青藤慧眼·入侵检测系统作为青藤云安全主打产品之一

这款产品有何过人之处

下面请青藤云安全安全技术总监孙维伯

为我们揭秘一下

……

-视频版-

-文字版-

大家好，我是青藤云安全的安全技术总监孙维伯，今天我为大家讲解一下青藤云安全主机入侵安全检测产品。

讲到入侵检测，我相信安全人员会非常头疼，因为我们现在已经有非常多的入侵检测类的产品，比如IPS，IDS，WAF等等。一个1000人左右中等规模企业的安全负责人，可能每天要收到数百甚至是数千条的告警。他的工作就要从数百数千条告警当中抽出一条或两条最有效的数据，往往这个时间会变得非常的漫长，而且会增加非常多的工作量，并且这些入侵告警并不都是有效的。同时，一个专业的黑客入侵，他在已经了解了安全产品的规则之后，很可能会绕过他，并不会发生有效的告警。

这会带来一个问题，在所有的告警当中分析了很久后，并没有找到几条真正有效的告警，那么黑客可能在已经知道了这些规则，或者是基于某些行为特征的情况下，已经绕过了入侵检测产品，把你黑掉了，但是你却不知道。你在分析的时候并没有分析到黑客真正的入侵检测的这条线索，或者是记录。

我们的主机入侵检测和过去的入侵检测产品有哪些不同呢？

我们知道服务器是安全最核心的资产，一切的数据，应用，甚至是系统的配置，全部都在这台服务器上。如果这台服务器一旦被黑掉了，您所有的资产可能都会被黑客，甚至是同行给偷走，那么服务器这块的入侵检测是最重要的，也是最需要保护的。我们的入侵检测产品并不能够做到百分之百有效，但是我们设置了非常多的特征锚点，黑客的入侵不会是单一的行为过程，是一连串的反应。

举个例子，比如有一天，一个小偷进了你们家的家门，他跳进你的院子里，可能进行下一步的动作，把您家的门窗砸开，然后进入卧室，破解保险箱的密码，甚至是拿走家里的现金，最后逃走，这是一连串的动作，不会做到只跳到您的院子里，然后嗷嗷待捕。黑客的入侵也是这样的过程，是一连串的反应。比如说一个黑客利用您系统里面的Struts2漏洞上传了一个Webshell，下一步他有可能就会去尝试反弹一个Shell，然后做更进一步的命令操作，去尝试进行提权，提权之后就获取到Root权限，会利用Root权限安装一个后门，甚至是Rootkit，会去尝试擦除掉相关的日志，这是黑客入侵的过程。

在这个黑客入侵过程当中我们设置了非常多的特征锚点，或者叫微指标，我们通过这些微标准来精准地感知到黑客整个的入侵过程，或者是入侵路径，比如说我们有非常多的功能，反弹Shell检测，比如说蜜罐，比如风险命令检测等。也许一个黑客足够高明，自己写了Webshell绕过了整套的Webshell监测体系，当然这种情况在我们现在的产品里面可能性已经降到极低，因为我们产品里面每一个入侵检测的功能指标，每隔几个月会更新升级一次。目前为止我们的反弹Shell已经经过了三代的改进和升级，反弹shell的检测精准度提高到90%以上，也许黑客利用仅存的10%绕过了反弹shell的检测，下一步尝试进行操作一些风险命令，或者进行提权的时候，可能会触发我们的风险命令监控，或者是提权行为检测，这个时候就会暴露自己。

同时，我们的Agent会直接给一个相关的非常详细的告警，比如什么时间通过哪个命令，启动了哪个进程，这个进程是不是有Root权限，以及这个进程相关的上面的副进程信息等。我们这个告警信息是非常精准的，因为如果是我们的主机安全产品一旦发生这样的告警，意味着你有90%的可能被黑了。您过去面临着非常多的外部的流量层的，或者应用层的告警产品会变得截然不同，安全人员的效率会得到极大的提高。只需要盯着我们产品的主机安全的告警，同时每天去做相关的，告警相关的分析，这个告警频率不会很高，也许一个月有一次，也许一年有一次，当然我们希望这种行为不会发生，意味着您永远不会被黑客黑掉。

但是我们知道这是不可能的，没有任何一家企业不会被黑客黑掉，也没有任何一款安全产品能做到百分之百的有效。我们的思路是在黑客入侵的路径上设置非常多的微指标，我们有反弹Shell有蜜罐，有风险命令，Webshell监测，Rootkit监测，提权监测等等，设置了非常多的微指标，一旦黑客的入侵过程当中触犯到了其中的一个或者某一个就会发生告警。这就好比是黑客的入侵路径上我们布置了非常多的陷阱，也许黑客绕过了其中一个，但是很可能就会触发到其他的几个指标，整个黑客的行为就会全部暴露在您的整个的告警风险提示里面。

这个就是我们的主机安全入侵检测产品的介绍，谢谢大家。

想要了解更多，请点击“阅读原文”

-The End-

更多精彩内容：

青藤讲堂Episode 1|青藤万相·主机自适应安全平台揭秘

《安全说》Episode 1| RSAC 2019见闻

干货|青藤云安全重磅发布《2018年主机安全报告》

关于青藤云安全

青藤云安全以服务器安全为核心，采用自适应安全架构，将预测、防御、监控和响应能力融为一体，构建基于主机端的安全态势感知平台，为用户提供持续的安全监控、分析和快速响应能力，帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下，实现安全的统一策略管理，有效预测风险，精准感知威胁，提升响应效率，全方位保护企业数字资产的安全与业务的高效开展。

QINGTENG CUSTOMERS

他们都在使用青藤

政府机构

国家信访局 | 国家信息中心 | 北京市公安局 | 中国煤炭地质总局 | 国家电网 |华中电网有限公司 | 天津市地震局| 青海省卫生健康委员会 | 北京电视台 | 中国日报 

金融行业

中国平安 | 招商银行 | 光大银行 | 吉林银行 | 宁波银行 | 安信基金 | 阳光保险集团 | 招联金融 | 银华基金管理股份有限公司 | 泰康 | 广发证券 | 安信证券

互联网金融

陆金所 | 借贷宝 | 91金融 | 51信用卡 | 玖富 | 易宝支付 |宜信 | 人人贷 | 普惠家 | 有利网

互联网

BiliBili | 科大讯飞 | 51 Talk | 团车网 | 人人行科技 | 斗鱼 | 映客 | 途牛 | 春雨医生 | 天极网 

大型企业

九阳 | 吉利控股集团 | 中通快递 | 上汽集团 | 百胜中国 | TCL | 中国移动 | 中国联通 | 中国电信