一、简介

       主机安全为物理服务器、虚拟化服务器和云服务器提供基于客户端的防护，提供主机系统防护与加固、主机网络防护与加固等功能。

      具备业界领先的勒索专防专杀、网页防篡改、网络隔离与防护、补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力,帮您快速发现网站潜在安全隐患。                            

     二、主机防护的必要性

       在这个世界上，人类不断研究和发展新的信息安全机制和工程实践，为战胜计算机网络安全威胁付出了艰巨的努力。似乎如果计算机攻击手法不再翻新，关于信息安全的战争将很快结束。虽然，大多数地下组织研究的攻击手法都是惊人的相似，无非就是蠕虫、后门、rootkits、DoS和sniffer等。但这些手段都体现了它们惊人的威力。

       这几类攻击手段的新变种，与之前出现的相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次。

       从程序的控制程序到内核级，黑客的攻击手法不断升级翻新，向用户的信息安全防范能力不断发起挑战。

       列举一下目前的网络攻击手段，包括：服务拒绝攻击、利用型攻击、信息收集型攻击、假消息攻击等。

       1、服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为。

       2、利用型攻击是一类试图直接对你的机器进行控制的攻击。

       3、信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。

       4、主要包括扫描技术、体系结构刺探、利用信息服务。

       5、假消息攻击用于攻击目标配置不正确的消息，主要包括高速缓存污染、伪造电子邮件。

       当我们在享受网络带来的便利时，也经常会遇到一些网络安全方面的问题，像家庭地址、信用卡密码、电子邮件地址等私人信息的泄露，轻则引来无数垃圾邮件，重则带来财产损失。

        计算机网络给人们提供的各种服务，最终体现在网络中所存储的数据上。从安全的角度来说，存在专门针对网络和系统中的数据进行的窃取、篡改、假冒、抵赖等破坏行为，对网络和用户自身都带来巨大威胁。

       数据窃取指的是数据在计算机或者其他设备中进行存储、处理、传送等过程中，被别人非法窃取的行为。

       数据窃取导致的损失可能是多方面的，例如个人隐私泄漏、金融损失、国家机密泄漏等。

       数据窃取的手段比较多，包括网络窃听，黑客入侵，软件发送，电磁辐射等。

       入侵检测发展到现在已经从IDS更多地担当起的责任。原因很简单，只IDS具备检测能力，如果可以的话,，户要的是防止入侵的效果，而不想了解具体的入侵事件，对于普通的主机用户来说这种需求更加明显。所以在的基础上还提供了主动的保护能力。

      监控端口扫描行为是大多数防火墙的主要功能之一，如果发现长时间的来自相似IP地址的端口扫描行为，就可能预示着有蠕虫的攻击。

       对于这一点，可以通过动态地阻断和打开被长时间扫描的端口这种手段进行一定程度上的保护。

       操作系统提供的通用即插即服务功能可以帮助计算机发现和使用基于网络的硬件设备，它在提供了方便的硬件应用之外也带来一些安全隐患。

       该服务主要具有两个重要弱点，一个是缓冲区溢出错误隐患，另一个是UpnP服务无法对其自身搜索最新设备使用信息的操作步骤加以充分限制。

       这些弱点致使黑客能够取得被感染系统的完全控制并在此基础上阻止主机提供有效的服务，或者使主机成为发动DoS攻击的工具。

      三、主机防护系统简介

       一个完善的主机安全系统需要从三方面来提供保护，分别是系统安全、文件安全和网络安全。

       这样划分的意义是显而易见的。网络安全保护主机的门户，尽量避免恶意数据包进出主机网卡，系统安全保护操作系统，避免系统被破坏，文件安全保护主机上的数据，避免数据被窃取或者销毁。从这三个方面来保护主机就可以提供一个全面的保护环境

       按照网络安全技术与实际应用结合的紧密程度，可以把网络信息安全技术分为以下几类通信安全、主机系统服务器安全和各种应用的安全等。通信安全主要是防止数据在被传输过程中不被修改、窃取或伪造。

       这一部分的功能可以通过对数据实行各种加密技术来实现。相对来说主机安全就显得更加重要服务器上往往存放一单位或部门的关键信息。目前而言，对主机的安全保护主要依赖于防火墙、闯入发现系统和操作系统本身固有的安全特性。

       但是防火墙的最大缺点就是它的防外不防内的特点，而服务器经常是对外提供服务，这样实际上防火墙并不能从根本上解决主机安全问题。IDS是一种被动的防御措施它并不能阻止任何非法行为。

       操作系统虽然提供了一些安全措施，但是其功能非常有限，并且经常存在各种漏洞，这只有经验丰富的系统管理员才能保证操作系统的安全。

       根据这种需要，可以结合防火墙技术、IDS技术、防病毒软件建立一套适合实际需要的主机安全系统，就非常科学。实现系统安全需要两方面的技术，一个是对注册表的监控，另一个是对文件的监控^。

       对于一台主机来说保护主机系统的正常运行固然很重要，然后保护的最终目的其实还是存放在主机上的数据，所以除了考虑系统安全之外，文件安全也是不容忽视的一个重要环节。对于操作系统的重要文件己经在前面的系统保护部分作了分析和列举，仅仅是系统保护当然是不够的，还要设计专门的文件保护功能才能解决这个问题。

       实现文件安全需要文件操作控制模块的支持，文件操作控制模块是文件保护模块和系统防护模块的支撑模块。

       文件操作控制模块通过对系统所有文件、目录相关操作的截获，并与文件保护模块和系统防护模块传送过来的规则进行比较，实现基于文件或目录名称、操作类型等的匹配。对需要禁止的行为立即中断其在操作系统中的进一步处理，实现对被保护目录的隐藏、锁定，和防范针对主机的恶意文件操作的行为

       在主机的网络接口上所做的保护措施传统的有防火墙和入侵检测系统，功能相对比较固定，可扩展之处不多。

       主机防火墙系统主要提供访问控制功能，各功能分别从不同的网络协议层次对主机系统网络资源进行保护，在此访问控制功能包含四个主要方面：

       基于IP的主机网络访问控制，基于应用程序路径和名称的主机应用程序网络访问控制，基于URL的WEB广告和ActiveX控件、Java控件、Cookie、Java script、VB script访问控制，浏览痕迹清除，以及基于关键字的WEB浏览、邮件正文访问和各种恶意代码访问等的控制。这四项功能无疑都需要一些网络包处理技术的支持。

      四、产品功能

        1、资产管理

       云端平台统一管理主机情况，包括进程、端口、账号、版本等资产指纹信息，帮助企业资产安全可视化。

       2、入侵检测

       对黑客的入侵行为进行检测及实时监控告警、处理，包括：密码破解阻断、恶意请求、高危命令、本地提权、反弹 Shell 检测等。

       3、漏洞检测

       对主机上存在的高危漏洞风险进行实时预警和提供修复方案，包括系统组件漏洞、Web应用漏洞，帮助企业快速应对漏洞风险。

       4、攻击防护

       根据ATT&CK理论和安恒百亿恶意样本资源，能够在攻击各个阶段进行防护，包括隧道搭建、内网探测、持久化、痕迹清除等，在系统防护方面还可做到系统登录防护、进程防护、文件监控等。

       5、篡改防护

      提供系统终端层面的防护方案，即使黑客绕过前置的安全设备，进入系统层面，驱动防护技术仍然可以有效的阻止黑客进一步对文件的篡改。