据前不久发布的《2019中国主机安全服务报告》显示，由配置错误、代码问题、软件缺陷等原因引发的漏洞问题，已经成为大规模网络与信息安全事件和重大信息泄露事件的主要原因之一；尤其是针对老旧资产，补丁修复严重不足，因此这些漏洞成为了黑客入侵的突破口。

　　“就目前而言，打补丁仍然是漏洞防御的最佳方式。”奇安信椒图安全专家表示，“真正的黑客攻防对抗都是按秒计算，而厂商发布修复方案少则几小时，多则数十天；即使厂商发布了补丁，客户也有可能没有及时修复，这都会给黑客留下攻击的时间窗，导致主机沦陷。”

　　但无论黑客利用什么方式入侵服务器，到达服务器后的目标和行为是有规律可循的，在了解黑客入侵行为轨迹后，在系统和应用两个层面实施监控和拦截。

　　“面对层出不穷的漏洞攻击，最新版的奇安信云锁服务器安全管理系统为客户提供了实战化的防护能力，帮助客户更安全的度过补丁空窗期。”该专家说。

　　据介绍，云锁通过内核探针对端口扫描、反连shell、进程自我复制、原始套接字等黑客在入侵产生的多种异常行为进行监控及防护，同时会对系统中的二进制文件创建、进程创建、进程外连、linux shell操作命令等行为进行监控，用于事后调查取证。

　　在权限控制方面，云锁可以限制Web服务、数据库等过高权限应用，防止黑客通过应用漏洞执行代码、提权、创建可执行文件等操作。

　　云锁waf探针工作于IIS、Apache、Nginx等web中间件内部，让web服务在处理网络流量的同时，即可进行流量监控和过滤。waf探针具备硬件waf的所有防护能力及功能，可以有效过滤web流量，防御CC、xss、溢出攻击、SQL注入等常见网络攻击。

　　RASP探针工作于ASP、PHP、Java等脚本语言解释器内部，区别于传统WAF基于流量规则的防护方式，RASP探针是基于脚本行为（无规则）的方式进行漏洞攻击识别及防护， RASP探针会对WEB流量、文件操作及数据库操作等行为进行监控。

　　RASP探针在脚本解析、命令执行等关键点上进行监控和拦截，能有效防御SQL注入、任意命令执行、文件上传、任意文件读写、Weblogic反序列化、Struts2漏洞等基于传统签名方式无法有效防护的未知安全漏洞，是对传统WAF的有效补充。

　　基于云锁主机端轻量级agent，可以赋予主机操作系统和应用原生安全能力，让业务和安全同步进行，不再依赖外围安全设备的堆叠，让主机自身就具备事前预防、事中控制、事后追溯的一体化防御能力。

　　目前基于主机的agent的安全方案已经非常成熟，云锁agent支持物理机、虚拟机、云、docker环境部署；不依赖iptables、selinux、syslog、weblog等系统机制，稳定性更强；具备自动降级机制，会自动检测系统当前的工作负载情况并调整。