首页 > 产品系列 > SPOS-App 安全应用 > 主机安全监测平台

主机安全监测平台


5.jpg


青藤-安博通Monitor是由青藤云安全与安博通联合推出的一款终端安全监测产品,使用特征锚点、行为模式、关系模 型等独创方法,从进程、主机、网络三个维度全方位监测黑客行为,第一时间发现黑客有效入侵并做出响应,将企业损失最小化。


核心技术

  • 特征锚点

黑客入侵的手段多种多样,但其目的是归一的:窃取有价值的核心数据资产。要接触到核心资产,有些路径是黑客的必经之路。在这些路径上打上特征锚点,对系统后门(rootkit、bootkit等)、Webshell、文件完整性(文件内容或权限变更)和系统权限变更等进行监测,黑客一旦触碰锚点就会引发报警


6-1.jpg

 

  • 行为分析

黑客在入侵渗透系统过程,有些行为是非常典型的。青藤云安全和安博通根据多年专业安全经验,建立了黑客入侵的行为模型,包括进程的子进程产生、反弹shell、异常登录、本地提权、shell审计、系统敏感文件的读写、端口监听等,然后通过模式匹配的方法来做持续监控。


6.jpg


  • 关系模型

在一个相对稳定的业务系统中,主机之间的进程访问关系是相对固定的。黑客在一步步窃取数据过程中,往往会对一些主机进行异常的访问。通过机器学习来建立不同业务角色间的访问关系模型,并持续进行监控,一旦发现有异常的访问行为就会报警出来。


6-3.jpg


  • 基于行为识别的机器学习技术

青藤入侵检测系统会对行为数据进行多维度学习,一段时间后就可以建立起“正常”的行为模型,随着时间推移,系统会持续学习,自动评估模型的准确度并改进,识别发现真正的异常行为情况,从而在最大限度做到自动化的同时,做到最低的误报率。


88.jpg