功能特性_企业主机安全 HSS_产品介绍

账号信息管理

检测主机系统中的账号，列出当前系统的账号信息，帮助用户进行账户安全性管理。

根据账号的实时信息和历史变动，您可以快速排查主机中的可疑账号。

• 账号的实时信息包括账号的“账号名”、“对应主机数”以及具体账号对应的“对应服务器”、“管理员权限”、“用户组”、“用户目录”和“用户启动Shell”。
• 账号的历史变动信息包括“变动状态”、“弹性服务器名称”、“账号名”、“管理员权限”、“用户组”、“用户目录”、“用户启动Shell”和“发生变动时间”。

实时检测

开放端口检测

检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。

根据端口的“端口类型”、“对应主机数”、“危险程度”、“状态”、“端口描述”以及具体端口对应的“对应服务器”、“绑定IP”、“状态”、“对应进程的PID”、“程序文件”，您能够快速排查主机中含有风险的端口。

实时检测

进程信息检测

检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。

根据主机中“进程名”、“对应主机数”、“进程总数”、“文件名称总数”以及具体进程对应的“对应服务器”、“进程路径”、“文件权限”、“运行用户”、“PID”以及“进程启动时间”，您能够快速排查主机中的异常进程。

实时检测

Web目录管理

检测并列出当前系统中Web服务使用的目录，帮助用户进行Web资源管理。

在“Web目录管理”界面，您可以统一查看Web目录对应的“文件路径”、“应用类型”、“本地端口”、“URL”、“进程编号（PID）”和“程序文件”。

实时检测

软件信息管理

检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。

根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。

• 软件的实时信息包括“软件名称”、“对应主机数”以及具体软件对应的安装该软件的“对应服务器”和“软件版本号”。
• 软件变动的历史记录包括软件的“变动状态”、“服务器名称”、“软件名称”、“软件版本号”和“发生变动时间”。
• 您可以使用手动检测功能检测主机中的软件信息。

• 每日凌晨自动检测
• 手动检测

自启动

检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。

帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。

实时检测

软件漏洞检测

包括Linux软件漏洞和Windows系统漏洞。

通过与漏洞库进行比对，检测出系统和官方软件（非绿色版、非自行编译安装版；例如：SSH、OpenSSL、Apache、Mysql等）存在的漏洞，帮助用户识别出存在的风险。

• 每日凌晨自动检测
• 手动检测

Web-CMS漏洞检测

通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。

口令复杂度策略检测

• 检测系统中的口令复杂度策略，并给出修改建议，帮助用户提升口令安全性。
• 您可以使用手动检测功能检测主机中的口令复杂度策略。

• 每日凌晨自动检测
• 手动检测

经典弱口令检测

• 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改，防止账户口令被轻易猜解。
• 在经典弱口令检测界面，您可查看使用弱口令的“账号名”、“账号类型”以及“弱口令使用时长”。
• 您可以使用手动检测功能检测主机中使用的弱口令。

• 每日凌晨自动检测
• 手动检测

配置检测

检测常见的Tomcat配置、Nginx配置、SSH登录配置，帮助用户识别不安全的配置项。

在配置检测界面，您可以查看主机中不同配置检测种类的“描述”、存在威胁的“检测规则”、“威胁等级”和“状态”。

• 根据配置检测规则和检测结果详情，您可以处理含有风险的配置项或忽略可信的配置项。
• 您可以使用手动检测功能检测主机中的关键配置信息。

• 每日凌晨自动检测
• 手动检测

账户暴力破解

检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。

• 如果30秒内，账户暴力破解次数达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。

  SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。

• 根据账户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。

实时检测

账户异常登录

检测“异地登录”和“账户暴力破解成功”等异常登录。

• 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。

  异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。

  若在非常用登录地登录，则触发安全事件告警。

• 若账户暴力破解成功，登录到云主机，则触发安全事件告警。

实时检测

恶意程序（云查杀）

通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别病毒、木马、后门、蠕虫和挖矿软件等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。

根据恶意程序的相关信息，您可以“隔离查杀”已识别的恶意程序和可疑的恶意程序，“取消隔离”或“忽略”可信的程序。

实时检测

进程异常行为

通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。

实时检测

关键文件变更

• 对系统关键文件（例如：ls、ps、login、top等）进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。
• 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。

实时检测

网站后门（Webshell）

检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。

• 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。
• 您可以使用手动检测功能检测主机中的网站后门。

• 实时检测
• 手动检测

反弹Shell

实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

实时检测

异常Shell

检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。

实时检测

高危命令执行

实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。

实时检测

自启动检测

检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。

实时检测

风险账户

检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。

在风险账号告警详情界面，您可以查看“账号名”、“用户组”、“UID/SID”、“用户目录”以及“用户启用Shell”等信息。

实时检测

提权操作

检测当前系统的“进程提权”和“文件提权”操作。

实时检测

Rootkit程序

检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。

• 支持使用文件特征码检测Rootkit。
• 支持对隐藏文件、端口、进程的检测。

每日自动检测

程序运行认证

支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。

实时检测

文件完整性管理

检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。

实时检测

勒索病毒防护

通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。

实时检测

静态网页防篡改

防止网站服务器中的静态网页文件被篡改。

实时检测

网盘文件防篡改

防止共享文件网盘中的网页文件被篡改。

动态网页防篡改

防止网站数据库中动态网页内容被篡改。