恶意通信检测
UHIDS自主研发的恶意网络通信检测功能,能够在系统层面采集恶意的后门木马与黑客服务器建立的网络通信情况.
检测原理
安装UHIDS的Agent客户端插件成功后,插件会自动扫描系统当前网络通信建立情况,并根据网络的进程相应的行为进行分析,最终通过大数据处理输出恶意的通信记录.
检测周期
- 插件启动时自动进行实时扫描检测
- 定时默认每隔2个小时检测一次
- 清理风险后,2小时内会对该风险再次检测,如果发现风险已经修复,会自动删除该条告警。
检测项
| 检测项 | 说明 |
|---|---|
| 反弹Shell | 黑客通过向目标机器发出攻击指令,致使服务器向黑客指定的地址发起通信建立,从而被黑客控制服务器 |
| 恶意文件下载 | 黑客在攻击机器的时候,会使用恶意指令使服务器下载指定的木马文件 |
| 可疑网络通信 | 黑客的后门木马向其服务器建立的网络 |