<p class="shortdesc"></p> <section><div class="tasklabel"><h2 class="doc-tairway">操作步骤</h2></div><ol class="ol steps"><li class="li step stepexpand"> <span class="ph cmd">登录<a class="xref" href="/console/microApp/psc/overview" target="_blank">PSC控制台。</a>。</span> </li><li class="li step stepexpand"> <span class="ph cmd">在<span class="ph uicontrol">概览</span>页面，点击<span class="ph uicontrol">安全风险</span>板块的<span class="ph uicontrol">管理</span>。</span> </li><li class="li step stepexpand"> <span class="ph cmd">在<span class="ph uicontrol">安全首页</span>页面，选择<span class="ph uicontrol">Linux</span>或者<span class="ph uicontrol">Windows</span>页签，点击<span class="ph uicontrol">入侵检测</span>。</span> <div class="itemgroup info"> <div class="p"> <div class="note note note_note"><span class="note__title">说明：</span> Linux与windows操作类似，本文以Linux为例描述。</div> </div> <p class="p"><span class="ph uicontrol">入侵检测</span>包括的功能如下表。</p> <table class="table" id="rqjc__table_fy1_52v_t5b"><caption></caption><colgroup><col style="width:31.545741324921135%"><col style="width:68.45425867507886%"></colgroup><thead class="thead"> <tr class="row"> <th class="entry" id="rqjc__table_fy1_52v_t5b__entry__1"> <p class="p">功能</p> </th> <th class="entry" id="rqjc__table_fy1_52v_t5b__entry__2"> <p class="p">说明</p> </th> </tr> </thead><tbody class="tbody"> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">入侵总览</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">展示入侵检测功能总体的数据概览信息，支持各项操作来展示不同的统计视图信息。</p> </td> </tr> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">暴力破解</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">用于发现用户主机上各类阻止各类关键应用被暴力破解，尝试登录的行为，防止登录账户被爆破。目前支持vsftpd和sshd两个服务的检查。</p> </td> </tr> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">异常登录</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">用于发现系统成功登录的信息中，包含非正常IP、非正常区域、非正常时间、非正常账号的登录信息。</p> </td> </tr> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">反弹shell</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">用于监控主机中所有利用Shell进行反向连接的行为，方便用户对主机中发生的反弹Shell行为进行查看、分析和处理。</p> </td> </tr> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">本地提取</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">当用户以低权限进入主机系统，通过某种行为获得高权限时，该进程很有可能是黑客的网络攻击行为，威胁主机安全。本地提权功能用于对此类行为事件进行记录和统计。</p> </td> </tr> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">后门检测</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">用于检测系统是否存在Booitkit、Rootkit、应用后门、病毒木马等问题。云端+客户端的双重检测模式，让后门的每一个特征和行为，都会被实时发现或者通过扫描进行上报告警，同时给出专业角度的安全分析。不仅支持对后门进行隔离、删除、修复验证等多种处理方式，同时也提供检测规则的高度自定义能力，方便用户对挖矿木马进行快速响应和预防。</p> </td> </tr> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">Web后门</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">用于检查Web网站中存在的后门文件，Web后门文件为安全威胁检查中即为重要的一环。Web后门支持实时监控和扫描两种检测方式。</p> </td> </tr> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">可疑操作</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">可疑操作记录执行的shell命令，您可以对操作进行筛选，也可以自定义规则发现可疑操作。该功能需要安装服务器安全监测系统的bash插件。</p> </td> </tr> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">Web命令执行</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">WebRCE是黑客写入Web后门后，通过启动Web进程来执行恶意操作的一种手段。Web命令执行通过分析常见的远程命令漏洞利用实例，利用模式识别的方式，实时监控用户进程行为的各项特征，对主机中进程异常的执行行为和执行命令内容进行精确匹配，能有效发现黑客利用漏洞执行命令的行为痕迹，并及时进行告警。</p> </td> </tr> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">内存后门</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">内存后门（Memory Backdoor）功能为了捕捉无文件攻击，则从无文件攻击的核心技术过程—进程内存中进行检测，精确捕获注入至进程内存中的恶意代码，能够有效检出无文件攻击。</p> <p class="p">主要解决如下问题：</p> <ul class="ul" id="rqjc__ul_uvw_vk1_55b"> <li class="li"> <p class="p">帮助用户发现在进程内存中运行的恶意代码，并及时发送告警。</p> </li> <li class="li"> <p class="p">提供对恶意代码的特征分析和说明，帮助用户认清告警做出判断，进一步处理。</p> </li> <li class="li"> <p class="p">利用精确检测的能力帮助用户验证对内存后门的修复结果，实现对事件生命周期的管理。</p> </li> </ul> </td> </tr> <tr class="row"> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__1 "> <p class="p">异常文件监控</p> </td> <td class="entry" headers="rqjc__table_fy1_52v_t5b__entry__2 "> <p class="p">异常文件操作功能针对主机内现有的、真实有效的文件进行实时监控，当文件发生不符合预期的操作时，判定为异常操作上报，及时告警，提供详细信息便于安全人员分析处理。</p> </td> </tr> </tbody></table> </div> </li></ol></section>