青藤主机自适应安全平台，通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地，为用户提供下一代安全检测和响应能力。

青藤产品体系采用模块化的组织形式，实现了各功能的智能集成和协同联动。“风险发现”可主动、精准发现系统中存在的安全风险，提供持续的风险监测和分析能力；“入侵检测”可实时发现入侵事件，提供快速防御和响应能力；“资产清点”可主动识别系统内部资产情况，并与风险和入侵事件自动关联，提供灵活高效的回溯能力。

运行在底层的青藤核心平台架构，是下一代主机安全能力引擎。其插件化的构建方式，不仅具备灵活的扩展能力，同时能实现各功能模块之间无缝联动；其分布式的部署方式，能够应对客户大量任务下发和大型攻击来临的海量数据分析处理，并始终保持稳固的性能。

• 产品架构

青藤自适应安全的架构体系是一种“探针+插件式安全能力+统一管理平台”的架构。

这种架构有两种探针：

第一种探针(Agent)需部署在每台服务器上（物理机或虚拟机皆可）；

第二种探针则是一种无需部署、从外部进行检查的检测器(Checker)；

                                             图1  青藤Agent部署情况

这两种Agent都可以搭载很多模块，以扩充和加强不同的安全能力。这种模块的搭载和部署是软件化、虚拟化的，可以随时随地搭载和移除，并且模块之间有很强的协同能力。

双重探针代表企业安全的两种角度，第一种角度是站在企业内部，详细掌握系统内状况；第二种是独立的第三方角度。仅从一种角度去分析问题是不够的，企业需要把这两个维度放在云端相互关联分析，把安全问题看得更加准确和清楚。

此外，系统还可接入各种威胁情报，利用第三方情报对系统进行鉴定，以发现是否有可疑度高的进程。还可以通过监测反向连接、DNS请求、登陆系统等，对比IP信息与黑名单确定是否有问题。

从本质上看，这套架构体系叫做安全联动平台，此平台是整个安全系统的核心，所有外部安全能力都可以被很好地融合到系统中。插件式的安全能力允许它引用整个安全行业的各种能力服务任何一个企业，满足企业各种业务角色的安全需求，这是自适应安全的一个显著特性。

                          图2  青藤产品功能架构图

产品特点

    青藤主机自适应安全平台，通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地，为用户提供下一代安全检测和响应能力。

 产品特点

1. 从安全角度出发，重新定义资产

传统意义上的资产，被定义为服务器和IT设备，仅限于从物理层清点资产；而资产清点从安全角度出发，结合通用安全检查规范与安全事件数据需求，构建业务型资产对象（包括：Web服务，Web站点，数据库，大数据组件等等），更加契合基于安全对资产的实际需求；这种转变，正是基于青藤多年积淀的自适应安全理念，从“安全角度重新定义资产”。

2. 细粒度构建系统内部资产，有效弥补CMDB缺失信息

传统运维平台的CMDB系统，主要用于存储和管理IT设备的各种配置属性，但对于与业务安全相关系统内部资产，无法有效管理；平台可清点10余类主机关键资产，识别200余类常见业务应用，并支持与CMDB系统关联，有效补充缺失的数据，提高管理者对整体资产把控能力。

3. 为风险发现和入侵检测，提供资产关联能力

资产清点作为数据支撑平台，已与青藤自适应平台中的风险发现和入侵检测系统全面关联，实现一键查看，如：漏洞风险关联对应的软件应用状态，账号风险关联到对应的系统账号；反弹Shell关联对应的端口进程。用户也可以使用资产API系统，将相关数据导入风险发现或入侵检测等其他系统，获得更为准确的信息。

4. 支持不同业务系统，复杂业务环境主机的统一平台管控

支持绝大部分主流Linux/Windows系统，支持本地环境、虚拟环境、云环境等混合业务架构环境的主机，平台采用集中式管理模式，统一平台管控；同时提供各种结合业务的资产管理功能，用户可以基于公司自身的组织架构，创建多级业务组，将主机按资产等级，管理部门，负责人等灵活分组管理。

3 风险发现

事实证明，90%的攻击事件都利用了未修补的漏洞，且攻击者的手段不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。而传统的漏洞扫描器仅为按季度或按年的周期性扫描，在未进行检测期间，新的漏洞很容易被黑客利用入侵。因此，企业需要快速实现风险持续性地监测与分析，化被动为主动，深入发现内部暴露的问题和风险，持续有效地对风险进行处理，从而提高攻击门槛，缩减修复窗口期。

风险发现（Vulnerability Discover）致力于帮助用户精准发现内部风险，帮助安全团队快速定位问题并有效解决安全风险，并提供详细的资产信息、风险信息以供分析和响应。

1. 提高攻击门槛，有效减少90%被攻击面

在资产细粒度清点的基础上，持续、全面透彻地发现潜在风险及安全薄弱点，根据多维度的风险分析和精确到命令行的处理建议，用户可及时处理重要风险，以限制黑客接触系统、发现漏洞和执行恶意代码，从而大大提高系统的攻击门槛。

2. 企业风险可视化，安全价值清晰可衡量

持续性监测所有主机的安全状况，图形化展现企业风险场景。为安全决策者动态展示企业安全指标变化、安全走势分析，使安全状况的改进清晰可衡量；为安全运维人员实时展示风险分析结果、风险处理进度，提供专业可视化的风险分析报告，使安全管理人员的工作价值得到可视化呈现。

3. 持续性监控分析，及时发现最重要的风险

主动、持续性地监控所有主机上的软件漏洞、弱密码、应用风险、资产暴露性风险等，并结合资产的重要程度进行风险分析，准确定位最急需处理的风险，帮助企业快速有效解决潜在威胁。另外，安全团队持续关注国内外最新安全动态及漏洞利用方法，不断推出最新漏洞的检测能力，实现紧急安全事件快速响应。

 

3.1 产品功能

1. 发现未安装的重要补丁

持续更新的补丁库以及Agent探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

2. 发现应用配置缺陷导致的安全问题

自动识别应用配置缺陷，通过比对攻击链路上的关键攻击路径，发现并处理配置中存在的问题，大大降低可被入侵的风险。如下图中黑客利用Redis应用漏洞的攻击链路，针对黑客的每一步探测，系统均会进行持续性的检测，及时发现并处理了某个配置缺陷后，将有效解决潜在安全隐患、阻断黑客的进一步活动。

 

 图 1 - Redis 应用配置缺陷检测

3. 快速发现系统和应用的新型漏洞

安全分析师团队持续关注国内外最新安全动态及漏洞利用方法，不断推出最新漏洞的检测能力，至今已积累30000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网90%安全防护。同时，基于Agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。

 

 图 2 - 持续性漏洞检测

4. 智能化的弱口令检测，支持多种应用

精准检测几十种应用弱密码，覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN等。识别方法以离线破译优先，且识别弱口令后会对没有发生变化的离线弱口令文件哈希入库，如口令未发生新的变更，不再重复对弱口令进行检测，通过分布式的Agent对全量主机的弱口令检测，可极大的提高工作效率，快速的检测弱口令的同时对流量及业务的影响也降到了最低。同时，结合企业特征，系统能智能识别更多组合弱口令，支持用户自定义口令字典以及组合弱口令字典，能有效预防被黑客定向破译的风险。

5. 发现服务器上的违规操作

监控由于运维人员的违规操作引起的安全风险。Agent会实时监控用户的操作命令，如修改重要配置文件、下载黑客工具、外传数据、bash危险命令执行等，并结合黑客的攻击手段，持续检测并暴露这些可能存在威胁的安全隐患，及时通知给相关人员进行处理。

6. 发现资产暴露性风险

监测暴露在外的资产风险，如web风险文件、危险进程端口对外、不必要的进程服务、不必要的系统账号等。建立多维分析模型，结合资产重要程度及资产上所有风险进行关联分析，综合分析出最易受攻击的资产。

3.2 产品特点

1. 全面系统脆弱性发现

全方位检测IT系统存在的脆弱性，发现信息系统存在的安全补丁、安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告，为企业提供无死角的风险状况视图，帮助安全管理人员先于攻击者发现安全问题，及时进行修补。

2. 白盒角度发现风险，比黑盒角度更准

Agent探针式的扫描机制，建立了自内而外的白盒视角。这种扫描机制能以极低的误报率精准发现软件漏洞、发现更多更全的弱密码账户等。如能探测到系统内核模块的软件漏洞、能读取MySQL数据库文件中包括系统账号在内的更多业务账号，对比从主机外部建立扫描的方式更加准确、全面。

3. 比传统扫描器更快、更方便

传统的扫描器每次扫描均需要将远程安全评估系统接入各级网络，部署相对麻烦且不能持续性扫描防护，同时无法与资产数据进行关联，扫描后风险整改困难。而基于Agent由内而外的扫描方式，一条命令即可一键部署，部署成功后即可持续为企业安全保驾护航。

4. 资产数据自动关联

基于主机环境资产全面清点的基础上进行的持续性风险扫描，能对主机环境资产进行持续性防护。风险扫描后自动关联资产数据，如主机IP、端口、进程、账号、应用、web站点、主机负责人等资产详细信息，均支持在发现了风险之后，一键查看对应的资产情况，为风险的下一步处理提供有效信息。

4 入侵检测

传统的入侵防护方案能够很好地抵御已知的攻击，但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。因此，如何实现有效的入侵检测并提供实时的告警和响应手段已经成为安全建设亟需解决的问题。 当前的攻击手段千变万化，但是攻击成功后要做的事情却是归一化的。因此，青藤将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部的异常变化，从而被迅速发现并处理。

入侵检测提供多锚点的检测能力，能够实时、准确地感知入侵事件，发现失陷主机，并提供对入侵事件的响应手段。

1. 多锚点的检测能力，实时发现失陷主机

攻击者通常会同时采用多种手段来攻击用户主机。入侵检测通过多维度的感知网络叠加能力，对攻击路径的每个节点都进行监控，并提供跨平台多系统的支持能力，保证了能实时发现失陷主机，对入侵行为进行告警。

2. 不依赖对漏洞和黑客工具的了解，有效发现未知黑客攻击

传统的入侵检测能力往往依赖于对已知的漏洞和黑客工具的了解，通过基于特征的检测来发现攻击。该方法对于突发的新型漏洞和未知的攻击手段缺乏有效的发现能力，导致许多入侵行为不能被实时发现，从而造成无法挽回的损失。入侵检测结合专家经验，威胁情报、大数据、机器学习等多种分析方法，通过对用户主机环境的实时监控和深度了解，有效发现包括“0day”在内的各种未知黑客攻击。

3. 对业务系统“零”影响

需要进行安全监控的主机，往往也都承载着用户的核心业务系统，比如数据库、Web后台等等。因此，安全监控对主机性能和业务系统的影响是一个非常重要的指标。Agent以其轻量高效的特性，在保证对用户主机安全监控的前提下，不对其业务系统产生影响，为用户的主机安全提供了高效可靠的保护。

4. 结合资产信息，为响应提供最准确的一线信息

发现入侵事件只是入侵检测的第一步，提供入侵的详情信息和响应手段才能真正帮助用户解决问题。在独有的资产管理能力支持下，我们不只能发现入侵，更能够提供深入详细的入侵分析和响应手段，从而让用户精准有效地解决问题。

4.1 产品功能

 

 图 1 - 多维度入侵感知系统

1. 暴力破解监控

通过实时监控登录行为，可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为，并进行自动化封停处理，使得黑客不能进行更多的尝试。

2. Web后门监控

通过自动化地监控关键路径，结合正则库，相似度匹配，沙箱等多种检测方法，实时感知文件变化，从而能够及时发现Web后门，并对后门影响部分进行清晰标注。

 

 图 2 - Web 后门监控

3. 反弹Shell

通过对用户进程行为进行实时监控，结合行为的识别方法，及时发现发现进程的非法Shell连接操作产生的反弹Shell行为，有效感知“0day”漏洞利用的行为痕迹，并提供反弹Shell的详细进程树。

4. 本地提权监控

通过对用户进程行为进行实时监控，结合行为识别技术，我们能及时发现进程的提权操作并通知用户，并提供提权操作的详细信息。

5. 系统后门监控

区别于传统的特征征析，我们通过对进程关联信息的分析，结合模式识别和行为检测，提供了不依赖Hash的自动化系统后门检测方式，能够实现在多系统中进行多维度、高准度、快速度的后门发现，能够对包括Linux下的Rootkit、Bootkit，还有Windows下的可疑进程、可疑线程等多种后门。

 

 图 3 - 系统后门监控

6. 微蜜罐

青藤的微蜜罐可以简易灵活的配置，让主机对各端口进行监听，从而扩大监控范围。通过这样消耗小而覆盖面广的蜜罐配置，发现黑客端攻击行为的概率就会大大提升。所谓“微”蜜罐，也有“大”作用。

 

 图 4 - 微蜜罐 

4.2 产品特点

 

 图 5 - 入侵检测产品特点

1. 全方位攻击监控

通过对攻击路径的每个节点进行深入监控，提供了多平台、多系统的全方位、高实时的攻击监控，对进程变化、文件变化、登录登出等事件了如指掌，做到了实时监控“全”方位。

2. 高实时入侵告警

在Agent的深入探针能力支持下，结合IoC、大数据、机器学习等多种分析方法，保证了对入侵事件的实时检测，并提供包括短信、邮件等多种方式在内的通知手段，让用户第一时间知道入侵发生，做到了入侵“高”实时。

3. 可视化深度分析

基于对攻击时间和攻击维度的深度分析，整理入侵事件的来龙去脉，以可视化方式完整呈现。让用户对于整体环境的入侵情况和需要处理的入侵事件有清晰的了解，使得入侵分析“深可见底”。

4. 多样化处理方式

根据入侵场景不同，提供了包括自动封停、手动隔离、黑/白名单和自定义处理任务等多种处理方式，让用户从根本上解决入侵事件，让处理从此“高效多样”。

 

应用指南

安装分为两个部分：

1.       基础库和组件 （PHP, Python, MySQL, MongoDB, Redis, Kafka, Zookeeper etc.）

2.       青藤系统服务

安装流程：

前提条件，一台与各台服务器连通的工作机（可以是某台服务器， 但必须保证与其它服务器之间连通）

1.       配置IP

2.       一键安装部署

-          分发、安装

-          配置

-          启动

-          初始化