防0day進程防火墻

Process Traffic 0 Day Firewall 簡稱ZDFW是一款Linux服務器高級威脅感知系統，由XDP下一代流量防火墻、進程防火墻和主機安全組成，專注未知攻擊0day對抗，目標是徹底解決服務器安全問題。

總體架構

進程流量防火墻平臺，主要由端+控制臺構成，提供了包含漏洞掃描、風險管理、入侵威脅管理、流量監控、安全防護、合規基線、抗DDOS、安全告警、登錄分析等功能。

端：主機客戶端輕量Agent

客戶端Agent部署在服務器上（支持物理服務器、虛擬化服務器），提供多個層面的安全監測和安全防護，可快速識別及阻斷黑客攻擊。Agent主要功能：進程活動與流量分析并引入機器學習。

云：Server端安全引擎

Server 端安全引擎作為平臺的中樞，持續接收各個Agent上報的信息，并進行解析、處理、分析和保存，根據經驗庫和用戶自定義規則，發現漏洞、異常登錄行為、異常網絡連接行為、文件異常操作、賬號異常操作、異常命令調用行為和進程異常行為，實時發現入侵行為。

控制臺：Web管理平臺

以 Web 控制臺的形式和?戶交互，清晰展示各項安全檢測和分析的結果，并對重?威脅進?實時告警，同時以人機交互的方式提供用戶自定義各種安全策略，以及靈活的策略分發，提升精細化管理，幫助?戶更好更快地處理安全問題。

1. 1. 功能架構

物理安全：主要是監測計算資源使用情況，CPU、內存被進行消耗明細及風險預測。

流量安全：基于各進程流量采集進行機器學習再綜合分析，可設置白黑名單、抗DDOS、XDP防護。

進程安全：捕獲進程原始聯網報文，在結合機器學習，對進程行為進行風控分析。

SSH安全：分析server后臺登錄安全態勢，以及操作命令記錄，對公網服務器登錄進行安全評估。

文件篡改：檢測重要目錄、重要文件是否被非法串改。

基線檢測：對操作系統重要配置進程合規檢測提高安全防護能力。

漏洞掃描：對指定文件路徑進行掃描發現漏洞。

• 動態實時防護檢測進程

進程流量防火墻支持動態實時監控文件落盤的方式，檢測在惡意文件篡改啟動運行之前進行檢測并處置，檢測時效性強。而且支持自定義目錄進行掃描和實時監控。

• 無文件內存馬攻擊檢測

內存馬是無文件攻擊的一種常用手段，通過在內存中植入惡意后門或木馬并執行，達到遠程控制WEB服務器的目的。在攻擊者通過容器漏洞或應用漏洞注入內存馬后，可在所訪問任意url或者指定url中帶上命令執行參數，進而在服務器執行系統命令。以Java為例，客戶端發起的WEB請求可能會經過Listener、Filter、Servlet等組件，攻擊者只要在這個請求的過程中在內存中修改已有的組件或者動態注冊一個新的組件，插入惡意的代碼，即可達到目的。

進程流量防火墻無文件內存馬檢測支持定時或實時檢測注入進程的內存馬，包括Listener、Filter、Servlet等內存馬類型，并支持JSP和Agent注入兩種檢測引擎。

• 進程監控檢測遠程命令執行

通過分析常見的遠程命令漏洞利?實例，利?模式識別的?式，實時監控?戶進程?為的各項特征，對主機中進程異常的執??為和執?命令內容進?精確匹配，能有效發現?客利?漏洞執?命令的?為痕跡，并及時進?告警。檢測的漏洞利用規則覆蓋了ATT&CK攻擊矩陣中14個階段常見的攻擊戰術和WEB RCE(遠程命令執行) 漏洞利用的檢測，包括：密碼查看工具、提權工具、隧道工具、端口掃描工具、進程注入工具、計劃任務、遠程管理、獲取交互式命令行界面、遠程執行下載命令、白名單進程利用、0day漏洞利用等等；WEB RCE漏洞利用的規則包括：Java反序列化遠程命令執行漏洞、redis遠程命令執行漏洞、IIS遠程命令執行漏洞、apache2遠程命令執行漏洞、php-fpm遠程命令執行漏洞及常見廠商的遠程命令執行漏洞等。

功能同時也?持?戶?定義規則進?檢測，可幫助適應客戶多樣化的業務流程，精準覆蓋各類 RCE 攻擊的監控場景。

• 登錄監控常用登錄自學習

進程流量防火墻支持自學習主機常用登錄IP，并記錄到主機登錄常用IP白名單中。白名單中的IP登錄不告警。同時支持設置互信登錄組，在同一個互信登錄組內的主機相互登錄默認為正常登錄。

• 反彈shell檢測

通過對主機上的進程?為進?實時監控，識別進程的網絡外聯外聯行為，實時發現進程的?法外聯所產?的反彈 Shell 。支持查看反彈shell的詳細進程信息，包括反彈進程信息、父進程信息、進程命令參數等。

• 文件蜜罐

本產品支持文件蜜罐功能，支持對主機上的敏感文件設置規則進行實時監控，也支持創建虛假的蜜罐文件，來誘導黑客進行惡意篡改。支持監控的文件操作有創建、刪除、修改、讀取、權限修改，同時支持進程樹的采集。一旦發現符合監控規則的惡意操作行為，立刻發送告警。

• 外聯監測

外聯監測指通過機器學習主機外聯行為，并形成外聯行為基線，當檢測到主機發生基線外的外聯行為時認為存在異常外聯，并進行告警。