# 主要功能

## 1、入侵检测

**SSH异地登录**

UHIDS主机入侵检测实时监控并收集用户常用的SSH登录来源地址，并通过比对当前登录地址与常见登录地址进行检测。如果发现来自异常地理位置的SSH登录尝试，则会触发告警并通知用户。

**SSH暴力破解**

UHIDS持续分析SSH登录日志，自动识别暴力破解行为。当系统检测到暴力破解成功的迹象时，将立即发出告警并通知用户，帮助用户快速响应并防止进一步的攻击。

**后门木马**

UHIDS通过监控进程的网络连接和其他网络特征，能够识别并告警潜在的后门木马程序。如果检测到可疑的恶意进程，系统将向用户发出告警通知，防止黑客通过木马程序控制服务器。

**异常进程**

UHIDS对系统中的进程进行实时监控，检查进程的启动目录、执行程序等信息。如果发现疑似木马或其他恶意进程，系统会发出警告并及时通知用户，确保尽早发现安全威胁。

**恶意通信**

通过对进程的网络连接进行分析，UHIDS能够检测到异常的进程通信模式。一旦发现疑似恶意通信的行为，系统将触发告警，提醒用户处理潜在的安全风险。

## 2、漏洞检测

**系统漏洞检测**

UHIDS通过收集系统内核版本、动态库版本和配置文件信息，并与历史漏洞数据库进行比对。若系统中存在已知漏洞版本，系统将自动告警，提醒用户及时修复漏洞，确保系统安全。

**第三方软件漏洞检测**

UHIDS不仅检测操作系统的漏洞，还能对常见的第三方软件（如Nginx、sshd、MySQL等）的版本进行检测。系统会与已知的漏洞库进行比对，一旦发现使用的第三方软件存在漏洞，立刻发出告警，帮助用户采取防范措施。

## 3、基线检查

**弱口令核查**

UHIDS定期通过弱口令字典对系统账户、MySQL账户等进行检查。系统会自动检测并告警发现的弱口令问题，提示用户修改密码，提高账户安全性，防止暴力破解攻击。

**应用层配置核查**

UHIDS内置并定期更新安全基线库，自动对应用层软件（如PHP、MongoDB、Redis、MySQL、Nginx、HTTPD等）的配置进行检查。若发现配置项不符合安全基线要求，系统将发出告警通知，提醒用户进行安全配置调整。

## 4、告警管理

为了帮助用户第一时间掌握云主机的安全状态，UHIDS提供了完善的告警管理功能，并支持白名单机制，便于用户根据实际情况进行定制化设置。

**登录IP白名单**

UHIDS支持用户设置登录IP白名单，允许用户定义哪些IP地址可以访问服务器，增强访问控制，减少不必要的登录风险。

**登录地白名单**

用户可以根据实际需求设置登录城市的白名单机制。只有来自指定城市的登录请求才会被允许，进一步提高系统的安全性。

**告警设置**

UHIDS提供多种告警方式，包括邮件和短信，确保用户在云主机遇到风险或威胁事件时能够第一时间获知。通过及时告警，用户能够迅速采取相应措施，降低云主机所面临的安全风险。