Pdoduct Center

防0day进程防火墙

Process Traffic 0 Day Firewall 简称ZDFW是一款Linux服务器高级威胁感知系统，由XDP下一代流量防火墙、进程防火墙和主机安全组成，专注未知攻击0day对抗，目标是彻底解决服务器安全问题。

总体架构

进程流量防火墙平台，主要由端+控制台构成，提供了包含漏洞扫描、风险管理、入侵威胁管理、流量监控、安全防护、合规基线、抗DDOS、安全告警、登录分析等功能。

端：主机客户端轻量Agent

客户端Agent部署在服务器上（支持物理服务器、虚拟化服务器），提供多个层面的安全监测和安全防护，可快速识别及阻断黑客攻击。Agent主要功能：进程活动与流量分析并引入机器学习。

云：Server端安全引擎

Server 端安全引擎作为平台的中枢，持续接收各个Agent上报的信息，并进行解析、处理、分析和保存，根据经验库和用户自定义规则，发现漏洞、异常登录行为、异常网络连接行为、文件异常操作、账号异常操作、异常命令调用行为和进程异常行为，实时发现入侵行为。

控制台：Web管理平台

以 Web 控制台的形式和⽤户交互，清晰展示各项安全检测和分析的结果，并对重⼤威胁进⾏实时告警，同时以人机交互的方式提供用户自定义各种安全策略，以及灵活的策略分发，提升精细化管理，帮助⽤户更好更快地处理安全问题。

1. 1. 功能架构

物理安全：主要是监测计算资源使用情况，CPU、内存被进行消耗明细及风险预测。

流量安全：基于各进程流量采集进行机器学习再综合分析，可设置白黑名单、抗DDOS、XDP防护。

进程安全：捕获进程原始联网报文，在结合机器学习，对进程行为进行风控分析。

SSH安全：分析server后台登录安全态势，以及操作命令记录，对公网服务器登录进行安全评估。

文件篡改：检测重要目录、重要文件是否被非法串改。

基线检测：对操作系统重要配置进程合规检测提高安全防护能力。

漏洞扫描：对指定文件路径进行扫描发现漏洞。

• 动态实时防护检测进程

进程流量防火墙支持动态实时监控文件落盘的方式，检测在恶意文件篡改启动运行之前进行检测并处置，检测时效性强。而且支持自定义目录进行扫描和实时监控。

• 无文件内存马攻击检测

内存马是无文件攻击的一种常用手段，通过在内存中植入恶意后门或木马并执行，达到远程控制WEB服务器的目的。在攻击者通过容器漏洞或应用漏洞注入内存马后，可在所访问任意url或者指定url中带上命令执行参数，进而在服务器执行系统命令。以Java为例，客户端发起的WEB请求可能会经过Listener、Filter、Servlet等组件，攻击者只要在这个请求的过程中在内存中修改已有的组件或者动态注册一个新的组件，插入恶意的代码，即可达到目的。

进程流量防火墙无文件内存马检测支持定时或实时检测注入进程的内存马，包括Listener、Filter、Servlet等内存马类型，并支持JSP和Agent注入两种检测引擎。

• 进程监控检测远程命令执行

通过分析常见的远程命令漏洞利⽤实例，利⽤模式识别的⽅式，实时监控⽤户进程⾏为的各项特征，对主机中进程异常的执⾏⾏为和执⾏命令内容进⾏精确匹配，能有效发现⿊客利⽤漏洞执⾏命令的⾏为痕迹，并及时进⾏告警。检测的漏洞利用规则覆盖了ATT&CK攻击矩阵中14个阶段常见的攻击战术和WEB RCE(远程命令执行) 漏洞利用的检测，包括：密码查看工具、提权工具、隧道工具、端口扫描工具、进程注入工具、计划任务、远程管理、获取交互式命令行界面、远程执行下载命令、白名单进程利用、0day漏洞利用等等；WEB RCE漏洞利用的规则包括：Java反序列化远程命令执行漏洞、redis远程命令执行漏洞、IIS远程命令执行漏洞、apache2远程命令执行漏洞、php-fpm远程命令执行漏洞及常见厂商的远程命令执行漏洞等。

功能同时也⽀持⽤户⾃定义规则进⾏检测，可帮助适应客户多样化的业务流程，精准覆盖各类 RCE 攻击的监控场景。

• 登录监控常用登录自学习

进程流量防火墙支持自学习主机常用登录IP，并记录到主机登录常用IP白名单中。白名单中的IP登录不告警。同时支持设置互信登录组，在同一个互信登录组内的主机相互登录默认为正常登录。

• 反弹shell检测

通过对主机上的进程⾏为进⾏实时监控，识别进程的网络外联外联行为，实时发现进程的⾮法外联所产⽣的反弹 Shell 。支持查看反弹shell的详细进程信息，包括反弹进程信息、父进程信息、进程命令参数等。

• 文件蜜罐

本产品支持文件蜜罐功能，支持对主机上的敏感文件设置规则进行实时监控，也支持创建虚假的蜜罐文件，来诱导黑客进行恶意篡改。支持监控的文件操作有创建、删除、修改、读取、权限修改，同时支持进程树的采集。一旦发现符合监控规则的恶意操作行为，立刻发送告警。

• 外联监测

外联监测指通过机器学习主机外联行为，并形成外联行为基线，当检测到主机发生基线外的外联行为时认为存在异常外联，并进行告警。