主机入侵检测(UCloud Host-based Intrusion Detection System)是用于检测主机上是否存在安全漏洞,是否发生黑客入侵行为,是否有黑客正在暴力破解服务器账号和密码,是否登录成功以及是否安装了后门木马。通过安装由UCloud安全团队研发的Agent,主动监控服务器上的安全风险和黑客入侵行为并进行告警。允许跨平台多地域进行统一管理。
01. 优势
统一安全管理 支持跨平台管理服务器,包括UCloud的虚拟机或物理机,以及平台外的比如阿里、腾讯的主机。不论部署的环境和所处地域,均可在统一的Web控制台查看和操作。 部署简便灵活 只需复制一段代码即可安装agent,部署灵活,无强制安装,跨平台跨地域。即UCloud平台的云主机或者非UCloud平台的云主机,全国只要网络联通的地区均可以部署安装。 实时监控风险 实时监控服务器上发生的安全风险,比如黑客是否在暴力破解服务器的登录名和密码,是否暴力破解成功,是否在服务器上安装了后门软件等。 最小资源占用 Agent插件正常资源仅占用 1% CPU和10M内存。 Agent只负责信息监控、采集、上报,分析工作在云端防护中心进行,最小化系统资源占用。 自主独立研发 作为公立的第三方公有云服务商,不存在任何除检测黑客攻击行为的操作。UHIDS是由UCloud自主独立研发的Agent,Agent仅作为检测黑客攻击行为的软件程序。
02. 功能介绍
安全基线检查 安全基线检查是对操作系统及常见应用进行基础安全检查的服务。agent会定期采集必要的配置文件,通过预定义的检查规则,匹配配置文件中的配置项、配置值是否合理满足基本安全需求,从而给出安全优化与加固方案。其中包括检查:弱口令、特权账号、进程权限、配置安全等。 木马检测 通过检测服务器上的文件和进程信息,对反弹Shell、挖矿、蠕虫、木马等进程进行实时监测和告警。 登录安全 UHIDS会实时检测服务器上的异常登录行为,包括非常用登录地的登陆行为、暴力破解行为等。 告警通知 HIDS检测出安全事件可通过短信或邮件的方式通知告警,便于安全或运维人员及了解处理安全异常事件。
03. 用户案例