天眼云镜主机安全管理平台，通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地，为用户提供下一代安全检测和响应能力。天眼云镜采用模块化的组织形式，实现了各功能的智能集成和协同联动。“资产清点”可主动识别系统内部资产情况，并与风险和入侵事件自动关联，提供灵活高效的回溯能力；“风险发现”可主动、精准发现系统中存在的安全风险，提供持续的风险监测和分析能力；“入侵检测”可实时发现入侵事件，提供快速防御和响应能力；“合规基线”构建了由国内信息安全等级保护要求和 CIS（Center for InternetSecurity）组成的基准要求，帮助用户快速进行企业内部风险自测，发现问题并及时修复，以满足监管部门要求的安全条件。“安全日志”，从安全角度引导客户对日志进行查询与分析，发现黑客入侵的蛛丝马迹，还原攻击现场。

同时，运行在底层的天眼云镜核心平台架构，是下一代主机安全能力引擎。其插件化的构建方式，不仅具备灵活的扩展能力，同时能实现各功能模块之间无缝联动。其分布式的部署方式，能够应对客户大量任务下发和大型攻击来临的海量数据分析处理，并始终保持稳固的性能。

核心平台架构，主要由 Agent，Server，Web 三部分构成，为产品服务ᨀ供基础的、灵活的、稳固的核心能力支持。

1. Agent—主机探针 Agent

只需一条命令就能在主机上完成安装，且自动适配各种物理机、虚拟机和云环境。运行稳定、消耗低，能够持续收集主机进程、端口、账号、应用配置等信息，并实时监控进程、网络连接等行为，还能与 Server 端通信，执行其下发的任务，主动发现主机问题。

对Agent进行加壳防护，防止被篡改。采用加密传输与服务端通信，保证数据安全。

通过50000+台服务器的运行实践，稳定性高达99.998%。2分钟内离线自动重启机制，保障系统始终处于监测状态。

正常的系统负载情况下，CPU占用率<1%，内存占用<40M，消耗极低。在系统负载过高时，Agent会主动降级运行，严格限制对系统资源的占用，确保业务系统正常运行。

越来越多的公司在数字化转型过程中采用混合数据中心架构，包括本地环境、虚拟环境、云环境等，同时随着业务规模与生产环境变化，企业配套 IT 设施也在随时发生改变。这些无疑对企业体系化安全建设提出严峻挑战。对资产“看得全，理得清，查得到”，已经成为企业在日常安全建设中首先需要解决的问题。同时在发生安全事件时，全面及时的资产数据支持，也将大大缩短排查问题的时间周期，减少企业损失。天眼云镜资产清点（Asset Inventory），致力于帮助用户从安全角度自动化构建细粒度资产信息，支持对业务层资产精准识别和动态感知，让保护对象清晰可见。使用 Agent-Server 架构，提供 10 余类主机关键资产清点，200 余类业务应用自动识别，并拥有良好的扩展能力。

通过安装 Agent，可在 15 秒内，从正在运行的环境中，反向自动化构建主机业务资产结构，上报中央管控平台，集中统一管理。天眼云镜独特的主机发现系统，随时发现网络环境内没有纳入安全保护的主机，确保安全覆盖无死角。此外，对Web资产与数据库资产等高价值高敏感业务资产，进行了针对性资产建模，能够与风险发现和入侵检测功能配套提供安全保护。

生产环境下，业务服务器需要随着业务变化随时扩容或减配，业务资产也随之相应变化。传统安全方案无法完全匹配业务变化，其对资产实施保护的时间往往滞后甚至遗漏，这就给黑客组织可乘之机。平台在清点资产后，将保持对资产持续监控，保证监控数据与实际业务数据一致，对一些需要特殊关注的敏感资产（如：账号、进程、端口、数据库、Web 站点等）发生变化，将提供实时或定时通知，客户安全团队可进行针对性处理，实现资产动态保护。

在企业安全检查时，通常需要提供针对性的信息，但面对庞大分散的主机数据，信息梳理效率极低。在发生安全事件时，通常需要获得多角度、跨时间段的数据综合分析，获取这类数据需要横跨多个机构、多个系统，且数据结构杂乱无章，分析难度极大。天眼云镜资产清点参考大量国外先进产品经验，结合通用安全检查规范与安全事件的数据需求，形成细粒度资产清点体系，利用多维度的视图，引导用户轻松获得需要的资产信息。同时，借助多角度的搜索工具，帮助用户快速定位关键资产信息。

1. 主机发现

通过设置检查规则，系统自动检查已安装探针主机，所在网络空间未纳入安全管理的主机，自动排除普通网络设备。针对不同网络状况，提供多种探查方法，包括“ARP 缓存分析”、“Ping 扫描”、“Nmap 扫描”、“连接记录分析”等，客户可基于实际业务环境，灵活选择对应功能发现主机，减少无意义网络资源消耗，保证探测与被探测主机正常运转。

2. 应用清点

自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web 应用、Web框架、Web 站点等十余类安全资产，覆盖通用资产。根据每个服务器业务特点，系统针对性识别应用，目前可识别业务应用已覆盖 200 余类，例如 Nginx、Apache、JBoss、Mysql、Memcached、Redis、Hbase 等。每个应用在风险发现与入侵检测中，均提供对应安全策略保护。未来版本中，将允许自定义清点对象，可根据业务需要，自助清点数据。针对不同清点对象均采用单独模块管理，模块间保持一定联动性，确保同时运行的清点单元最小化，瞬时性能消耗最低。

3. 资产快速检索

对于每类业务资产，系统提供“主机视角”和“资产视角”两种通用维度，聚合展示数据，每个数据表格列均允许搜索与排序。每个表格额外提供大量可选列（不常用的数据列被默认隐藏），客户可根据需求灵活显示的数据，定义自己的表格显示。在复杂搜索场景下，例如横跨多种资产联合搜索，系统已提供关键资产（主机、账号、进程等）全系统关联，未来还将提供全局搜索工具。

4. 资产面板

在获得资产信息后，将结合业务情况，形成“概览视图”与“分级视图”，展示企业整体资产状况。“概览视图”使用图形化的方式展示企业的关键资产状况，帮助用户直观的了解资产。“分级视图”通过树状结构逐层展示资产信息，并显示关键资产的数值，引导用户找到需要的信息。针对每种特定业务资产，产品提供“分析板”功能，多维度剖析单一资产，详细分析内部情况。此外资产面板功能还提供一些从安全角度出发的特殊资产视角，引导客户从安全维度发现一些问题。

5. 报表导出与API 支持

所有数据均提供报表导出功能，可任意选择导出的数据列与数据行，形成自定义报表。所有资产均提供基础 API，可结合自身业务情况，获得清点的数据，进行二次开发。

事实证明，90%的攻击事件都利用了未修补的漏洞，且攻击者的手段不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。而传统的漏洞扫描器仅为按季度或按年的周期性扫描，在未进行检测期间，新的漏洞很容易被黑客利用入侵。因此，企业需要能够实现风险持续性地监测与分析产品，能够化被动为主动，深入发现内部暴露的问题和风险，持续有效地对风险进行处理，从而提高攻击门槛，缩减修复窗口期。风险发现(Vulnerability Discover)致力于帮助用户精准发现内部风险，帮助安全团队快速定位问题并有效解决安全风险，并提供详细的资产信息、风险信息以供分析和响应。

在资产细粒度清点的基础上，持续、全面透彻地发现潜在风险及安全薄弱点。根据多维度的风险分析和精确到命令行的处理建议，帮助用户及时处理重要风险，限制黑客接触系统、发现漏洞和执行恶意代码，从而大大提高系统的攻击门槛。

持续性监测所有主机的安全状况，图形化展现企业风险场景。为安全决策者动态展示企业安全指标变化、安全走势分析，使安全状况的改进清晰可衡量。为安全运维人员实时展示风险分析结果和风险处理进度，提供专业可视化的风险分析报告，使安全管理人员的工作价值得到可视化呈现。

主动、持续性地监控所有主机上的软件漏洞、弱密码、应用风险、资产暴露性风险等，并结合资产的重要程度进行风险分析，准确定位最急需处理的风险，帮助企业快速有效解决潜在威胁。另外，安全团队持续关注国内外最新安全动态及漏洞利用方法，不断推出最新漏洞的检测能力，实现紧急安全事件快速响应。

1.发现未安装的重要补丁

持续更新的补丁库以及Agent 探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

2.发现应用配置缺陷导致的安全问题

自动识别应用配置缺陷，通过比对攻击链路上的关键攻击路径，发现并处理配置中存在的问题，大大降低可被入侵的风险。如下图中黑客利用Redis应用漏洞的攻击链路，针对黑客的每一步探测，系统均会进行持续性的检测，及时发现并处理了某个配置缺陷后，将有效解决潜在安全隐患、阻断黑客的进一步活动。

3.快速发现系统和应用的新型漏洞

持续关注国内外最新安全动态及漏洞利用方法，不断推出最新漏洞的检测能力，至今已积累37000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网90%安全防护。同时，基于Agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。

4.智能化的弱口令检测，支持多种应用

精准检测几十种应用弱密码，覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN 等。识别方法以离线破译优先，且识别弱口令后会对没有发生变化的离线弱口令文件哈希入库，如口令未发生新的变更，不再重复对弱口令进行检测。通过分布式的Agent对全量主机的弱口令检测，一方面极大的提高工作效率，另一方面对流量及业务的影响也降到了最低。同时，结合企业特征，系统能智能识别更多组合弱口令，支持用户自定义口令字典以及组合弱口令字典，能有效预防被黑客定向破译的风险。

5.发现服务器上的违规操作

监控由于运维人员的违规操作引起的安全风险。Agent会实时监控用户的操作命令，如修改重要配置文件、下载黑客工具、外传数据、bash 危险命令执行等，并结合黑客的攻击手段，持续检测并暴露这些可能存在威胁的安全隐患，及时通知给相关人员进行处理。

6.发现资产暴露性风险

监测暴露在外的资产风险，如 Web 风险文件、危险进程端口对外、不必要的进程服务、不必要的系统账号等。建立多维分析模型，结合资产重要程度及资产上所有风险进行关联分析，综合分析出最易受攻击的资产。

传统的入侵防护方案能够很好地抵御已知的攻击，但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。因此，如何实现有效的入侵检测并提供实时的告警和响应手段已经成为安全建设亟需解决的问题。当前的攻击手段千变万化，但是攻击成功后要做的事情却是归一化的。因此，将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。入侵检测提供多锚点的检测能力，能够实时、准确地感知入侵事件，发现失陷主机,并提供对入侵事件的响应手段。

1.暴力破解监控

通过实时监控登录行为，可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为，并进行自动化封停处理，使得黑客不能进行更多的尝试。

2. Web后门监控

通过自动化地监控关键路径，结合正则库，相似度匹配，沙箱等多种检测方法，实时感知文件变化，从而能够及时发现 Web 后门，并对后门影响部分进行清晰标注。

3.反弹Shell

通过对用户进程行为进行实时监控，结合行为的识别方法，及时发现进程的非法Shell连接操作产生的反弹Shell行为，有效感知“ODay"漏洞利用的行为痕迹，并提供反弹Shell的详细进程树。

4.本地提权监控

通过对用户进程行为进行实时监控，结合行为识别技术，我们能及时发现进程的提权操作并通知用户，并提供提权操作的详细信息。

5.系统后门监控

区别于传统的特征分析，我们通过对进程关联信息的分析，结合模式识别和行为检测，提供了不依赖Hash的自动化系统后门检测方式，能够实现在多系统中进行多维度、高准度、快速度的后门发现，能够对包括Linux下的Rootkit、Bootkit，还有Windows下的可疑进程、可疑线程等多种后门。