资产清点致力于帮助用户从安全角度自动化构建细粒度资产信息，支持对业务层资产进行精准识别和动态感知，让保护对象清晰可见。资产清点功能提供10余类主机关键资产清点，800余类业务应用自动识别，并拥有良好的扩展能力

（1）智能的主机发现

通过设置检查规则，系统自动检查已安装探针主机，所在网络空间未纳入安全管理的主机，自动排除普通网络设备。针对不同网络状况，提供多种探查方法，包括“ARP缓存分析”、“Ping扫描”、“Nmap扫描”、“连接记录分析”等，客户可基于实际业务环境，灵活选择对应功能发现主机，减少无意义网络资源消耗，保证探测与被探测主机正常运转

（2）全面的应用清点

自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web应用、Web框架、Web站点等十余类安全资产，覆盖通用资产。根据每个服务器业务特点，系统针对性识别应用，目前可识别业务应用已覆盖200余类，例如Nginx、Apache、JBoss、Mysql、Memcached、Redis、Hbase等。每个应用在风险发现与入侵检测中，均提供对应安全策略保护。未来版本中，将允许自定义清点对象，可根据业务需要，自助清点数据。针对不同清点对象均采用单独模块管理，模块间保持一定联动性，确保同时运行的清点单元小化，瞬时性能消耗低

（3）灵活的资产检索

对于每类业务资产，系统提供“主机视角”和“资产视角”两种通用维度，聚合展示数据，每个数据表格列均允许搜索与排序。每个表格额外提供大量可选列（不常用的数据列被默认隐藏），客户可根据需求灵活显示的数据，定义自己的表格显示。在复杂搜索场景下，例如横跨多种资产联合搜索，系统已提供关键资产（主机、账号、进程等）全系统关联，未来还将提供全局搜索工具

（4）强大的资产面板

在获得资产信息后，将结合业务情况，形成“概览视图”与“分级视图”，展示企业整体资产状况。“概览视图”使用图形化的方式展示企业的关键资产状况，帮助用户直观的了解资产。“分级视图”通过树状结构逐层展示资产信息，并显示关键资产的数值，引导用户找到需要的信息。针对每种特定业务资产，产品提供“分析板”功能，多维度剖析单一资产，详细分析内部情况。此外资产面板功能还提供一些从安全角度出发的特殊资产视角，引导客户从安全维度发现一些问题

（5）报表导出与API支持

所有数据均提供报表导出功能，可任意选择导出的数据列与数据行，形成自定义报表。所有资产均提供基础API，可结合自身业务情况，获得清点的数据，进行二次开发

风险发现致力于帮助用户精准发现内部风险，帮助安全团队快速定位问题并有效解决安全风险，并提供详细的资产信息、风险信息以供分析和响应。

（1）发现未安装的重要补丁

持续更新的补丁库以及Agent探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

（2）发现应用配置缺陷

自动识别应用配置缺陷，通过比对攻击链路上的关键攻击路径，发现并处理配置中存在的问题，大大降低可被入侵的风险。如下图中黑客利用Redis应用漏洞的攻击链路，针对黑客的每一步探测，系统均会进行持续性的检测，及时发现并处理了某个配置缺陷后，将有效解决潜在安全隐患、阻断黑客的进一步活动。

（3） 快速发现新型漏洞

持续关注国内外最新安全动态及漏洞利用方法，不断推出最新漏洞的检测能力，至今已积累37000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网90%安全防护。同时，基于Agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。

（4） 智能化的弱口令检测

精准检测几十种应用弱密码，覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN等。识别方法以离线破译优先，且识别弱口令后会对没有发生变化的离线弱口令文件哈希入库，如口令未发生新的变更，不再重复对弱口令进行检测。通过分布式的Agent对全量主机的弱口令检测，一方面极大的提高工作效率，另一方面对流量及业务的影响也降到了最低。同时，结合企业特征，系统能智能识别更多组合弱口令，支持用户自定义口令字典以及组合弱口令字典，能有效预防被黑客定向破译的风险。

（5） 发现运维人员的违规操作

发现由于运维人员的违规操作引起的安全风险，如修改重要配置文件、未设置密码复杂度、/etc/shadow 权限检查、网卡处于混杂模式检查等，并结合黑客的攻击手段，持续检测并暴露这些可能存在威胁的安全隐患，及时通知相关人员进行处理。

（6） 发现资产暴露性风险

监测暴露在外的资产风险 , 如 Web 风险文件、危险进程端口对外、不必要的进程服务、不必要的系统账号等。建立多维分析模型，结合资产重要程度及资产上所有风险进行关联分析，综合分析出最易受攻击的资产。

主机入侵检测系统，将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。

（1）暴力破解监控

通过实时监控登录行为，可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为，并进行自动化封停处理，使得黑客不能进行更多的尝试。

（2）Web后门监控

通过自动化地监控关键路径，结合正则库，相似度匹配，沙箱等多种检测方法，实时感知文件变化，从而能够及时发现Web后门，并对后门影响部分进行清晰标注。

（3）反弹Shell

通过对用户进程行为进行实时监控，结合行为的识别方法，及时发现进程的非法Shell连接操作产生的反弹Shell行为，有效感知“0Day”漏洞利用的行为痕迹，并提供反弹Shell的详细进程树。

（4）本地提权监控

通过对用户进程行为进行实时监控，结合行为识别技术，我们能及时发现进程的提权操作并通知用户，并提供提权操作的详细信息。

（5） 系统后门监控

区别于传统的特征分析，我们通过对进程关联信息的分析，结合模式识别和行为检测，提供了不依赖Hash的自动化系统后门检测方式，能够实现在多系统中进行多维度、高准度、快速度的后门发现，能够对包括Linux下的Rootkit、Bootkit，还有Windows下的可疑进程、可疑线程等多种后门。

合规基线构建了由国内信息安全等级保护要求和CIS（Center for Internet Security）组成的基准要求，涵盖多个版本的主流操作系统、Web应用、数据库等。结合这些基线内容，一方面，用户可快速进行企业内部风险自测，发现问题并及时修复，以满足监管部门要求的安全条件；另一方面，企业可自行定义基线标准，作为企业内部管理的安全基准。

（1）支持等保/CIS等多重标准

安全研究人员持续研究国家等级保护政策、CIS基线标准，不断推进更多基线标准的支持。产品目前支持Centos、Debian、RedHat、SUSE、Windows Server 2008、Windows Server 2012等常用操作系统，同时覆盖apache mongoDB mysql等10余种数据库类、Web服务类应用。

（2）自动识别服务器需检查的基线

在资产细粒度清点的基础上，根据所选服务器的操作系统、软件应用等信息，自动筛选出该服务器上需要检查的系统、应用基线。同时支持一键批量创建基线任务，操作简单易用。

（3） 一键任务化检测

合规基线功能设计了灵活可配置的任务式的扫描机制，用户可快捷创建基线扫描任务。根据检测需要，自行选择需要扫描的主机和基线。在完成检测后，检查结果将以“检查项视图”和“主机视图”两种方式可视化呈现，满足企业个性化的检测需求。

（4）自定义基线检查项能力

企业可根据实际的使用场景，自行定义基线的检查项，如定义检查阈值、自定义检查目录、自定义检查结果展现模板、自定义检查项整改方案等，以满足企业多样化的内部监管要求。