防0day進(jìn)程防火墻

Process Traffic 0 Day Firewall 簡(jiǎn)稱ZDFW是一款Linux服務(wù)器高級(jí)威脅感知系統(tǒng)，由XDP下一代流量防火墻、進(jìn)程防火墻和主機(jī)安全組成，專注未知攻擊0day對(duì)抗，目標(biāo)是徹底解決服務(wù)器安全問(wèn)題。

總體架構(gòu)

進(jìn)程流量防火墻平臺(tái)，主要由端+控制臺(tái)構(gòu)成，提供了包含漏洞掃描、風(fēng)險(xiǎn)管理、入侵威脅管理、流量監(jiān)控、安全防護(hù)、合規(guī)基線、抗DDOS、安全告警、登錄分析等功能。

端：主機(jī)客戶端輕量Agent

客戶端Agent部署在服務(wù)器上（支持物理服務(wù)器、虛擬化服務(wù)器），提供多個(gè)層面的安全監(jiān)測(cè)和安全防護(hù)，可快速識(shí)別及阻斷黑客攻擊。Agent主要功能：進(jìn)程活動(dòng)與流量分析并引入機(jī)器學(xué)習(xí)。

云：Server端安全引擎

Server 端安全引擎作為平臺(tái)的中樞，持續(xù)接收各個(gè)Agent上報(bào)的信息，并進(jìn)行解析、處理、分析和保存，根據(jù)經(jīng)驗(yàn)庫(kù)和用戶自定義規(guī)則，發(fā)現(xiàn)漏洞、異常登錄行為、異常網(wǎng)絡(luò)連接行為、文件異常操作、賬號(hào)異常操作、異常命令調(diào)用行為和進(jìn)程異常行為，實(shí)時(shí)發(fā)現(xiàn)入侵行為。

控制臺(tái)：Web管理平臺(tái)

以 Web 控制臺(tái)的形式和?戶交互，清晰展示各項(xiàng)安全檢測(cè)和分析的結(jié)果，并對(duì)重?威脅進(jìn)?實(shí)時(shí)告警，同時(shí)以人機(jī)交互的方式提供用戶自定義各種安全策略，以及靈活的策略分發(fā)，提升精細(xì)化管理，幫助?戶更好更快地處理安全問(wèn)題。

1. 1. 功能架構(gòu)

物理安全：主要是監(jiān)測(cè)計(jì)算資源使用情況，CPU、內(nèi)存被進(jìn)行消耗明細(xì)及風(fēng)險(xiǎn)預(yù)測(cè)。

流量安全：基于各進(jìn)程流量采集進(jìn)行機(jī)器學(xué)習(xí)再綜合分析，可設(shè)置白黑名單、抗DDOS、XDP防護(hù)。

進(jìn)程安全：捕獲進(jìn)程原始聯(lián)網(wǎng)報(bào)文，在結(jié)合機(jī)器學(xué)習(xí)，對(duì)進(jìn)程行為進(jìn)行風(fēng)控分析。

SSH安全：分析server后臺(tái)登錄安全態(tài)勢(shì)，以及操作命令記錄，對(duì)公網(wǎng)服務(wù)器登錄進(jìn)行安全評(píng)估。

文件篡改：檢測(cè)重要目錄、重要文件是否被非法串改。

基線檢測(cè)：對(duì)操作系統(tǒng)重要配置進(jìn)程合規(guī)檢測(cè)提高安全防護(hù)能力。

漏洞掃描：對(duì)指定文件路徑進(jìn)行掃描發(fā)現(xiàn)漏洞。

• 動(dòng)態(tài)實(shí)時(shí)防護(hù)檢測(cè)進(jìn)程

進(jìn)程流量防火墻支持動(dòng)態(tài)實(shí)時(shí)監(jiān)控文件落盤的方式，檢測(cè)在惡意文件篡改啟動(dòng)運(yùn)行之前進(jìn)行檢測(cè)并處置，檢測(cè)時(shí)效性強(qiáng)。而且支持自定義目錄進(jìn)行掃描和實(shí)時(shí)監(jiān)控。

• 無(wú)文件內(nèi)存馬攻擊檢測(cè)

內(nèi)存馬是無(wú)文件攻擊的一種常用手段，通過(guò)在內(nèi)存中植入惡意后門或木馬并執(zhí)行，達(dá)到遠(yuǎn)程控制WEB服務(wù)器的目的。在攻擊者通過(guò)容器漏洞或應(yīng)用漏洞注入內(nèi)存馬后，可在所訪問(wèn)任意url或者指定url中帶上命令執(zhí)行參數(shù)，進(jìn)而在服務(wù)器執(zhí)行系統(tǒng)命令。以Java為例，客戶端發(fā)起的WEB請(qǐng)求可能會(huì)經(jīng)過(guò)Listener、Filter、Servlet等組件，攻擊者只要在這個(gè)請(qǐng)求的過(guò)程中在內(nèi)存中修改已有的組件或者動(dòng)態(tài)注冊(cè)一個(gè)新的組件，插入惡意的代碼，即可達(dá)到目的。

進(jìn)程流量防火墻無(wú)文件內(nèi)存馬檢測(cè)支持定時(shí)或?qū)崟r(shí)檢測(cè)注入進(jìn)程的內(nèi)存馬，包括Listener、Filter、Servlet等內(nèi)存馬類型，并支持JSP和Agent注入兩種檢測(cè)引擎。

• 進(jìn)程監(jiān)控檢測(cè)遠(yuǎn)程命令執(zhí)行

通過(guò)分析常見的遠(yuǎn)程命令漏洞利?實(shí)例，利?模式識(shí)別的?式，實(shí)時(shí)監(jiān)控?戶進(jìn)程?為的各項(xiàng)特征，對(duì)主機(jī)中進(jìn)程異常的執(zhí)??為和執(zhí)?命令內(nèi)容進(jìn)?精確匹配，能有效發(fā)現(xiàn)?客利?漏洞執(zhí)?命令的?為痕跡，并及時(shí)進(jìn)?告警。檢測(cè)的漏洞利用規(guī)則覆蓋了ATT&CK攻擊矩陣中14個(gè)階段常見的攻擊戰(zhàn)術(shù)和WEB RCE(遠(yuǎn)程命令執(zhí)行) 漏洞利用的檢測(cè)，包括：密碼查看工具、提權(quán)工具、隧道工具、端口掃描工具、進(jìn)程注入工具、計(jì)劃任務(wù)、遠(yuǎn)程管理、獲取交互式命令行界面、遠(yuǎn)程執(zhí)行下載命令、白名單進(jìn)程利用、0day漏洞利用等等；WEB RCE漏洞利用的規(guī)則包括：Java反序列化遠(yuǎn)程命令執(zhí)行漏洞、redis遠(yuǎn)程命令執(zhí)行漏洞、IIS遠(yuǎn)程命令執(zhí)行漏洞、apache2遠(yuǎn)程命令執(zhí)行漏洞、php-fpm遠(yuǎn)程命令執(zhí)行漏洞及常見廠商的遠(yuǎn)程命令執(zhí)行漏洞等。

功能同時(shí)也?持?戶?定義規(guī)則進(jìn)?檢測(cè)，可幫助適應(yīng)客戶多樣化的業(yè)務(wù)流程，精準(zhǔn)覆蓋各類 RCE 攻擊的監(jiān)控場(chǎng)景。

• 登錄監(jiān)控常用登錄自學(xué)習(xí)

進(jìn)程流量防火墻支持自學(xué)習(xí)主機(jī)常用登錄IP，并記錄到主機(jī)登錄常用IP白名單中。白名單中的IP登錄不告警。同時(shí)支持設(shè)置互信登錄組，在同一個(gè)互信登錄組內(nèi)的主機(jī)相互登錄默認(rèn)為正常登錄。

• 反彈shell檢測(cè)

通過(guò)對(duì)主機(jī)上的進(jìn)程?為進(jìn)?實(shí)時(shí)監(jiān)控，識(shí)別進(jìn)程的網(wǎng)絡(luò)外聯(lián)外聯(lián)行為，實(shí)時(shí)發(fā)現(xiàn)進(jìn)程的?法外聯(lián)所產(chǎn)?的反彈 Shell 。支持查看反彈shell的詳細(xì)進(jìn)程信息，包括反彈進(jìn)程信息、父進(jìn)程信息、進(jìn)程命令參數(shù)等。

• 文件蜜罐

本產(chǎn)品支持文件蜜罐功能，支持對(duì)主機(jī)上的敏感文件設(shè)置規(guī)則進(jìn)行實(shí)時(shí)監(jiān)控，也支持創(chuàng)建虛假的蜜罐文件，來(lái)誘導(dǎo)黑客進(jìn)行惡意篡改。支持監(jiān)控的文件操作有創(chuàng)建、刪除、修改、讀取、權(quán)限修改，同時(shí)支持進(jìn)程樹的采集。一旦發(fā)現(xiàn)符合監(jiān)控規(guī)則的惡意操作行為，立刻發(fā)送告警。

• 外聯(lián)監(jiān)測(cè)

外聯(lián)監(jiān)測(cè)指通過(guò)機(jī)器學(xué)習(xí)主機(jī)外聯(lián)行為，并形成外聯(lián)行為基線，當(dāng)檢測(cè)到主機(jī)發(fā)生基線外的外聯(lián)行為時(shí)認(rèn)為存在異常外聯(lián)，并進(jìn)行告警。