Process Traffic 0 Day Firewall 簡(jiǎn)稱ZDFW是一款Linux服務(wù)器高級(jí)威脅感知系統(tǒng),由XDP下一代流量防火墻、進(jìn)程防火墻和主機(jī)安全組成,專注未知攻擊0day對(duì)抗,目標(biāo)是徹底解決服務(wù)器安全問(wèn)題。
總體架構(gòu)
進(jìn)程流量防火墻平臺(tái),主要由端+控制臺(tái)構(gòu)成,提供了包含漏洞掃描、風(fēng)險(xiǎn)管理、入侵威脅管理、流量監(jiān)控、安全防護(hù)、合規(guī)基線、抗DDOS、安全告警、登錄分析等功能。
端:主機(jī)客戶端輕量Agent
客戶端Agent部署在服務(wù)器上(支持物理服務(wù)器、虛擬化服務(wù)器),提供多個(gè)層面的安全監(jiān)測(cè)和安全防護(hù),可快速識(shí)別及阻斷黑客攻擊。Agent主要功能:進(jìn)程活動(dòng)與流量分析并引入機(jī)器學(xué)習(xí)。
云:Server端安全引擎
Server 端安全引擎作為平臺(tái)的中樞,持續(xù)接收各個(gè)Agent上報(bào)的信息,并進(jìn)行解析、處理、分析和保存,根據(jù)經(jīng)驗(yàn)庫(kù)和用戶自定義規(guī)則,發(fā)現(xiàn)漏洞、異常登錄行為、異常網(wǎng)絡(luò)連接行為、文件異常操作、賬號(hào)異常操作、異常命令調(diào)用行為和進(jìn)程異常行為,實(shí)時(shí)發(fā)現(xiàn)入侵行為。
控制臺(tái):Web管理平臺(tái)
以 Web 控制臺(tái)的形式和?戶交互,清晰展示各項(xiàng)安全檢測(cè)和分析的結(jié)果,并對(duì)重?威脅進(jìn)?實(shí)時(shí)告警,同時(shí)以人機(jī)交互的方式提供用戶自定義各種安全策略,以及靈活的策略分發(fā),提升精細(xì)化管理,幫助?戶更好更快地處理安全問(wèn)題。
物理安全:主要是監(jiān)測(cè)計(jì)算資源使用情況,CPU、內(nèi)存被進(jìn)行消耗明細(xì)及風(fēng)險(xiǎn)預(yù)測(cè)。
流量安全:基于各進(jìn)程流量采集進(jìn)行機(jī)器學(xué)習(xí)再綜合分析,可設(shè)置白黑名單、抗DDOS、XDP防護(hù)。
進(jìn)程安全:捕獲進(jìn)程原始聯(lián)網(wǎng)報(bào)文,在結(jié)合機(jī)器學(xué)習(xí),對(duì)進(jìn)程行為進(jìn)行風(fēng)控分析。
SSH安全:分析server后臺(tái)登錄安全態(tài)勢(shì),以及操作命令記錄,對(duì)公網(wǎng)服務(wù)器登錄進(jìn)行安全評(píng)估。
文件篡改:檢測(cè)重要目錄、重要文件是否被非法串改。
基線檢測(cè):對(duì)操作系統(tǒng)重要配置進(jìn)程合規(guī)檢測(cè)提高安全防護(hù)能力。
漏洞掃描:對(duì)指定文件路徑進(jìn)行掃描發(fā)現(xiàn)漏洞。
進(jìn)程流量防火墻支持動(dòng)態(tài)實(shí)時(shí)監(jiān)控文件落盤的方式,檢測(cè)在惡意文件篡改啟動(dòng)運(yùn)行之前進(jìn)行檢測(cè)并處置,檢測(cè)時(shí)效性強(qiáng)。而且支持自定義目錄進(jìn)行掃描和實(shí)時(shí)監(jiān)控。
內(nèi)存馬是無(wú)文件攻擊的一種常用手段,通過(guò)在內(nèi)存中植入惡意后門或木馬并執(zhí)行,達(dá)到遠(yuǎn)程控制WEB服務(wù)器的目的。在攻擊者通過(guò)容器漏洞或應(yīng)用漏洞注入內(nèi)存馬后,可在所訪問(wèn)任意url或者指定url中帶上命令執(zhí)行參數(shù),進(jìn)而在服務(wù)器執(zhí)行系統(tǒng)命令。以Java為例,客戶端發(fā)起的WEB請(qǐng)求可能會(huì)經(jīng)過(guò)Listener、Filter、Servlet等組件,攻擊者只要在這個(gè)請(qǐng)求的過(guò)程中在內(nèi)存中修改已有的組件或者動(dòng)態(tài)注冊(cè)一個(gè)新的組件,插入惡意的代碼,即可達(dá)到目的。
進(jìn)程流量防火墻無(wú)文件內(nèi)存馬檢測(cè)支持定時(shí)或?qū)崟r(shí)檢測(cè)注入進(jìn)程的內(nèi)存馬,包括Listener、Filter、Servlet等內(nèi)存馬類型,并支持JSP和Agent注入兩種檢測(cè)引擎。
通過(guò)分析常見的遠(yuǎn)程命令漏洞利?實(shí)例,利?模式識(shí)別的?式,實(shí)時(shí)監(jiān)控?戶進(jìn)程?為的各項(xiàng)特征,對(duì)主機(jī)中進(jìn)程異常的執(zhí)??為和執(zhí)?命令內(nèi)容進(jìn)?精確匹配,能有效發(fā)現(xiàn)?客利?漏洞執(zhí)?命令的?為痕跡,并及時(shí)進(jìn)?告警。檢測(cè)的漏洞利用規(guī)則覆蓋了ATT&CK攻擊矩陣中14個(gè)階段常見的攻擊戰(zhàn)術(shù)和WEB RCE(遠(yuǎn)程命令執(zhí)行) 漏洞利用的檢測(cè),包括:密碼查看工具、提權(quán)工具、隧道工具、端口掃描工具、進(jìn)程注入工具、計(jì)劃任務(wù)、遠(yuǎn)程管理、獲取交互式命令行界面、遠(yuǎn)程執(zhí)行下載命令、白名單進(jìn)程利用、0day漏洞利用等等;WEB RCE漏洞利用的規(guī)則包括:Java反序列化遠(yuǎn)程命令執(zhí)行漏洞、redis遠(yuǎn)程命令執(zhí)行漏洞、IIS遠(yuǎn)程命令執(zhí)行漏洞、apache2遠(yuǎn)程命令執(zhí)行漏洞、php-fpm遠(yuǎn)程命令執(zhí)行漏洞及常見廠商的遠(yuǎn)程命令執(zhí)行漏洞等。
功能同時(shí)也?持?戶?定義規(guī)則進(jìn)?檢測(cè),可幫助適應(yīng)客戶多樣化的業(yè)務(wù)流程,精準(zhǔn)覆蓋各類 RCE 攻擊的監(jiān)控場(chǎng)景。
進(jìn)程流量防火墻支持自學(xué)習(xí)主機(jī)常用登錄IP,并記錄到主機(jī)登錄常用IP白名單中。白名單中的IP登錄不告警。同時(shí)支持設(shè)置互信登錄組,在同一個(gè)互信登錄組內(nèi)的主機(jī)相互登錄默認(rèn)為正常登錄。
通過(guò)對(duì)主機(jī)上的進(jìn)程?為進(jìn)?實(shí)時(shí)監(jiān)控,識(shí)別進(jìn)程的網(wǎng)絡(luò)外聯(lián)外聯(lián)行為,實(shí)時(shí)發(fā)現(xiàn)進(jìn)程的?法外聯(lián)所產(chǎn)?的反彈 Shell 。支持查看反彈shell的詳細(xì)進(jìn)程信息,包括反彈進(jìn)程信息、父進(jìn)程信息、進(jìn)程命令參數(shù)等。
本產(chǎn)品支持文件蜜罐功能,支持對(duì)主機(jī)上的敏感文件設(shè)置規(guī)則進(jìn)行實(shí)時(shí)監(jiān)控,也支持創(chuàng)建虛假的蜜罐文件,來(lái)誘導(dǎo)黑客進(jìn)行惡意篡改。支持監(jiān)控的文件操作有創(chuàng)建、刪除、修改、讀取、權(quán)限修改,同時(shí)支持進(jìn)程樹的采集。一旦發(fā)現(xiàn)符合監(jiān)控規(guī)則的惡意操作行為,立刻發(fā)送告警。
外聯(lián)監(jiān)測(cè)指通過(guò)機(jī)器學(xué)習(xí)主機(jī)外聯(lián)行為,并形成外聯(lián)行為基線,當(dāng)檢測(cè)到主機(jī)發(fā)生基線外的外聯(lián)行為時(shí)認(rèn)為存在異常外聯(lián),并進(jìn)行告警。
注釋的功能很強(qiáng)大 所謂注釋,漢語(yǔ)解釋可以為:注解。更為準(zhǔn)確一些。 因?yàn)榇a是英文的、并且代碼很長(zhǎng),時(shí)間長(zhǎng)了人會(huì)忘。
這一個(gè)章節(jié)是本書中永遠(yuǎn)不會(huì)寫的一個(gè)章節(jié),很多人被一些市面上的書籍誤導(dǎo),認(rèn)為學(xué)習(xí)PHP前要學(xué)習(xí)Linux。
所謂服務(wù)器:不要把它想的太過(guò)于高深,不過(guò)就是提供一項(xiàng)特殊功能(服務(wù))的電腦而已。 顯示網(wǎng)頁(yè)的叫網(wǎng)頁(yè)(web)服務(wù)器(server)。
PHP是一門開發(fā)語(yǔ)言。而開發(fā)語(yǔ)言寫出來(lái)的代碼,通常需要在指定的軟件下才能運(yùn)行。因此,我們寫好的代碼需要(運(yùn)行)顯示出來(lái)看到,就需要安裝這幾個(gè)軟件來(lái)運(yùn)行代碼。
BlueAisec WEB應(yīng)用防火墻,Web 漏洞掃描防護(hù),CC 和 DDOS 攻擊防護(hù),機(jī)器學(xué)習(xí)智能防御,地理位置訪問(wèn)控制,自定義規(guī)則精準(zhǔn)控制,分布式集中管控服務(wù)