You need to enable JavaScript to run this app.
导航
云工作负载保护平台
  • 文档首页
    • /
  • 云工作负载保护平台

入侵检测

最近更新时间2022.12.05 10:43:41

首次发布时间2022.06.24 17:42:52

我的收藏

入侵检测是CWPP的核心功能,火山引擎 CWPP 具有优秀的入侵检测能力,不仅可以对抗常见的扫描等自动化攻击行为,面对类APT的威胁也有良好的发现能力。目前支持的类型有:

  • 主机与容器-静态文件检测: 针对Webshell,后门木马等恶意文件进行扫描与检测;
  • 主机与容器-恶意行为检测: 针对如反弹shell、恶意工具使用、恶意破坏、驻留利用、权限提升、暴力破解等多种恶意行为坚信行为层面检测;
  • 主机与容器-行为序列检测: 行为序列检测引擎基于客户端采集的所有数据,如进程创建,网络连接,文件创建等十几种实时行为数据,通过多行为关联、多事件关联、多维度、 跨时间的分析与打分机制,发现潜在的恶意行为,不依赖单一行为进行告警,依赖完整的行为上下文进行综合判断;
  • 主机-Kernel Rootkit 检测: 针对常见的内核态后门进行行为、地址扫描与检测,可以更有效的对抗高级入侵者;
  • RASP-恶意行为检测与行为序列检测: 火山引擎 CWPP RASP 可以针对常见的内存马、RCE类漏洞利用、SSRF类漏洞利用、任意文件读写漏洞利用等恶意行为进行有效的检测,并且同时针对更隐蔽的入侵手段也支持行为序列检测;
  • 容器集群-恶意行为检测与行为序列检测: 针对容器集群层面的后门驻留、尝试入侵、权限逃逸、恶意破坏等恶意行为进行检测,并且同时针对更隐蔽的入侵手段也支持行为序列检测。