、木马文件检测、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。
主机安全目前提供基础防护与专业防护两个版本,不同版本主机安全提供的主要功能区别。
服务器一旦被黑客入侵,企业面临以下安全风险:
业务被中断:数据库、文件被篡改或删除,导致服务无法访问,系统瘫痪。
数据被窃取:黑客窃取企业数据后公开售卖,客户隐私数据被泄漏,造成企业品牌受损和您流失。
被加密勒索:黑客入侵服务器后通过植入不可逆的加密勒索软件对数据进行加密,对企业进行金钱勒索。
服务不稳定:黑客在服务器中运行挖矿程序,并通过 DDoS 木马程序获取经济利益,消耗大量的系统资源,导致服务器不能提供正常服务。
使用主机安全可以有效预防以上问题,保障企业主机安全。
网站后门木马又叫 WebShell,一般是黑客通过漏洞入侵网站后放置的 ASP、PHP、JSP 等动态脚本。黑客可以通过后门木马持续控制服务器,进行文件上传下载、执行命令等各种破坏行为,对网站安全危害极大。
基于机器学习的网站后门检测技术并依托腾讯云安全平台的全网恶意文件样本收集能力,木马文件可以实时准确的检测各类木马恶意文件,同时提供恶意文件检测和一键隔离等功能,保护您服务器的安全。
基于您的常用登录地和恶意登录源两个维度,对服务器的登录日志进行分析,识别出服务器登录流水中的异地、异常登录行为,并且实时通知给您。根据服务器的账户登录行为分析,对可疑的登录行为提供实时告警通知。
基于云服务器的流水查询功能,您可以对比流水与自己登录行为的差异,得出是否有异常登录行为,并采取相应的安全措施。
您的云服务器可通过互联网登录,给了不法之徒进行暴力破解尝试入侵您云服务器的机会。腾讯云安全通过多维度多种手段检测云服务器是否被尝试暴力破解其密码。若检测有异常,会通过站内信或者短信等渠道对您进行告知。
主机安全通过对外界请求行为的实时监控及处理能力,实现对恶意请求行为的有效识别。若检测到恶意请求行为,主机安全系统会向您提供实时告警通知。
基于腾讯云安全技术及多维度多种手段,对系统中命令实现实时监控,并且可通过配置规则对命令危险程度进行等级划分。若检测出高危命令,主机安全系统会向您提供实时告警通知。
若出现以低权限进入系统,并通过某些手段提升权限,获取到高权限的事件,很有可能为黑客的攻击行为,该行为会危害到云服务器的安全。主机安全的本地提权功能可实时监控您服务器上的提权事件,并能对提权事件详情进行查看和处理,同时也支持白名单创建功能,用于设置被允许的提权行为。
反弹 Shell 功能是基于腾讯云安全技术及多维度多种手段,对服务器上的 Shell 反向连接行为进行识别记录,为您的云服务器提供反弹 Shell 行为的实时监控能力。
主机安全对云服务器上存在的高危漏洞风险进行实时预警并提供修复方案,包括系统漏洞及 Web 类漏洞,帮助企业快速应对漏洞风险。
腾讯云主机安全支持对基线检测项的定期检测和一键检测、支持对指定主机上的指定基线项进行检测、支持通过检测策略了解基线通过率及风险情况,同时可提供基线和检测项的风险等级和修复建议,同时提供腾讯云默认基线策略,有助于您更好的管理服务器中的基线安全。
基于腾讯云安全技术,实时监控网络攻击行为,支持检测的威胁类型包括:Webshell 探测、Struts 漏洞利用、代码仓库拉取、代码注入攻击、命令注入攻击及机器批量控制利用等。
根据《网络安全法》规定,日志存储时长不少于6个月,推荐每台服务器配置30GB存储容量以便采集和留存日志数据。日志分析提供木马、漏洞及网络安全事件等多维度的安全日志,支持语句检索和查询,并提供可视化报表、统计分析和导出功能,让您能够快速的排查和溯源主机上的安全事件,并提升运营效率。
腾讯主机安全与其他主机安全产品的优势比较如下表所示:
| 优势 | 腾讯主机安全 | 其他主机安全产品 |
|---|---|---|
| 黑客行为检测 | 基于腾讯全网威胁情报数据源,实时检测黑客攻击行为 。 | 基于单机行为数据进行判断,检测能力弱,无法快速响应。 |
| 木马文件检测 | 后端集成腾讯电脑管家新一代 TAV 反病毒引擎及哈勃分析系统,极速响应未知风险。基于机器学习的 WebShell 检测引擎,有效对抗加密变形类恶意脚本。 | 可执行恶意文件的检测能力缺失,基于正则、字符逻辑匹配方式对 WebShell 进行检测,误报、漏报风险高。 |
| 免安装、维护 | 自动关联云平台服务器运维信息,购买云服务器 即可使用相关信息。安全策略云端自动更新,无需人工维护各种安全检测脚本文件。 | 需要用户登录服务器手动安装,且需要一定安全技术能力的人进行安全策略配置。 |
| 集中运维 | 安全事件可在控制台统一管理,省去登录多台服务器的麻烦。主机资产集中管理,快速构建安全可视化运维平台。 | 需要登录到服务器上,对单个安全事件进行处理。 |
| 低资源占用 | 自研轻量级 Agent,绝大部分计算和防护在云端进行,对服务器的资源消耗占用低。 | 软件客户端内存占用高,普遍消耗在100M以上,业务峰期会影响服务器性能。 |
安全基线(Security Base Line)指为了满足安全要求,相关系统和服务安全配置必须达到的一定标准和基本要求。通过对不同配置和策略的具体项目来评估产品是否达到安全基线,包括账号配置安全、口令配置安全、授权配置、日志配置、网络配置等。安全基线评估结果在一定程度上,反映了服务器的安全性。
木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和 DDoS 攻击等特殊功能的后门程序。
WebShell 就是以 ASP、PHP、JSP 或 CGI 等网页文件形式存在的一种命令执行环境,也称为一种网页后门。黑客在入侵了一个网站后,通常会将 ASP 或 PHP 后门文件与网站服务器 Web 目录下正常的网页文件混在一起,然后使用浏览器来访问 ASP 或者 PHP 后门,得到一个命令执行环境,以达到控制网站服务器的目的。
主机漏洞检测(Host Vulnerability Detection)指基于主机 Agent 在主机内部发现漏洞的一种方式。将漏洞检测模块运行于主机内部,直接进行验证或者采集信息,来判断主机是否存在漏洞。
组件(Component)或者通用组件,在主机安全层面主要泛指服务、应用对应的 Web 容器、软件等,例如 Nginx、Wordpress 等,而系统组件主要指非 Web 类的系统软件。
通用组件漏洞又称为通用漏洞(Common Vulnerability),主要指通用组件而非业务自开发代码产生的漏洞,例如 WordPress 某个 SQL 注入、组件 Bash 的破壳漏洞等。
未授权访问(Unauthorized Access)是不满足安全基线导致的一类问题,主要指相关服务没有对服务的访问条件进行限制,例如设置密码、限制访问来源等,导致任何人都可以直接连接服务进行操作,从而产生安全问题。
登录审计采集服务器上的 RDP 和 SSH 登录日志,上报来源 IP、时间、登录用户名、登录状态等信息到云端进行风险计算,对非法登录进行实时告警。
隔离技术把存在恶意行为的木马、病毒文件进行隔离存储,避免恶意文件持续扩散。
不同版本的主机安全提供的主要功能对比如下表所示:
| 类别 | 内容 | 详细描述 | 基础版 | 专业版 | 增值服务 |
|---|---|---|---|---|---|
| 安全概览 | 安全概览 | 实时展示主机安全体检得分、防护状态、待处理风险、风险趋势以及主机安全的实时动态。 | 支持 | 支持 | - |
| 资产管理 | 主机列表 | 支持模糊检索、筛选、开启防护、查看主机资产信息、安全风险等功能,方便用户快速管理服务器。 | 支持 | 支持 | - |
| 端口列表 | 展示监控端口、主机数、IP、进程名、进程 ID、创建时间及更新时间。 | 无 | 支持 | - | |
| 账号列表 | 展示账号名称、所在机器数、IP、类型、最后登录时间、权限变更记录。 | 无 | 支持 | - | |
| 组件列表 | 管理系统组件和 Web 组件,包括名称、描述、路径、主机数以及相关详情页。 | 无 | 支持 | - | |
| 进程列表 | 展示进程名称、进程路径、主机数、uuid、主机 IP、父进程路径、进程 ID、父进程 ID、用户名、操作系统及获取时间。 | 无 | 支持 | - | |
| 入侵检测 | |||||
| 木马文件 | Webshell 检测:提供常用的 Web 网站类脚本木马后门检测,包含 ASP/PHP/JSP/Python 等脚本语言。 二进制检测:提供对二进制可执行类的病毒木马检测,例如 DDoS 木马、远控、挖矿类软件等,文件类型包括 exe、dll、bin 等,并告警用户。 | 累计免费5条,超过则停止检测 | 支持 | - | |
| 暴力破解 | 支持对 SSH、RDP 等暴力破解行为进行实时检测、告警、阻断功能,支持登录白名单配置。 支持用户自定义暴破阻断规则设定,例如,判断条件规则(1分钟5次等),阻断时长(阻断15分钟等)。 事件记录包含:破解状态、服务器、来源 IP、来源地、登录用户名、攻击时间、尝试次数、阻断状态等信息。 | 只检测,无阻断 | 支持 | - | |
| 异常登录 | 支持实时检测登录行为,自动识别非白名单 IP 登录,识别出恶意登录行为。 支持白名单配置,条件包括:登录来源地、来源 IP、服务器、登录用户名及登录时间。 | 支持 | 支持 | - | |
| 本地提权 | 针对本地提权行为实时告警,并支持白名单配置。 事件记录包含:服务器/名称、提权用户、提权进程、父进程、父进程所属用户、发现时间、文件路径及进程树等。 | 无 | 支持 | - | |
| 反弹 shell | 针对反弹 shell 行为实时告警,并支持白名单配置。 事件记录包含:服务器/名称、连接进程、父进程、目标主机、目标端口、发现时间、文件路径、进程树及执行命令等。 | 无 | 支持 | - | |
| 高危命令 | 记录云服务器上执行的 bash 命令,实时监控被审计规则判断为危险的操作。 提供默认规则配置,以及支持用户自定义规则配置。 事件记录包含:服务器/名称、命中规则名、危险等级、命令内容、登录用户及操作时间等。 | 无 | 支持 | - | |
| 漏洞管理 | 漏洞概览与设置 | 展示防护服务器数量、未修复漏洞数量、影响服务器数量、漏洞风险等级分布、漏洞 TOP5、服务器风险 TOP5 和漏洞检测结果信息。 支持一键检测和定期检测,可设置扫描类型、漏洞等级、机器范围、扫描时间等信息,并支持查看忽略漏洞列表。 通过置顶公告推送 0day 漏洞情报,查看漏洞详情和受影响服务器。 | 支持 | 支持 | - |
| 系统组件漏洞检测 | 支持系统级漏洞和常用组件类型的漏洞进行检测,提供修复方案,例如 Apache、Nginx、Structs、Redis 等常用组件,详情请参见 系统组件漏洞。 漏洞详情包含:漏洞描述、漏洞类型、威胁等级、修复方案、参考链接、披露事件、CVE 编号、CVSS 评分及雷达图等。 | 累计免费5条,超过则停止检测 | 支持 | - | |
| Web 应用漏洞检测 | 支持常用 Web 类型的漏洞检测,提供修复方案,例如 phpMyAdmin 及 WordPress 等 Web 类组件,详情请参见 Web 应用漏洞。 漏洞详情包含:漏洞描述、漏洞类型、威胁等级、修复方案、参考链接、披露事件、CVE 编号、CVSS 评分及雷达图等。 | 支持 | - | ||
| 应急漏洞 | 支持检测近期紧急漏洞检测(例如 0day 等)。 漏洞详情包含:漏洞描述、漏洞类型、威胁等级、修复方案、参考链接、披露事件、CVE 编号、CVSS 评分及雷达图等。 | 无 | 支持 | - | |
| 基线管理 | 安全基线 | 支持等保二级、三级、CIS、弱口令等基线检测,并提供修复方案。 展示不同基线策略下的检测服务器、检测项、基线通过率、基线检测项 TOP5 和服务器风险 TOP5 检测结果信息,支持一键检测和定期检测。 详情请参见 安全基线检测列表。 | 累计免费5条,超过则停止检测 | 支持 | - |
| 高级防御 | 网络攻击 | 实时监控网络攻击行为,支持检测威胁类型:Webshell 探测、Struts 漏洞利用、代码注入攻击、命令注入攻击及机器批量控制利用等。 | 累计免费5条,超过则停止检测 | 支持 | - |
| 网页防篡改 | 针对网页目录进行实时监控,提供文件防篡改功能,支持自动恢复被篡改文件,并发出相应告警通知。 | 无 | 无 | 独立计费: | |
| 安全运营 | 日志分析 | 查看存储的全部流量日志详情,支持基于检索语句的日志检索与查询,并提供报表与统计分析服务。 | 无 | 无 | 独立计费: |
| 专家服务 | 安全管家 | 提供安全咨询、巡检、评估和加固建议等服务,安全专家微信群安全咨询(5*8小时),建议日常安全运营使用。 | 无 | 无 | 独立计费: |
| 应急响应 | 提供全面查杀,应急响应处理等服务,建议服务器遭受入侵,业务受到影响时使用。 | 无 | 无 | 独立计费: | |
| 旗舰护网 | 提供7*24小时安全监控,提供护网或特殊时期的重点保护服务,安全专家进行一对一服务。 | 无 | 无 | 独立计费: | |
| 设置 | 告警通知 | 支持短信、邮件等告警通知发送方式,支持输出告警事件列表。 | 支持 | 支持 | - |
| 升级更新 | 支持进行大版本、查杀引擎、病毒库、漏洞库的升级和更新,功能增强和完善优化。 | 支持 | 支持 | - | |
| 性能 | 资源占用 | agent 资源消耗低,不影响系统正常运行,CPU 小于5%,内存小于30M。 | 支持 | 支持 | - |
| 稳定性要求 | 系统具有高可靠性及稳定性设计,在云服务器出现异常情况时,可进行降级或自杀等机制,确保业务的正常运行。 | 支持 | 支持 | - | |
| 多操作系统支持 | 兼容 Windows 、CentOS、Debian、RedHat 等主流操作系统。 | 支持 | 支持 | - |
