文件木马检测
文档更新时间(2024/12/12)
UHIDS主机入侵检测自主研发的文件木马检测功能,拥有代码分析、数据流分析、异常网络流量分析等多种检测手段, 并结合使用云端大数据分析和静态规则相结合的检测体系、分析恶意代码文件等手段,能够发现具有隐匿性的文件木马病毒。
检测原理
UHIDS主机入侵检测会检查服务器上特定目录和进程情况,结合静态规则与云端病毒库来判断该进程和文件是否是木马,如果是则会告警.
检测周期
- 插件启动默认立即行扫描检测
- 定时默认每2个小时检测一次
- 清理风险后,2小时内会对该风险再次检测,如果发现风险已经修复,会自动删除该条告警。
检测项
| 检测项 | 说明 |
|---|---|
| Rootkit | 支持Rootkit文件后门检测 |
| shell | 支持shell脚本文件后门检测 |
| so | 支持动态链接库文件后门检测 |
| sshd | 支持sshd文件后门检测 |