堡塔入侵检测插件

有任何建议和问题都欢迎在本贴下留言

一、功能介绍
通过在Linux内核态采集数据，实时的检测识别服务器上的恶意行为，例如反弹shell、权限提升、带外攻击等黑客入侵行为，并及时告警提醒。
支持绝大部分内核版本、linux发行版。
现已支持自动编译内核文件，解决了大部分内核不兼容问题
二、使用方式
①打开堡塔入侵检测插件，点击【入侵检测开关】，即可开启入侵行为监测

②在【告警设置】配置接收告警信息平台，以便发现入侵行为，第一时间能收到通知并及时响应

③在插件【首页-告警内容】中点击【详情】，即可查看入侵行为的详细信息以及处理建议


④若某些正常行为被告警误报，可以点击【加白】，将该告警列入白名单

通过新增、修改、删除规则字段，来调整白名单，当下次匹配到加白规则的行为，则不会发送告警


⑥当入侵行为已被处理，可以点击【已处理】来删除该告警

三、入侵行为测试
1.socket型反弹shell
模拟黑客开启监听5566端口

被入侵主机进行反向连接

黑客主机接受连接并执行命令

堡塔入侵检测发现反弹shell连接并发送告警


根据【处理建议】执行命令，中断入侵行为


反弹shell进程已被杀死