HIDS需要收集操作系统层面收集各类型数据来支撑其入侵检测/行为审计等工作,主机安全保护平台作为国内唯一具备内核态信息收集能力的商业产品,其数据丰富程度相当于传统方案的10倍,相当于从480p到了4k的清晰度,这极大的提升了核心能力。
而且我们在数据更丰富的情况下,性能损耗也做到了目前商业产品的Top1。以下是在字节的内部数据:
CPU(单核) | MEM(实际使用物理内存) | IO/R(读取IO占用) | IO/W(写入IO占用) | |
---|---|---|---|---|
TP99 | 4% | 80MB | 2KB/s | 1KB/s |
AVG | 0.20% | 60MB | 0.1KB/s | 1KB/s |
且针对0day具备检测能力,如:CVE-2022-25636 CVE-2021-4034 近期的高危漏洞均在无需升级策略的情况下可以精准检测利用行为。
并且具备良好的内核态rootkit行为检测能力。
灵活可靠的集群,可轻松接入百万节点,所有后端组件都可以横向扩容,整体后端组件依赖少,部署/维护/升级方便。
且全部组件均支持容灾,避免单点故障。
架构如下:
且端上One Agent架构也极大的降低了运维压力,One Agent 提供了RASP
,主机入侵检测,容器入侵检测,资产收集,基线检查,爆破检测等功能。
除了传统的黑白名单策略,静态检测能力,还有针对高级威胁的行为序列检测,针对不同阶段/不同时间的行为进行打分判定,对整体进行检测而非单一行为,可以更准确更有效的挖掘潜在风险。
CWPP提供了自研的,低成本的,自动化的溯源方案,当发生告警后,主机安全保护平台后台会自动将与告警存在关系的行为日志进行关联,如图:
且一次入侵行为可能会有多次告警,运营侧会有一定压力。在主机安全保护平台上会关于告警自动进行聚合为安全事件,安全事件会包含一个或多个有关联的安全事件。
https://github.com/bytedance/Elkeid
端上能力与接入层能力全部开源,和商业版/内部版本完全一致。