360 主机入侵检测系统

需求分析

主机作为承载公司业务及内部运转的底层平台,其稳定、安全地运行是公司的正常发展的前提保障。如果黑客通攻击了主机,通常会给公司发展造成严重的危害和损失。

设备多而杂,资产管理难

大部分机构与组织的安全团队对于主机资产往往无法做到细粒度的掌握,对主机上的安全风险也无法有效的识别。例如金融、医疗以及运营商等行业,他们的资产类型和数量众多,对物理机、虚拟机、容器、云等主机资产安全进行统一清点和管理十分困难,导致企业无法实时掌控数据资产的全面情况;面对外部和内部的威胁和风险,也无法进行统一管控。

面对未知攻击,难溯源、难检测

发生安全风险时,事件回溯需要大量的历史数据分析,而传统的日志分析系统对于日志的搜索维度单一,日志的存储和实时性较差,分析日志会产生大量的冗余数据;且综合分析时可能会产生跨部门、跨系统、跨网段,分析难度大,分析时间长。这种方式极易产生大量误报,增加了运维人员的负担,也很难对安全事件进行溯源和追责。如何既能及时发现问题,又能尽可能减少对正常业务的影响,也是安全防护需要面对的问题。

重要机构和企业要满足更严格的监管合规要求

部分重要企业和机构的数据具有极高价值,经常面对来自黑客持久性、具备高度针对性的攻击,企业原有的已经防护策略难以应对瞬息万变的安全环境。如何满足来自多方面的监管合规要求,避免遭受业务损失,是企业要解决的重要问题。

产品概述

360 主机入侵检测系统是按照CWPP 模型打造的一款主机安全管理产品。该产品通过部署轻量级agent插件,实现服务器与云端的实施联动,为客户服务器集群提供安全加固、主动防御、入侵监测三大核心安全能力,及时感知和响应服务器集群的系统安全;从事前、事中、事后三个维度对服务器进行有效加固,防御黑客高危持续攻击,保障服务器集群的安全稳定运行。

功能介绍
资产管理

通过部署超轻量级Agent实现多维度资产信息收集,实时全面掌控服务器运行安全状况,快速搭建主机安全的纵深防御系统。

入侵检测

基于360安全大数据及自研AI安全监测模型,多维度实时监测入侵事件,如异常登录、Webshell、文件异常、系统后门、进程异常、操作异常等,并对入侵事件进行精准分析和快速响应处理。

任务管理

灵活可控的任务管理,包括支持随时部署任务,并灵活配置任务;支持集中控制管理,并可获取任务执行动态信息;支持批量下发任务,并详实记录任务执行情况。

安全加固

助力企业满足等保合规要求,以国家《等保2.0》为标准,制定合规内容检查与基线扫描。基于360安全大数据和漏洞检测规则,通过日常扫描、基线扫描、主动扫描等实现安全风险全覆盖,实时同步告警和修复方案。

主动防御

融合WAF、蜜罐等安全服务,自动开启服务器防护策略,基于360安全大数据分析及处理能力,精准识别安全风险并进行主动拦截。

技术优势
独有的shell操作审计功能

AI模型精准分析服务器上的每一个shell操作,输出带有上下文的风险告警。

支持监测:清除记录、私建账号、私改权限、操作敏感文件、nc远程操作、监控外链下载等。

超轻量部署

稳定部署 客户业务先行。

在360集团内部稳定运行4年,保护10W+台服务器的安全稳定运行。保证业务优先,资源主动释放;保证数据安全,加密数据传输;终端一键部署,任务一键下发;事件一键处理,报表一键导出。

基线合规

助力企业满足合规建设。

支持检测:CIS level1基线、CIS level2基线、等保二级、等保三级、用户自定义基线等。

部署方案

海量数据,多维联动。

结合360安全大数据与多个安全防御系统的融合打通,可发现和定位未知安全威胁与入侵手段,加强企业在安全防御能力上的提升与优化,第一时间保护业务安全。

典型应用

客户背景:10+万台服务器,业务范围互联网金融、游戏、移动APP等多形态业务形态。

客户诉求:面对高级威胁持续攻击,客户希望在保障业务稳定运营状况下,提升企业安全防御能力,和业务的健壮性。

部署方式:本地化私有部署。

客户价值:全面掌控服务器健康状态,拦截暴力破解攻击20余万次。

部署方案

360 主机入侵检测系统目前支持本地化私有部署。通过在被保护服务器上部署Agent,来感知和进行信息探测、漏洞检测及安全基线检查, 360 主机入侵检测系统的管理控制台通过人工智能和数据分析对收集上来的信息进行处理分析,整合资产信息、分析风险入侵、下发防御策略、应急响应等。

usage-scene 部署示意图