防0day進程防火墻

Process Traffic 0 Day Firewall 簡稱ZDFW是一款Linux服務(wù)器高級威脅感知系統(tǒng)，由XDP下一代流量防火墻、進程防火墻和主機安全組成，專注未知攻擊0day對抗，目標是徹底解決服務(wù)器安全問題。

總體架構(gòu)

進程流量防火墻平臺，主要由端+控制臺構(gòu)成，提供了包含漏洞掃描、風(fēng)險管理、入侵威脅管理、流量監(jiān)控、安全防護、合規(guī)基線、抗DDOS、安全告警、登錄分析等功能。

端：主機客戶端輕量Agent

客戶端Agent部署在服務(wù)器上（支持物理服務(wù)器、虛擬化服務(wù)器），提供多個層面的安全監(jiān)測和安全防護，可快速識別及阻斷黑客攻擊。Agent主要功能：進程活動與流量分析并引入機器學(xué)習(xí)。

云：Server端安全引擎

Server 端安全引擎作為平臺的中樞，持續(xù)接收各個Agent上報的信息，并進行解析、處理、分析和保存，根據(jù)經(jīng)驗庫和用戶自定義規(guī)則，發(fā)現(xiàn)漏洞、異常登錄行為、異常網(wǎng)絡(luò)連接行為、文件異常操作、賬號異常操作、異常命令調(diào)用行為和進程異常行為，實時發(fā)現(xiàn)入侵行為。

控制臺：Web管理平臺

以 Web 控制臺的形式和?戶交互，清晰展示各項安全檢測和分析的結(jié)果，并對重?威脅進?實時告警，同時以人機交互的方式提供用戶自定義各種安全策略，以及靈活的策略分發(fā)，提升精細化管理，幫助?戶更好更快地處理安全問題。

1. 1. 功能架構(gòu)

物理安全：主要是監(jiān)測計算資源使用情況，CPU、內(nèi)存被進行消耗明細及風(fēng)險預(yù)測。

流量安全：基于各進程流量采集進行機器學(xué)習(xí)再綜合分析，可設(shè)置白黑名單、抗DDOS、XDP防護。

進程安全：捕獲進程原始聯(lián)網(wǎng)報文，在結(jié)合機器學(xué)習(xí)，對進程行為進行風(fēng)控分析。

SSH安全：分析server后臺登錄安全態(tài)勢，以及操作命令記錄，對公網(wǎng)服務(wù)器登錄進行安全評估。

文件篡改：檢測重要目錄、重要文件是否被非法串改。

基線檢測：對操作系統(tǒng)重要配置進程合規(guī)檢測提高安全防護能力。

漏洞掃描：對指定文件路徑進行掃描發(fā)現(xiàn)漏洞。

• 動態(tài)實時防護檢測進程

進程流量防火墻支持動態(tài)實時監(jiān)控文件落盤的方式，檢測在惡意文件篡改啟動運行之前進行檢測并處置，檢測時效性強。而且支持自定義目錄進行掃描和實時監(jiān)控。

• 無文件內(nèi)存馬攻擊檢測

內(nèi)存馬是無文件攻擊的一種常用手段，通過在內(nèi)存中植入惡意后門或木馬并執(zhí)行，達到遠程控制WEB服務(wù)器的目的。在攻擊者通過容器漏洞或應(yīng)用漏洞注入內(nèi)存馬后，可在所訪問任意url或者指定url中帶上命令執(zhí)行參數(shù)，進而在服務(wù)器執(zhí)行系統(tǒng)命令。以Java為例，客戶端發(fā)起的WEB請求可能會經(jīng)過Listener、Filter、Servlet等組件，攻擊者只要在這個請求的過程中在內(nèi)存中修改已有的組件或者動態(tài)注冊一個新的組件，插入惡意的代碼，即可達到目的。

進程流量防火墻無文件內(nèi)存馬檢測支持定時或?qū)崟r檢測注入進程的內(nèi)存馬，包括Listener、Filter、Servlet等內(nèi)存馬類型，并支持JSP和Agent注入兩種檢測引擎。

• 進程監(jiān)控檢測遠程命令執(zhí)行

通過分析常見的遠程命令漏洞利?實例，利?模式識別的?式，實時監(jiān)控?戶進程?為的各項特征，對主機中進程異常的執(zhí)??為和執(zhí)?命令內(nèi)容進?精確匹配，能有效發(fā)現(xiàn)?客利?漏洞執(zhí)?命令的?為痕跡，并及時進?告警。檢測的漏洞利用規(guī)則覆蓋了ATT&CK攻擊矩陣中14個階段常見的攻擊戰(zhàn)術(shù)和WEB RCE(遠程命令執(zhí)行) 漏洞利用的檢測，包括：密碼查看工具、提權(quán)工具、隧道工具、端口掃描工具、進程注入工具、計劃任務(wù)、遠程管理、獲取交互式命令行界面、遠程執(zhí)行下載命令、白名單進程利用、0day漏洞利用等等；WEB RCE漏洞利用的規(guī)則包括：Java反序列化遠程命令執(zhí)行漏洞、redis遠程命令執(zhí)行漏洞、IIS遠程命令執(zhí)行漏洞、apache2遠程命令執(zhí)行漏洞、php-fpm遠程命令執(zhí)行漏洞及常見廠商的遠程命令執(zhí)行漏洞等。

功能同時也?持?戶?定義規(guī)則進?檢測，可幫助適應(yīng)客戶多樣化的業(yè)務(wù)流程，精準覆蓋各類 RCE 攻擊的監(jiān)控場景。

• 登錄監(jiān)控常用登錄自學(xué)習(xí)

進程流量防火墻支持自學(xué)習(xí)主機常用登錄IP，并記錄到主機登錄常用IP白名單中。白名單中的IP登錄不告警。同時支持設(shè)置互信登錄組，在同一個互信登錄組內(nèi)的主機相互登錄默認為正常登錄。

• 反彈shell檢測

通過對主機上的進程?為進?實時監(jiān)控，識別進程的網(wǎng)絡(luò)外聯(lián)外聯(lián)行為，實時發(fā)現(xiàn)進程的?法外聯(lián)所產(chǎn)?的反彈 Shell 。支持查看反彈shell的詳細進程信息，包括反彈進程信息、父進程信息、進程命令參數(shù)等。

• 文件蜜罐

本產(chǎn)品支持文件蜜罐功能，支持對主機上的敏感文件設(shè)置規(guī)則進行實時監(jiān)控，也支持創(chuàng)建虛假的蜜罐文件，來誘導(dǎo)黑客進行惡意篡改。支持監(jiān)控的文件操作有創(chuàng)建、刪除、修改、讀取、權(quán)限修改，同時支持進程樹的采集。一旦發(fā)現(xiàn)符合監(jiān)控規(guī)則的惡意操作行為，立刻發(fā)送告警。

• 外聯(lián)監(jiān)測

外聯(lián)監(jiān)測指通過機器學(xué)習(xí)主機外聯(lián)行為，并形成外聯(lián)行為基線，當(dāng)檢測到主機發(fā)生基線外的外聯(lián)行為時認為存在異常外聯(lián)，并進行告警。