主机端的入侵检测，难啃到让人想放弃！

青藤云安全，江湖人称“藤厂”，凭借领先的理念、技术和产品在网络安全圈逐步封神，久战而立于不败之地。为了让更多人了解青藤、了解网络安全，笔者特开通此专栏，争取用简洁明了的语言讲清楚晦涩难懂的网安知识。

第3事  

拒绝服务器“裸奔”

前几天被问到这么一个问题

主机这么重要

为啥这几年才开始关注主机侧的入侵检测呢

其实原因很简单：壁垒深、投入大、风险高

绝大部分厂商都不愿意去啃这块硬骨头

不过，青藤作为技术流代表

硬是把主机侧的入侵检测做成功了

此后，主机入侵检测系统HIDS

才正式成为重要的主机安全产品之一

一、什么是HIDS？

主机入侵检测系统（HIDS）

就是基于主机的入侵检测系统

对，这次不是基于网络侧的入侵检测了

而是基于主机侧

它通过在被检测的主机上运行一个Agent

该Agent扮演着检测引擎的角色

对受检测主机进行web后门、反弹shell、

本地提权、系统后门、挖矿木马

及web RCE等监控和检测

当发现可疑行为和安全违规事件时

系统就会向管理员报警，以便采取措施

二、为什么要搞HIDS?

说白了，都是攻击技术进化倒逼的

首先，网络入侵者花招百出，招招致命

其次，敌人有时候就在内部，防不胜防

最后，边界防御设备能挡住的入侵越来越少

形同虚设

而想要确保网络的安全

光靠网络入侵检测系统（NIDS）

和防火墙（FW）是远远不够的

而是要从最核心的主机着手进行安全防护

这就需要专门为主机量身定制的

HIDS无时不在的防护

三、HIDS的技术壁垒在哪里？

如此先进、专业、吊炸天的HIDS

是不是所有网安人的“梦中情品”嘞

虽然现在号称有HIDS厂商众多

但大部分产品都存在这样或那样的问题

很难满足用户的真实诉求

要么是漏报太多，形同虚设

十个有九个都不发出告警

那这样的HIDS几乎等于白装

要么告警铺天盖地，难辨真假

安全人员一天少说也得接到好几百条告警

但绝大部分告警都毫无意义

因为压根没人有时间管它

更可怕的是

这些误报甚至会淹没真正有价值的告警

要么就是基于特征库，检测不到未知威胁

有的HIDS产品是“憨憨”

只能根据已经设置好的特征库

来检测威胁

而面对特征库里没有输入的威胁种类时

它就成了“睁眼瞎”

四、万相，HIDS产品中的王炸

俗话说

关关难过关关过

拒绝躺平，人人有责

青藤本着主机安全领域引领者的自觉性

针对以上种种难题放了一个大招

自研了一款高效且功能全面的HIDS产品

青藤万相

与其他HIDS产品相比

青藤万相牛批得可不是一点点

1、多锚点的检测能力，减少漏报

对攻击路径的每个节点都进行监控

并提供跨平台多系统的支持能力

保证了能实时发现失陷主机

对入侵行为进行告警

2、检测并告警“成功的入侵”，抓住重点

只对成功的入侵行为发出告警

减少警报数量，让警报更有价值

3、基于行为分析，有效发现未知手段的攻击

结合专家经验、威胁情报、大数据、 机器学习等

多种分析方法

通过对用户主机环境的实时监控和深度了解

有效发现包括“0Day”在内的各种未知攻击

4、结合资产信息，为响应提供最准确的一线信息

万相不只能发现入侵

还能够提供详细的入侵分析和响应手段

让用户精准有效地解决问题

将主机上的实时入侵事件

发给SOC/SIEM平台进行联动

此外，万相的最新版本具备防护能力

提供进程阻断、IP封禁、文件隔离/删除等服务

不过这些功能默认不开启

用户可根据实际需要自行操作

万相的这些独门绝技

让主机入侵检测实现

低漏报、低误报、主动检测未知威胁、

实时联动安全平台

备受各行各业青睐

如果你有任何关于

入侵检测或网络安全的需求与疑问

可以关注并私聊作者。