登录控制台

常见问题

作者:蔚可云 时间:2020-12-07

一、资源占用问题

采用轻易级的主机探机agent,对主机的CPU和内存消耗极少,不影响主机的正常业务运行
Agent只负责数据的收集和上报,大部分的数据分析工作都是在服务端完成,因此Agent几乎不占用资源,平峰时一般消耗不会超过单核1% CPU及30M内存,同时也通过代码限制最大的门限值为单核10% CPU。

二、入侵检测的扫描频率

侵检测中的异常登录、文件完整性、可疑帐号、病毒木马、异常进程是实时检测的(病毒木马也可支持配置定时检测),风险发现中的紧急风险、安全漏洞、安全基线可以配置定时检测周期。

三、HIDS与传统方案的对比

1.侧重点不同
传统的防火墙是基于网络边界的安全产品,而HIDS是基于主机的安全产品,二者在安全纵深防御体系中针对的是2个不同的范畴;
2.底层形态不同
防火墙多以硬件的形态,HIDS则提供的是软件形态;
3.防御手段不同
防火墙等是基于已知的规则进行防御,对于加密流量无法解密;HIDS作为主机层面的防护,入侵行为相对归一,可以基于规则引擎和AI引擎进行分析和检测,同时结合威胁情报,检测效率和准确性更高;
4.能力不同
防火墙更强调防御和行为管控,而HIDS则强调安全检测及相应;

四、病毒木马,可疑账号以及弱口令等的检测规则

病毒木马检测分为两种,二进制病毒检测和网页后门检测。
1.二进制病毒检测
针对二进制病毒检测,在主机上有规则引擎,在云端有病毒特征库,病毒特征库跟多家知名威胁情报厂商进行交换和合作。
2.网页后门检测
针对网页后门检测,在主机上有规则引擎,云端有AI引擎,两者相互验证。
可疑账号可以识别UID为0非root帐号、影子帐号、无密码执行sudo、UID重复、定时后门帐号、home目录任意读写、用户名重复等帐号。
本页目录