后门木马事件 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。

后门木马事件 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，为您提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表 企业版服务说明。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告。 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理。 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表1。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

威胁告警事件 默认“实时监控”并上报威胁告警事件，支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 表5 威胁告警事件说明 告警名称 威胁告警说明 DDoS “实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 异常行为 “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 SMBv1漏洞攻击 WebCMS漏洞攻击 命令控制 “实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为

威胁告警事件 默认“实时监控”并上报威胁告警事件，支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 表6 威胁告警事件说明 告警名称 威胁告警说明 DDoS “实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 异常行为 “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 SMBv1漏洞攻击 WebCMS漏洞攻击 命令控制 “实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为

检测与修复建议 华为云企业主机安全服务对该漏洞的便捷检测与修复。 检测相关系统的漏洞，并查看漏洞详情，如图1所示，详细的操作步骤请参见查看漏洞详情。 漏洞修复与验证，详细的操作步骤请参见漏洞修复与验证。 图1 手动检测漏洞 检测主机是否开放了“4505”和“4506”端口，如图2所示。 如果检测到开放了“4505”和“4506”端口，建议关闭该端口，或者仅对可信对象开放，详细的操作步骤请参见开放端口检测。 图2 开放端口检测 检测利用此漏洞的挖矿木马，并通过控制台隔离查杀挖矿木马，如图3所示。 隔离查杀挖矿木马，详细操作步骤请参见隔离查杀。 图3 云查杀

目前支持检测和呈现8大类告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制。基础版与专业版能检测的威胁告警范围不同，详情请参见下表： 表2 不同版本威胁告警检测范围差异 告警事件 专业版 标准版 基础版 DDoS 支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 全部支持 全部支持 暴力破解 支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 支持检测8种子类型暴力破解威胁。 包括SSH暴力破解（3种）、RDP暴力破解（2种）、MSSQL暴力破解、MySQL暴力破解（2种）。 不支持 Web攻击 支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 支持检测19种子类型Web攻击威胁。 包括Webshell攻击（4种）、跨站脚本攻击（2种）、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 不支持 后门木马 支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 支持检测1种子类型后门木马威胁。 资产上木马文件 不支持 僵尸主机 支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 支持检测5种子类型僵尸主机威胁。 包括MySQL暴力破解、对外发起RDP暴力破解、对外发起Web暴力破解、对外发起MySQL暴力破解、对外发起SQLServer暴力破解。 不支持 异常行为 支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 支持检测7种子类型异常行为威胁。 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 不支持 漏洞攻击 支持检测2种子类型的漏洞攻击威胁。 SMBv1漏洞攻击 WebCMS漏洞攻击 不支持 不支持 命令控制 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为 不支持 不支持

告警事件列表说明 基础版只支持部分功能的检测能力，不支持防护能力，不支持等保认证。 若需对云服务器进行防护或做等保认证，您需购买企业版及以上（包含企业版、旗舰版、网页防篡改版）版本。 告警名称 告警说明 基础版 企业版 旗舰版 网页防篡改版 账户暴力破解 黑客通过账户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、勒索加密、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。 如果30秒内，账户暴力破解次数达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据账户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ 恶意程序（云查杀） 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 说明： 恶意程序（云查杀）检测功能仅支持检测运行中的恶意程序。 × √ （隔离查杀） √ （隔离查杀） √ （隔离查杀） 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 × √ √ √ 网站后门 以php、jsp等网页文件形式存在的一种命令执行环境。 黑客在入侵了一个网站后，通常会将后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后使用浏览器来访问php或者jsp后门，得到一个命令执行环境，以达到控制网站服务器的目的。 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略被查杀的可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“反弹/异常Shell检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × × √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 您可以在“策略管理”的“反弹/异常Shell检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × × √ √ 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × √ √ 自启动检测 大多数木马通常通过创建自启动服务、定时任务、预加载动态库等方式入侵主机，自启动检测会收集所有云主机自启动的信息，帮助您快速发现主机中可疑的自启动，并清除木马程序问题。 HSS检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 × × √ √ 风险账户 黑客可能通过风险账号入侵主机，以达到控制主机的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；若存在可疑账号、克隆账号等，则触发告警。 × √ √ √ 提权操作 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 × × √ √ Rootkit程序 HSS检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 使用文件特征码检测Rootkit。 对隐藏文件、端口、进程的检测。 × × √ √

Web基础防护检测项说明 Web基础防护覆盖OWASP（Open Web Application Security Project）常见安全威胁，内置语义分析+正则双引擎，可以对恶意扫描器、IP、网马等威胁进行检测并拦截。请根据业务使用场景开启相应的检测项，详细的检测项说明如表1所示。 表1 检测项说明 检测项 说明 常规检测 防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。 说明： 开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。 Webshell检测 防护通过上传接口植入网页木马。 说明： 开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。 深度检测 防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。 说明： 开启“深度检测”后，WAF将对深度反逃逸进行检测防护。 header全检测 默认关闭。关闭状态下WAF会检测常规存在注入点的header字段，包含User-Agent、Content-type、Accept-Language和Cookie。 说明： 开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。 Shiro解密检测 默认关闭。开启后，WAF会对Cookie中的rememberMe内容做AES，Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。

攻击事件日志 字段 类型 描述 src_ip string 源IP地址。 src_port string 源端口号。 dst_ip string 目的IP地址。 dst_port string 目的端口号。 protocol string 协议类型。 app string 应用类型。 direction string 流量方向。 out2in：入方向 in2out：出方向 action string 云防火墙当前的响应动作。 permit：放行 deny：阻断 packet string 攻击日志的原始数据包。 说明： 编码方式为Base64格式。 attack_rule string 检测到攻击的防御规则。 attack_rule_id string 检测到攻击的防御规则ID号。 attack_type string 发生攻击的类型。 Vulnerability Exploit Attack：漏洞攻击 Vulnerability Scan：漏洞扫描 Trojan：木马病毒 Worm：蠕虫病毒 Phishing：网络钓鱼攻击 Web Attack：Web攻击 Application DDoS：DDoS攻击 Buffer Overflow：缓冲区溢出攻击 Password Attack：密码攻击 Mail：邮件相关类型的攻击行为 Access Control：访问控制行为 Hacking Tool：黑客工具 Hijacking：劫持行为 Protocol Exception：存在异常协议 Spam：存在垃圾邮件 Spyware：存在间谍软件 DDoS Flood：DDoS泛洪攻击 Suspicious DNS Activity：可疑DNS活动 Other Suspicious Behavior：其他可疑行为 level string 表示检测到威胁的等级。 CRITICAL：严重 HIGH：高 MIDDLE：中 LOW：低 source string 检测到攻击的防御模式。 0：基础防御 1：虚拟补丁 event_time long 检测到的攻击时间。

威胁检测服务可以检测哪些风险？ 威胁检测服务接入全量的统一身份认证（IAM）、虚拟私有云（VPC）、云解析服务（DNS）、云审计服务（CTS）、对象存储服务（OBS）的日志数据，利用AI智能引擎、威胁情报、规则基线模型一站式检测，持续监控暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为，识别云服务日志中的潜在威胁，对检测出的威胁告警信息进行统计展示。 威胁检测服务通过弹性画像模型、无监督模型、有监督模型实现对风险口令、凭证泄露、Token利用、异常委托、异地登录、未知威胁、暴力破解七大高危场景实现了异常行为的智能检测。可有效对化整为零低频次的分布式暴破攻击行为进行成功捕获。同时可对Linux.Ngioweb僵尸网络、SystemdMiner挖矿木马、WatchBog挖矿木马、BadRabbit勒索病毒进行有效检测、捕获。

Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对漏洞攻击、网页木马等威胁进行检测和拦截。 全面的攻击防护 支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录（路径）遍历、敏感文件访问、命令/代码注入、XML/Xpath注入等攻击检测和拦截。 Webshell检测 防护通过上传接口植入网页木马。 识别精准 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。 默认支持的编码还原类型：url_encode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测 深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测 支持对请求里header中所有字段进行攻击检测。

告警通知项说明 通知项 通知内容 通知内容说明 每日告警通知 每日凌晨检测主机中的风险，汇总并统计检测结果后，将检测结果于每日上午10：00发送给你添加的手机号或者邮箱。 资产管理 危险端口 检测开放了的危险端口或者不必要的端口，通知用户及时排查这些端口是否用于正常业务。 漏洞管理 紧急漏洞 检测系统中的紧急漏洞，通知用户尽快修复，防止攻击者利用该漏洞会对主机造成较大的破坏。 入侵检测 账户破解防护 检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。 如果30秒内，账户暴力破解次数达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据账户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 关键文件变更 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 恶意程序 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 网站后门 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 高危命令执行 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 提权操作 HSS检测当前系统的“进程提权”和“文件提权”操作。 Rootkit程序 HSS检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 基线检查 弱口令 检测MySQL、FTP及系统账号的弱口令。 风险账号 检测系统中的可疑账号、主机中无用的账号，防止未授权的访问权限和使用操作。 配置风险 检测系统中的关键应用，如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 账户登录 异地登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施。 若在非常用登录地登录，则触发安全事件告警。 实时告警通知 事件发生时，及时发送告警通知。 入侵检测 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 恶意程序 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 关键文件变更 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 网站后门 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 高危命令执行 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 提权操作 HSS检测当前系统的“进程提权”和“文件提权”操作。 Rootkit程序 HSS检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 账户登录 登录成功通知 如果在“实时告警通知”项目中勾选了“登录成功通知”选项，则任何账户登录成功的事件都会向您实时发送告警信息。 如果您所有主机上的账户都由个别管理员负责管理，通过该功能可以对系统账户进行严格的监控。 如果系统账户由多人管理，或者不同主机由不同管理员负责管理，那么运维人员可能会因为频繁收到不相关的告警而对运维工作造成困扰，此时建议您登录企业主机安全服务控制台关闭该告警项。 说明： 登录成功并不代表发生了攻击，需要您确认登录IP是否是已知的合法IP。

攻击类型 DDoS攻击 分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是指攻击者使用网络上多个被攻陷的电脑作为攻击机器，向特定的目标发动DoS攻击。DoS（Denial of Service）攻击也称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。 后门木马 后门木马又称特洛伊木马（Trojan Horse），是一种后门程序。后门木马具有很高的伪装性，通常表现为一个正常的应用程序或文件，以获得广泛的传播和目标用户的信任。当目标用户执行后门木马程序后，攻击者即可对用户的主机进行破坏或盗取敏感数据，如各种账户、密码、保密文件等。在黑客进行的各种攻击行为中，后门木马基本上都起到了先导作用，为进一步的攻击打下基础。 僵尸主机 僵尸主机亦称傀儡机，是由攻击者通过木马蠕虫感染的主机，大量僵尸主机可以组成僵尸网络（Botnet）。攻击者通过控制信道向僵尸网络内的大量僵尸主机下达指令，令其发送伪造包或垃圾数据包，使攻击目标瘫痪并“拒绝服务”，这就是常见的DDoS攻击。此外，随着虚拟货币（如比特币）价值的持续增长，以及挖矿成本的逐渐增高，攻击者也开始利用僵尸主机进行挖矿和牟利。 异常行为 异常行为主要指在主机中发生了一些不应当出现的事件。例如，某用户在非正常时间成功登录了系统，一些文件目录发生了计划外的变更，进程出现了非正常的行为等。这些异常的行为事件很多是有恶意程序在背后作乱。所以在发生这类异常行为时，应当引起重视。态势感知中的异常行为数据主要来源于主机安全服务。 漏洞攻击 漏洞是指计算机系统安全方面的缺陷，可导致系统或应用数据遭受保密性、完整性、可用性等方面的威胁。攻击者利用漏洞获取计算机权限、盗取敏感数据、破坏软硬件系统等行为均可称为漏洞攻击。 命令与控制 域名生成算法（Domain Generation Algorithm，简称DGA）是一种利用随机字符生成命令与控制（Command and Control，简称C&C）域名的技术，常被用于逃避域名黑名单功能的检测。 攻击者利用DGA生产恶意域名后，选择部分域名进行注册并指向C&C服务器。当受害者运行恶意程序后，主机将通过恶意域名连接至C&C服务器，攻击者即可远程操控主机。

攻击类型 DDoS攻击 分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是指攻击者使用网络上多个被攻陷的电脑作为攻击机器，向特定的目标发动DoS攻击。DoS（Denial of Service）攻击也称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。 后门木马 后门木马又称特洛伊木马（Trojan Horse），是一种后门程序。后门木马具有很高的伪装性，通常表现为一个正常的应用程序或文件，以获得广泛的传播和目标用户的信任。当目标用户执行后门木马程序后，攻击者即可对用户的主机进行破坏或盗取敏感数据，如各种账户、密码、保密文件等。在黑客进行的各种攻击行为中，后门木马基本上都起到了先导作用，为进一步的攻击打下基础。 僵尸主机 僵尸主机亦称傀儡机，是由攻击者通过木马蠕虫感染的主机，大量僵尸主机可以组成僵尸网络（Botnet）。攻击者通过控制信道向僵尸网络内的大量僵尸主机下达指令，令其发送伪造包或垃圾数据包，使攻击目标瘫痪并“拒绝服务”，这就是常见的DDoS攻击。此外，随着虚拟货币（如比特币）价值的持续增长，以及挖矿成本的逐渐增高，攻击者也开始利用僵尸主机进行挖矿和牟利。 异常行为 异常行为主要指在主机中发生了一些不应当出现的事件。例如，某用户在非正常时间成功登录了系统，一些文件目录发生了计划外的变更，进程出现了非正常的行为等。这些异常的行为事件很多是有恶意程序在背后作乱。所以在发生这类异常行为时，应当引起重视。态势感知中的异常行为数据主要来源于主机安全服务。 漏洞攻击 漏洞是指计算机系统安全方面的缺陷，可导致系统或应用数据遭受保密性、完整性、可用性等方面的威胁。攻击者利用漏洞获取计算机权限、盗取敏感数据、破坏软硬件系统等行为均可称为漏洞攻击。 命令与控制 域名生成算法（Domain Generation Algorithm，简称DGA）是一种利用随机字符生成命令与控制（Command and Control，简称C&C）域名的技术，常被用于逃避域名黑名单功能的检测。 攻击者利用DGA生产恶意域名后，选择部分域名进行注册并指向C&C服务器。当受害者运行恶意程序后，主机将通过恶意域名连接至C&C服务器，攻击者即可远程操控主机。

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“安全监测”页面，单击“新增监测任务”。 进入新增监测任务入口，如图1所示。 图1 进入新增监测任务 在“新增监测任务”界面，请根据表1进行扫描设置，设置后如图2所示。 图2 监测任务的扫描设置 表1 扫描设置参数说明 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 扫描周期 单击下拉框选择任务扫描周期。 每天 每三天 每周 每月 开始时间 设置监测任务开始的时间。 扫描模式 三种扫描模式： 快速扫描：扫描耗时最少，能检测到的漏洞相对较少。 标准扫描：扫描耗时适中，能检测到的漏洞相对较多。 深度扫描：扫描耗时最长，能检测到最深处的漏洞。 是否将每次扫描升级为专业版规格 基础版用户开启此功能后，扫描过程中会按需扣费： 鼠标移动至了解升级后影响。 打开此功能时，扫描时会自动升级为专业版按需扣费，关闭该功能时，扫描时不会升级。 扫描项设置 VSS支持的扫描项参照表2。 ：开启 ：关闭 表2 扫描项设置 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 设置完成后，单击“确认”。 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 表6 漏洞管理功能说明 功能模块 功能详情 主机漏洞 通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 Linux软件漏洞扫描 通过比对国际通用漏洞库，检测系统和官方软件（非绿色版、非自行编译安装版，例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，识别Linux系统存在的漏洞风险。 Windows软件漏洞扫描 通过同步国际通用补丁源，识别并告警提醒Windows系统潜在漏洞风险。 Web-CMS漏洞扫描 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 网站漏洞 通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 Web常规漏洞扫描 提供OWASP TOP10和WASC的漏洞检测能力，支持扫描30多种常见漏洞。包括XSS、SQL注入等。 网站弱密码扫描 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测；比对丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 网站端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的端口。 CVE网站漏洞扫描 同步国际通用漏洞库，扫描网站安全状况。 网页内容合规检测 对网站文字和图片规范性进行检测。 网站挂马检测 检测网站是否被上传木马，避免网站运行时自动执行木马程序，而被黑客控制。 网站链接健康检测 检测网站的链接地址健康性状态，避免网站出现死链、暗链、恶意链接。 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。

Web应用防火墙与漏洞扫描服务有哪些区别？ Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对服务器或网站进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后，即可人工触发扫描任务，检测出网站的漏洞并给出漏洞修复建议。 两个服务最大的区别在于WAF可以记录并拦截攻击事件，以达到保护Web服务安全稳定的目的。而VSS是漏洞检测服务，仅提供漏洞扫描并给出漏洞修复建议。

漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 表7 漏洞管理功能说明 功能模块 功能详情 主机漏洞 通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 Linux软件漏洞扫描 通过比对国际通用漏洞库，检测系统和官方软件（非绿色版、非自行编译安装版，例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，识别Linux系统存在的漏洞风险。 Windows软件漏洞扫描 通过同步国际通用补丁源，识别并告警提醒Windows系统潜在漏洞风险。 Web-CMS漏洞扫描 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 网站漏洞 通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 Web常规漏洞扫描 提供OWASP TOP10和WASC的漏洞检测能力，支持扫描30多种常见漏洞。包括XSS、SQL注入等。 网站弱密码扫描 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测；比对丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 网站端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的端口。 CVE网站漏洞扫描 同步国际通用漏洞库，扫描网站安全状况。 网页内容合规检测 对网站文字和图片规范性进行检测。 网站挂马检测 检测网站是否被上传木马，避免网站运行时自动执行木马程序，而被黑客控制。 网站链接健康检测 检测网站的链接地址健康性状态，避免网站出现死链、暗链、恶意链接。 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。

资产管理 态势感知24小时全方位防护云上主机和网站安全，呈现云上资产实时安全状态。 表1 资产安全功能说明 功能模块 功能详情 主机资产 同步主机资产信息，列表统计主机整体安全状况的信息。 支持查看主机资产的防护状态、当前安全状况、风险值和被攻击次数等。 网站资产 通过添加目标网站，并一键扫描任务，检查网站安全状态和所有漏洞项目，列表呈现各网站资产的总体安全状况统计信息。 支持查看网站扫描结果详情，包括“扫描项总览”、“漏洞列表”和“站点结构”，并支持下载网站漏洞安全报告。 扫描项总览 呈现当前网站漏洞扫描检查的所有项目和检测结果。呈现的检查项包括“恶意内容”、“潜在风险”和“网站安全漏洞”。 恶意内容包括检测恶意外链、挖矿后门和网页木马。 潜在风险包括检测网站请求头、https协议。 网站安全漏洞包括检测跨站请求伪造、应急漏洞、信息泄露、注入攻击、跨站脚本攻击等。 漏洞列表 扫描出的漏洞详细列表信息。 站点结构 显示网站扫描监测出的漏洞，以及漏洞的具体站点位置。

什么是态势感知？ 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险，包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 工作原理 态势感知通过采集全网流量数据和安全防护设备日志信息，并利用大数据安全分析平台进行处理和分析，态势感知检测出威胁告警，同时将企业主机安全、Web防火墙和DDoS流量清洗等安全服务上报的告警数据进行汇合，实时为用户呈现完整的全网攻击态势，进而为安全事件的处置决策提供依据。

入侵检测 入侵检测功能可识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 表4 入侵检测 功能项 功能描述 检测周期 账户暴力破解 检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。 如果30秒内，账户暴力破解次数达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据账户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 实时检测 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 实时检测 恶意程序（云查杀） 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别病毒、木马、后门、蠕虫和挖矿软件等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。HSS仅支持检测运行中的恶意程序。 根据恶意程序的相关信息，您可以“隔离查杀”已识别的恶意程序和可疑的恶意程序，“取消隔离”或“忽略”可信的程序。 说明： 恶意程序（云查杀）仅支持检测运行中的恶意程序。 实时检测 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 实时检测 关键文件变更 对系统关键文件（例如：ls、ps、login、top等）进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 实时检测 网站后门（Webshell） 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 实时检测 手动检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 实时检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 实时检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 实时检测 自启动检测 检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 实时检测 风险账户 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 在风险账号告警详情界面，您可以查看“账号名”、“用户组”、“UID/SID”、“用户目录”以及“用户启用Shell”等信息。 实时检测 提权操作 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 实时检测 Rootkit程序 检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 支持使用文件特征码检测Rootkit。 支持对隐藏文件、端口、进程的检测。 每日自动检测 您可在“入侵检测 > 事件管理”页面查看入侵检测的检测结果，操作详情请参见安全告警事件。

入侵检测功能可识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 表4 入侵检测 功能项 功能描述 检测周期 账户暴力破解 检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。 如果30秒内，账户暴力破解次数达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据账户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 实时检测 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 实时检测 恶意程序（云查杀） 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别病毒、木马、后门、蠕虫和挖矿软件等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。HSS仅支持检测运行中的恶意程序。 根据恶意程序的相关信息，您可以“隔离查杀”已识别的恶意程序和可疑的恶意程序，“取消隔离”或“忽略”可信的程序。 说明： 恶意程序（云查杀）仅支持检测运行中的恶意程序。 实时检测 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 实时检测 关键文件变更 对系统关键文件（例如：ls、ps、login、top等）进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 实时检测 网站后门（Webshell） 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 实时检测 手动检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 实时检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 实时检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 实时检测 自启动检测 检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 实时检测 风险账户 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 在风险账号告警详情界面，您可以查看“账号名”、“用户组”、“UID/SID”、“用户目录”以及“用户启用Shell”等信息。 实时检测 提权操作 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 实时检测 Rootkit程序 检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 支持使用文件特征码检测Rootkit。 支持对隐藏文件、端口、进程的检测。 每日自动检测

2018年8月 序号 功能名称 功能描述 阶段 相关文档 1 检测网站后门 实时检测您服务器上的Web目录中的文件，判断是否为Webshell网站后门文件。如果发现您的主机可能存在网站后门文件，HSS将会触发告警信息。 商用 检测网站后门 2 恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 商用 恶意程序隔离查杀 3 企业主机安全网页防篡改版 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容，是政府、院校及企业等组织必备的安全服务。 商用 网页防篡改

Web应用防火墙和云防火墙有什么区别？ Web应用防火墙和云防火墙是华为云推出的两款不同的产品，分别针对您的Web服务，互联网边界和VPC边界的流量进行防护。 WAF和CFW的主要区别说明如表1所示。 表1 WAF和CFW的主要区别说明 类别 Web应用防火墙 云防火墙 定义 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 有关CFW的详细介绍，请参见什么是云防火墙。 防护机制 网站成功接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 CFW可对全流量进行精细化管控，包括互联网边界防护，跨VPC，跨VM的流量，防止外部入侵、内部渗透攻击和从内到外的非法访问。 部署模式 WAF支持云模式、独享模式和ELB模式三种部署模式。 云模式：业务服务器部署在华为云上、非华为云或线下，且防护对象为域名。 各服务版本推荐使用的场景说明如下： 入门版 个人网站防护 标准版（原专业版） 中小型网站，对业务没有特殊的安全需求 专业版（原企业版） 中型企业级网站或服务对互联网公众开放，关注数据安全且具有高标准的安全需求 铂金版（原旗舰版） 中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求 独享模式：业务服务器部署在华为云上，防护对象为域名或IP。大型企业网站，具备较大的业务规模且基于业务特性具有制定个性化防护规则的安全需求。 ELB模式：业务服务器部署在华为云上，防护对象为域名或IP。大型企业网站，对业务稳定性有较高要求的安全防护需求。 互联网边界和VPC边界 防护对象 云模式：域名。 独享模式/ELB模式：域名或IP。 弹性公网IP 功能特性 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。 WAF具体支持的功能请参见功能特性。 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，单击对应的网站信息“操作”列的“扫描”。 进入创建扫描任务入口，如图1所示。 图1 进入创建扫描任务入口 在“创建任务”界面，请根据表1进行扫描设置，设置后如图2所示。 图2 创建扫描任务 表1 扫描设置参数说明 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 须知： VSS是通过公网访问域名/IP地址进行扫描的，请确保该目标域名/IP地址能通过公网正常访问。 开始时间 可选参数，设置开始扫描的时间，不设置默认立即扫描。 扫描模式 三种扫描模式： 快速扫描：扫描耗时最少，能检测到的漏洞相对较少。 标准扫描：扫描耗时适中，能检测到的漏洞相对较多。 深度扫描：扫描耗时最长，能检测到最深处的漏洞。 有些接口只能在登录后才能访问，建议用户配置对应接口的用户名和密码，VSS才能进行深度扫描。 说明： “快速扫描”：扫描的网站URL数量有限且VSS会开启耗时较短的扫描插件进行扫描。 “深度扫描”：扫描的网站URL数量不限且VSS会开启所有的扫描插件进行耗时较长的遍历扫描。 “标准扫描”：扫描的网站URL数量和耗时都介于“快速扫描”和“深度扫描”两者之间。 手动探索文件 不启用自动探索，仅扫描探索文件中指定的URL。 是否扫描登录URL 默认不扫描登录URL，以防触发网站登录的防御机制而影响正常业务（如登录失败次数过多后禁止登录），注意开启扫描登录URL前评估业务影响。 是否将本次扫描升级为专业版规格 基础版用户开启此功能后，扫描过程中会按需扣费： 鼠标移动至了解升级后影响。 打开此功能时，扫描时会自动升级为专业版按需扣费，关闭该功能时，扫描时不会升级。 扫描项设置 VSS支持的扫描功能参照表2。 ：开启。 ：关闭。 表2 扫描项设置 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 如果您当前的服务版本已经为专业版，不会提示升级。 基础版支持常见漏洞检测、端口扫描，每日扫描任务上限5个，单个扫描任务时长限制2小时。 专业版支持常见漏洞检测、端口扫描、弱密码扫描、短信通知，每日扫描任务上限多达60次。 高级版支持常见漏洞检测、端口扫描、弱密码扫描、短信通知，每日扫描任务上限多达60次。 企业版支持常见网站漏洞扫描、基线合规检测、弱密码、端口检测、紧急漏洞扫描、周期性检测，每日扫描任务上限多达60次。 设置完成后，单击“开始扫描”。 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 （旧版）在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护策略”页面。 （新版）在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 图1 域名列表 在“Web基础防护”配置框中，用户可根据自己的需要参照表1更改Web基础防护的“状态”和“模式”。 图2 Web基础防护配置框 表1 防护动作参数说明 参数 说明 状态 Web应用防护攻击的状态。 ：开启状态。 ：关闭状态。 模式 拦截：发现攻击行为后立即阻断并记录。 仅记录：发现攻击行为后只记录不阻断攻击。 在“Web基础防护”配置框中，单击“高级设置”，进入“Web基础防护”界面。 选择“防护配置”页签，根据您的业务场景，开启合适的防护功能，如图3所示，检测项说明如表3所示。 图3 Web基础防护 当“模式”设置为“拦截”时，您可以根据需要选择已配置的攻击惩罚。有关配置攻击惩罚的详细操作，请参见配置攻击惩罚标准。 防护等级设置。 在页面上方，选择防护等级，Web基础防护设置了三种防护等级：“宽松”、“中等”、“严格”，默认情况下，选择“中等”。 表2 防护等级说明 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求，例如jolokia网络攻击、探测CGI漏洞、探测 Druid SQL注入攻击。 建议您等待业务运行一段时间后，根据防护效果配置全局白名单（原误报屏蔽）规则，再开启“严格”模式，使WAF能有效防护更多攻击。 防护检测类型设置。 默认开启“常规检测”防护检测，用户可根据业务需要，参照表3开启其他需要防护的检测类型。 表3 检测项说明 检测项 说明 常规检测 防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。 说明： 开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。 Webshell检测 防护通过上传接口植入网页木马。 说明： 开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。 深度检测 防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。 说明： 开启“深度检测”后，WAF将对深度反逃逸进行检测防护。 header全检测 默认关闭。关闭状态下WAF会检测常规存在注入点的header字段，包含User-Agent、Content-type、Accept-Language和Cookie。 说明： 开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。 Shiro解密检测 默认关闭。开启后，WAF会对Cookie中的rememberMe内容做AES，Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。 选择“防护规则”页签，查看Web基础防护规则的详细信息，如图4所示，相关参数说明如表4所示。 图4 查看防护规则 单击，您可以根据“CVE编号”、“危险等级”、“应用类型”或“防护类型”，搜索指定规则。 表4 防护规则说明 参数 说明 规则ID 防护规则的ID，由系统自动生成。 规则描述 防护规则对应的攻击详细描述。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为--。 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 应用类型 防护规则对应的应用类型，WAF覆盖的应用类型见表5。 防护类型 防护规则的类型，WAF覆盖的防护类型：SQL注入、命令注入、跨站脚本、XXE注入、表达式注入攻击、CSRF、SSRF、本地文件包含、远程文件包含、网站木马、恶意爬虫、会话固定漏洞攻击、反序列化漏洞、远程命令执行、信息泄露、拒绝服务、源码/数据泄露。 表5 WAF覆盖的应用类型 4images Dragon-Fire IDS Log4j2 ProjectButler A1Stats Drunken Golem GP Loggix Pulse Secure Achievo Drupal lpswitch IMail Quest CAPTCHA Acidcat CMS DS3 Lussumo Vanilla QuickTime Streaming Server Activist Mobilization Platform Dubbo MAGMI R2 Newsletter AdaptBB DynPG CMS ManageEngine ADSelfService Plus Radware AppWall Adobe DZCP basePath MassMirror Uploader Rezervi root Advanced Comment System ea-gBook inc ordner Mavili Ruby agendax EasyBoard MAXcms RunCMS Agora EasySiteEdit ME Download System Sahana-Agasti AIOCP e-cology Mevin SaurusCMS CE AjaxFile E-Commerce Microsoft Exchange Server School Data Navigator AJSquare Elvin Moa Gallery MOA Seagull Alabanza Elxis-CMS Mobius SGI IRIX Alfresco Community Edition EmpireCMS Moodle SilverStripe AllClubCMS EmuMail Movabletype SiteEngine Allwebmenus Wordpress eoCMS Multi-lingual E-Commerce Sitepark Apache E-Office Multiple PHP Snipe Gallery Apache APISIX Dashboard EVA cms mxCamArchive SocialEngine Apache Commons eXtropia Nakid CMS SolarWinds Apache Druid EZPX Photoblog NaviCOPA Web Server SQuery Apache Dubbo F5 TMUI NC Squid Apache Shiro Faces NDS iMonitor StatCounteX Apache Struts FAQEngine Neocrome Seditio Subdreamer-CMS Apache Tomcat FASTJSON or JACKSON NetIQ Access Manager Sumsung IOT Apache-HTTPD FCKeditor Netwin Sun NetDynamics Apple QuickTime FileSeek Nginx SuSE Linux Sdbsearch ardeaCore fipsCMSLight Nodesforum SweetRice-2 AROUNDMe fipsForum Nucleus Plugin Gallery Tatantella Aurora Content Management Free PHP VX Guestbook Nucleus Plugin Twitter Thecartpress Wordpress AWCM final FreeSchool Nukebrowser Thinkphp AWStats FreshScripts NukeHall ThinkPHP5 RCE Baby Gekko FSphp Nullsoft Tiki Wiki BAROSmini Multiple FusionAuth Ocean12 FAQ Manager Tomcat Barracuda Spam Gallo OCPortal CMS Trend Micro BizDB GetSimple Open Education Trend Micro Virus Buster Blackboard GetSimple CMS OpenMairie openAnnuaire Tribal Tribiq CMS BLNews GLPI OpenPro TYPO3 Extension Caldera GoAdmin openUrgence Vaccin Uebimiau Cedric Gossamer Threads DBMan ORACLE Application Server Uiga Proxy Ciamos CMS Grayscalecms Oramon Ultrize TimeSheet ClearSite Beta Hadoop OSCommerce VehicleManager ClodFusion Tags Haudenschilt Family PALS Visitor Logger CMS S Builder Havalite Pecio CMS VMware ColdFusion HIS Auktion PeopleSoft VoteBox ColdFusion Tags HP OpenView Network Node Manager Persism Content Management WayBoard Commvault CommCell CVSearchService HPInsightDiagnostics PhotoGal WebBBS Concrete5 Huawei D100 PHP Ads WebCalendar Confluence Server and Data Center HUBScript PHP Classifieds WEB-CGI Coremail IIS PHP CMS WebFileExplorer Cosmicperl Directory Pro iJoomla Magazine PHP Paid 4 Mail Script WebGlimpse CPCommerce ILIAS PHPAddressBook webLogic DataLife Engine Indexu PHP-Calendar WebLogic Server wls9-async DCScripts IRIX phpCow Webmin DDL CMS JasonHines PHPWebLog PHPGenealogy WEB-PHP Invision Board DELL TrueMobile JBOSS PHPGroupWare WebRCSdiff Digitaldesign CMS JBossSeam phpMyAdmin Websense Dir2web Joomla phpMyAdmin Plugin WebSphere Direct News JRE PHPMyGallery WikyBlog WBmap Discourse jsfuck PHPNews WordPress Diskos CMS Manager justVisual Pie Web Masher WORK system DiY-CMS Katalog Stron Hurricane PlaySMS Wpeasystats Wordpress D-Link KingCMS Plogger XOOPS DMXReady Registration Manager koesubmit Plone Xstream DoceboLMS Kontakt Formular PointComma YABB SE Dokuwiki KR-Web Postgres YP Portal MS-Pro Surumu dompdf Landray PrestaShop ZenTao DotNetNuke Livesig Wordpress ProdLer Zingiri Web Shop Wordpress ZOHO ManageEngine - - -

2018年3月 序号 功能名称 功能描述 阶段 相关文档 1 手动检测软件信息 实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描，此外，您也可以使用手动检测功能全面检测主机中关键的配置信息。 商用 手动检测软件信息 2 网站后门检测 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 商用 手动检测软件信息 3 配置检测 配置检测功能将主动检测主机中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 商用 配置检测 4 进程信息管理 根据进程检测结果中的详细信息，您可以快速查看主机中可疑的应用进程，并及时终止可疑的应用进程。 商用 进程信息管理

功能特性 云防火墙提供了“云防火墙基础版”、“云防火墙标准版”、“云防火墙专业版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能。 表1 功能特性 功能项 功能描述 概览 提供已开启和未开启的防火墙状态总览。 资产管理 查看和管理弹性公网IP的相关数据及信息。 访问控制 支持互联网边界流量的访问控制。 入侵防御 提供对互联网流量的入侵检测与防护，可选择防护模式及是否开启基础防御。 基础防御包括威胁检测及漏洞扫描，主要检测以下两点： 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。 检测是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 流量分析 为您展示互联网业务访问流量统计数据和已检测出的入侵攻击风险统计数据。 互联网出入口流量统计：展示最近1小时、最近24小时、最近7天的数据。 入侵攻击事件统计：展示最近1小时、最近24小时、最近7天的数据。 日志审计 支持入侵攻击事件日志、访问控制日志、流量日志。其中： 攻击事件日志：入侵攻击事件的详细信息。 访问控制日志：可以查看哪些访问放行，哪些访问被阻断的详细信息。 流量日志：可以查看具体某个业务的访问流量信息。 表2 华为旁路拦截引擎支持的功能 一级菜单 二级菜单 三级菜单 功能描述 访问控制 防护规则 规则列表：操作 支持设置优先级。 添加单条规则 支持指定优先级。 添加多条规则 协议类型：只支持TCP协议。 黑名单 添加黑名单 协议类型：只支持TCP协议。 白名单 添加白名单 协议类型：只支持TCP协议。 说明： 目前，华为旁路拦截引擎默认为放行。 表3 山石引擎和华为旁路引擎 名称 主要功能描述 支持协议 支持场景 山石引擎 用户流量先经过防火墙直路引擎，进行安全检测与防护后，再将流量送至终目标ECS。检测功能丰富，阻断策略灵活。 TCP协议。 可以支持互联网边界和VPC边界的防护。 华为旁路引擎 防火墙引擎旁路部署，将用户流量镜像一份传至引擎分析，通过下发策略阻断威胁会话。旁路模式不改变客户业务流量走向，对客户业务无任何影响。 TCP、UDP、ICMP、Any、ICMPV6 可支持互联网边界的防护。

用于测试、个人用户防护主机账户安全，推荐使用基础版。 对需要满足等保合规基本要求（例如：病毒木马查杀、漏洞一键修复、入侵检测）的主机，推荐使用企业版。 对主机有高安全要求的用户（例如：应对护网行动、业务重要），推荐使用旗舰版或者网页防篡改版。 若预算有限，您可以将“旗舰版”或者“网页防篡改版”部署在关键或者高风险主机上，例如：对外暴露EIP的主机、保存关键资产的应用主机、以及数据库主机等。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，主要部署在网站或者应用的主机上，推荐使用网页防篡改版。 各版本适用场景详情请参见表1所示。 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机，导致企业内网整体沦陷，建议您的云上主机全部署主机安全服务。 表1 版本推荐说明 版本 计费模式 推荐场景 基础版 按需计费（免费） 包年/包月 用于测试、个人用户防护主机账户安全。 HSS暂不支持购买“基础版”，购买ECS/HECS后，即可免费体验基础版（按需）。如何开启基础版（按需或包年/包月）防护，请参见开启HSS基础版（免费）防护。 基础版仅提供基线检查和入侵检测的部分功能，呈现一定云上资产安全风险总览。 说明： 选择“包年/包月”时，若出现配额不足的提示，选择按需计费即可，免费开启使用。 企业版 按需计费 包年/包月 需要满足等保合规基本要求（例如：病毒木马查杀、漏洞一键修复、入侵检测）的主机。 旗舰版 包年/包月 对主机有高安全要求的用户（例如：应对护网行动、业务重要），推荐使用旗舰版或者网页防篡改版。 若预算有限，您可以将“旗舰版”或者“网页防篡改版”部署在关键或者高风险主机上，例如：对外暴露EIP的主机、保存关键资产的应用主机、以及数据库主机等。 网页防篡改版 包年/包月 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，主要部署在网站或者应用的主机上，推荐使用网页防篡改版。 购买网页防篡改，即赠送旗舰版。

云防火墙与Web应用防火墙有什么区别？ 云防火墙和Web应用防火墙是华为云推出的两款不同的产品，为您的互联网边界和VPC边界、Web服务提供防护。 WAF和CFW的主要区别说明如表 CFW和WAF的主要区别说明所示。 表1 CFW和WAF的主要区别说明 类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 有关Web应用防火墙的详细介绍，请参见什么是Web应用防火墙。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，华为云、非华为云或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

与Web应用防火墙的主要区别 云防火墙和Web应用防火墙是华为云推出的两款不同的产品，为您的互联网边界和VPC边界、Web服务提供防护。 WAF和CFW的主要区别说明如表 CFW和WAF的主要区别说明所示。 表1 CFW和WAF的主要区别说明 类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 有关Web应用防火墙的详细介绍，请参见什么是Web应用防火墙。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，华为云、非华为云或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 Windows实例访问公网不通排查思路 表1 Windows实例访问公网不通排查思路 可能原因 处理措施 资源状态异常：资源冻结；未开机；未绑定弹性公网IP。 云服务器状态为“运行中”，且绑定弹性公网IP才可以访问公网，详细操作请参考检查资源状态是否正常。 云主机负载过高。 云服务器的带宽和CPU利用率过高导致网络断开，详细操作请参考检查云服务器负载是否过高。 弹性公网IP的带宽超限。 请扩大带宽后重试，详细操作请参考检查弹性公网IP的带宽是否超限。 互联网运营商的劫持或者封堵。 更换手机热点或其他网络测试是否可以正常访问，详细操作请参考检查是否为运营商网络问题。 网络配置错误。 检查网卡配置、DNS配置是否正确，详细操作请参考检查网卡配置。 路由信息配置错误。 查看活动路由中的0.0.0.0默认路由是否指向默认网关，详细操作请参考检查默认路由是否指向默认网关。 安全组配置不正确。 检查安全组是否放通出方向网络流量，详细操作请参考检查云服务器安全组。 检查网络ACL规则。 请取消关联的网络ACL后重试，详细操作请参考检查网络ACL规则。 国际链路问题。 请优化链路后重试，详细操作请参考检查是否为国际链路问题。 （适用于访问中国大陆外，包括中国港澳台及其他国家、地区的网站的场景） 弹性公网IP被封堵。 IP若被封堵，则无法访问外网，详细操作请参考检查弹性公网IP是否被封堵。 防火墙拦截。 测试防火墙关闭后是否可以正常访问，详细操作请参考检查云服务器的防火墙。 网关通信异常。 使用Ping命令判断DNS服务器解析是否正常，详细操作请参考使用Ping命令检查网关通信是否正常。 云服务器系统性能问题。 使用netstat命令检查网络连接状态，详细操作请参考检查云服务器系统性能。 第三方杀毒软件的阻拦。 禁用或者卸载第三方杀毒软件后重试，详细操作请参考检查是否为杀毒软件拦截。 云服务器受病毒或木马影响。 判断云服务器是否受病毒或木马影响，详细操作请参考检查主机安全状态。

策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux，Windows √ （只支持自定义弱口令） √ √ 网站后门检测 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件。 Linux，Windows √ （只支持配置检测路径） √ √ 资产管理 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux，Windows × √ √ 系统配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux，Windows × √ √ 高危命令检测 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 Linux × √ √ 提权检测 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 Linux × √ √ 异常/反弹Shell检测 检测系统中异常/反弹Shell的获取行为，包括对shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 Linux × √ √ 文件完整性管理 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √

资产管理功能可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 表1 资产管理 功能项 功能描述 检测周期 账号信息管理 检测主机系统中的账号，列出当前系统的账号信息，帮助用户进行账户安全性管理。 根据账号的实时信息和历史变动，您可以快速排查主机中的可疑账号。 账号的实时信息包括账号的“账号名”、“对应主机数”以及具体账号对应的“对应服务器”、“管理员权限”、“用户组”、“用户目录”和“用户启动Shell”。 账号的历史变动信息包括“变动状态”、“弹性服务器名称”、“账号名”、“管理员权限”、“用户组”、“用户目录”、“用户启动Shell”和“发生变动时间”。 实时检测 开放端口检测 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据端口的“端口类型”、“对应主机数”、“危险程度”、“状态”、“端口描述”以及具体端口对应的“对应服务器”、“绑定IP”、“状态”、“对应进程的PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 实时检测 进程信息检测 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程名”、“对应主机数”、“进程总数”、“文件名称总数”以及具体进程对应的“对应服务器”、“进程路径”、“文件权限”、“运行用户”、“PID”以及“进程启动时间”，您能够快速排查主机中的异常进程。 实时检测 Web目录管理 检测并列出当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 在“Web目录管理”界面，您可以统一查看Web目录对应的“文件路径”、“应用类型”、“本地端口”、“URL”、“进程编号（PID）”和“程序文件”。 实时检测 软件信息管理 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“对应主机数”以及具体软件对应的安装该软件的“对应服务器”和“软件版本号”。 软件变动的历史记录包括软件的“变动状态”、“服务器名称”、“软件名称”、“软件版本号”和“发生变动时间”。 您可以使用手动检测功能检测主机中的软件信息。 每日凌晨自动检测 手动检测 自启动 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 实时检测

WAF配置原理 Web应用防火墙通过对HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 本文档介绍客户端和Web应用防火墙之间未使用代理情况下的配置。若在客户端和Web应用防火墙之间使用了代理，配置请参见WAF文档。 图2 未使用代理配置原理图 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

版本功能差异说明 基础版只支持部分功能的检测能力，不支持防护能力，不支持等保认证。 若需对云服务器进行防护或做等保认证，您需购买企业版及以上（包含企业版、旗舰版、网页防篡改版）版本。 表2 版本功能说明 服务功能 功能项 功能概述 基础版 （按需） 基础版 （包年/包月） 企业版 旗舰版 网页防篡改版 资产管理 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × × √ √ √ 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × × √ √ √ 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × × √ √ √ Web目录管理 统计当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 × × √ √ √ 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × × √ √ √ 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × × × √ √ 漏洞管理 Windows漏洞管理 通过与漏洞库进行比对，检测并管理Windows系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × × √ √ √ Linux漏洞管理 通过与漏洞库进行比对，检测并管理Linux系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × × √ √ √ Web-CMS漏洞管理 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × × √ √ √ 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ √ 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × × √ √ √ 入侵检测 账户暴力破解 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 √ √ √ √ √ 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ √ 恶意程序（云查杀） 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × × √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × × √ √ √ 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × × √ √ √ 网站后门（Webshell） 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × × √ √ √ 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × × √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × × √ √ 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × × √ √ 自启动检测 检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 × × × √ √ 风险账户 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × × √ √ √ 提权操作 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 × × × √ √ Rootkit程序 检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 支持使用文件特征码检测rootkit。 支持对隐藏文件、端口、进程的检测。 × × × √ √ 高级防御 程序运行认证 支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 × × × √ √ 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × × √ √ 勒索病毒防护 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 × × × √ √ 安全运营 策略管理 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × × √（仅支持默认企业版策略组） √ √ 安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × × √ √ √ 安全配置 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 × √ √ √ √ 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × × √ 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × × √

资产管理 资产管理功能可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 表1 资产管理 功能项 功能描述 检测周期 账号信息管理 检测主机系统中的账号，列出当前系统的账号信息，帮助用户进行账户安全性管理。 根据账号的实时信息和历史变动，您可以快速排查主机中的可疑账号。 账号的实时信息包括账号的“账号名”、“对应主机数”以及具体账号对应的“对应服务器”、“管理员权限”、“用户组”、“用户目录”和“用户启动Shell”。 账号的历史变动信息包括“变动状态”、“弹性服务器名称”、“账号名”、“管理员权限”、“用户组”、“用户目录”、“用户启动Shell”和“发生变动时间”。 实时检测 开放端口检测 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据端口的“端口类型”、“对应主机数”、“危险程度”、“状态”、“端口描述”以及具体端口对应的“对应服务器”、“绑定IP”、“状态”、“对应进程的PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 实时检测 进程信息检测 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程名”、“对应主机数”、“进程总数”、“文件名称总数”以及具体进程对应的“对应服务器”、“进程路径”、“文件权限”、“运行用户”、“PID”以及“进程启动时间”，您能够快速排查主机中的异常进程。 实时检测 Web目录管理 检测并列出当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 在“Web目录管理”界面，您可以统一查看Web目录对应的“文件路径”、“应用类型”、“本地端口”、“URL”、“进程编号（PID）”和“程序文件”。 实时检测 软件信息管理 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“对应主机数”以及具体软件对应的安装该软件的“对应服务器”和“软件版本号”。 软件变动的历史记录包括软件的“变动状态”、“服务器名称”、“软件名称”、“软件版本号”和“发生变动时间”。 您可以使用手动检测功能检测主机中的软件信息。 每日凌晨自动检测 手动检测 自启动 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 实时检测 您可在“风险预防 > 基线检查”页面查看资产指纹特性的扫描检测结果，操作详情请参见查看基线检查详情。

Web应用防火墙 Web应用防火墙（Web Application Firewall，以下简称WAF）是结合多年的安全攻防经验，通过对HTTP(s)请求进行全方位的检测，精准过滤海量攻击流量（如SQL注入、XSS跨站脚本攻击、网页木马上传、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描等），保障您的网站安全稳定运行，避免数据泄露。 通过云审计服务，您可以记录与WAF相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的WAF操作列表请参见：Web应用防火墙 WAF。

防挖矿场景 挖矿软件是指非法侵入终端后持续驻留，利用终端计算能力来为攻击者谋取利润的一种恶意软件。感染挖矿木马后，终端CPU占用高，系统业务响应变慢，且有信息泄露风险。终端防护与响应服务针对挖矿软件，可以实现： 对全磁盘目录进行实时防护，避免挖矿软件以浏览器下载、U盘转移等方式入侵。 通过Agent上报的DNS请求数据，与威胁信息矿池库做对比，来检测是否存在向挖矿矿池请求的恶意连接，及时发现威胁事件。 针对挖矿软件，提供病毒查杀功能，检出挖矿文件并将其隔离。

防护原理 DDoS高防通过高防IP代理源IP对外提供服务，将所有的公网流量都引流至高防IP，进而隐藏源站，避免源站（用户业务）遭受大流量DDoS攻击。 DDoS高防支持防护的对象：域名，华为云、非华为云或云下的Web业务 Web应用防火墙通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式、独享模式和ELB模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式：域名，华为云、非华为云或云下的Web业务 独享模式/ELB模式：域名或IP，华为云上的Web业务 DDoS高防+WAF可以对华为云、非华为云或云下的域名进行联动防护，可以同时防御DDoS攻击（NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击、HTTP Get Flood攻击等），以及Web应用攻击（SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等），确保业务持续可靠运行，配置原理图如图1所示。 图1 使用代理配置原理图 DDoS高防+WAF配置后，流量被DDoS高防转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 相关配置说明如下： 云模式 先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站域名修改为WAF的“CNAME”。同时，为了防止其他用户提前将您的域名配置到WAF上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 独享模式 先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。 ELB模式 先将域名解析到DDoS高防，再修改DDoS高防域名信息，将源站IP修改为WAF独享引擎实例所绑定ELB的弹性公网IP。

分析处理 在您采取措施处理问题前，首先需要判断影响CPU或带宽占用率高的进程是正常进程还是异常进程。不同类型的进程状态需要做不同处理。 正常进程分析处理建议 如果您的操作系统是Windows 2008/Windows 2012，请检查内存大小，建议内存配置在2GB或以上。 检查后台是否有执行Windows Update的行为。 检查杀毒软件是否正在后台执行扫描操作。 核对云服务器运行的应用程序中是否有对网络和CPU要求高的需求，如果是，建议您修改带宽。 如果云服务器配置已经比较高，建议考虑云服务器上应用场景的分离部署，例如将数据库和应用分开部署。 异常进程分析处理建议 如果CPU或带宽利用率高是由于病毒、木马入侵导致的，那么需要手动结束进程。建议的处理顺序如下： 使用商业版杀毒软件或安装微软安全工具Microsoft Safety Scanner，在安全模式下扫描病毒。 安装Windows最新补丁。 使用MSconfig禁用所有非微软自带服务驱动，检查问题是否再次发生，具体请参考：如何在Windows中执行干净启动。 若服务器或站点遭受DDOS攻击或CC攻击等，短期内产生大量的访问需求。 您可以登录管理控制台执行以下操作： 查看Anti-DDOS攻击是否开启，并检查防护策略是否配置合适；如未配置，请参考：配置开启Anti-DDoS防护。 查看CC防护策略是否开启，并检查防护策略是否配置合适；如未配置，请参考：配置CC防护策略。

表2 版本功能说明 服务功能 功能项 功能概述 基础版 （按需、包年/包月） 企业版 旗舰版 网页防篡改版 资产管理 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × √ √ √ 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × √ √ √ 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × √ √ √ Web目录管理 统计当前系统中Web服务使用的目录，帮助用户进行Web资源管理。 × √ √ √ 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × √ √ √ 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × × √ √ 漏洞管理 Windows漏洞管理 通过与漏洞库进行比对，检测并管理Windows系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × √ √ √ Linux漏洞管理 通过与漏洞库进行比对，检测并管理Linux系统和软件存在的漏洞，对当前系统中存在的紧急漏洞进行提醒。 × √ √ √ Web-CMS漏洞管理 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × √ √ √ 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × √ √ √ 入侵检测 账户暴力破解 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 √ √ √ √ 账户异常登录 检测“异地登录”和“账户暴力破解成功”等异常登录。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ 恶意程序（云查杀） 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × √ √ √ 网站后门（Webshell） 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × √ √ 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × √ √ 自启动检测 检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹，帮助用户及时发现非法自启动。 × × √ √ 风险账户 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × √ √ √ 提权操作 检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 × × √ √ Rootkit程序 检测Rootkit安装的文件和目录，帮助用户及时发现可疑的Rootkit安装。 支持使用文件特征码检测rootkit。 支持对隐藏文件、端口、进程的检测。 Rootkit程序分为“用户空间rootkit检测”和“内核空间rootkit检测”。 用户空间rootkit检测主要针对rootkit安装的文件和目录进行检测。 内核空间rootkit检测主要针对rootkit加载的内核模块进行检测。 Rootkit程序支持以下功能： 支持使用文件特征码检测rootkit。 支持对内核rootkit加载行为的监控。 支持对系统调用表篡改类rootkit的检测。 支持对隐藏文件、端口、进程、内核模块的检测。 × × √ √ 高级防御 程序运行认证 支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 × × √ √ 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × √ √ 勒索病毒防护 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警或阻断。 × × √ √ 安全运营 策略管理 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × √（仅支持默认企业版策略组） √ √ 安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × √ √ √ 安全配置 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 按需：× 包年/包月：√ √ √ √ 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × √ 网盘文件防篡改 防止共享文件网盘中的网页文件被篡改。 × × × √ 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × √

开启恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险，更多恶意程序相关内容详情请参见功能特性章节中的“入侵检测 > 恶意程序”内容。 在“恶意程序隔离查杀”界面，选择“开启”，开启恶意程序隔离查杀功能，HSS将自动隔离查杀恶意程序。 图8 恶意程序隔离查杀 自动隔离查杀有可能发生误报。您可以在企业主机安全控制台“入侵检测”页面中，选择“事件管理”页签，查看被隔离的恶意程序。在此您可以对指定的恶意程序执行取消隔离、忽略等操作，详情请参见查看和处理入侵告警事件。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 在“恶意程序隔离查杀”界面，如果不开启“恶意程序隔离查杀”功能，当HSS检测到恶意程序时，将会触发告警。 您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序进行隔离查杀。

版本功能差异说明 表2 版本功能差异说明 服务功能 功能项 功能概述 基础版 （按需、包年/包月） 企业版 旗舰版 网页防篡改版 容器安全 检测周期 资产管理 主机管理 所有主机资产管理，包含主机的防护状态、配额绑定、策略分配等，提供Linux主机的批量安装agent功能。 √ √ √ √ √ - 容器管理 容器节点管理，容器镜像（私有镜像仓库、本地镜像）管理。 × × × × √ - 资产指纹 账号信息管理 检测当前系统的账号信息，帮助用户进行账户安全性管理。 × √ √ √ √ 实时检测 开放端口检测 检测当前系统开放的端口，帮助用户识别出其中的危险端口和未知端口。 × √ √ √ √ 实时检测 进程信息管理 监测运行中的进程并进行收集及呈现，便于用户自主清点合法进程，发现异常进程。 × √ √ √ √ 实时检测 软件信息管理 监测并记录当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 × √ √ √ √ 每日凌晨自动检测 自启动 对系统中的自启动项进行检测，及时统计自启动项的变更情况。 × √ √ √ √ 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、关键进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 × √ √ √ √ 1次/周（每周一凌晨05：00） 漏洞管理 软件漏洞检测 包括Linux软件漏洞和Windows系统漏洞。 通过与漏洞库进行比对，检测出系统和官方软件（非绿色版、非自行编译安装版；例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，帮助用户识别出存在的风险。 × √ √ √ √ 每日凌晨自动检测 手动检测 Web-CMS漏洞检测 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 × √ √ √ √ 每日凌晨自动检测 手动检测 应用漏洞检测 包括检测Web服务、Web框架、Web站点、中间件、内核模块等资产信息存在的漏洞。 × √ √ √ √ 每日凌晨自动检测 手动检测 基线检查 口令复杂度策略检测 检测系统中的口令复杂度策略，给出修改建议，帮助用户提升口令安全性。 √ √ √ √ √ 每日凌晨自动检测 手动检测 经典弱口令检测 检测系统账户口令是否属于常用的弱口令，针对弱口令提示用户修改。 √ √ √ √ √ 每日凌晨自动检测 手动检测 配置检查 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 × √ √ √ √ 每日凌晨自动检测 手动检测 容器镜像安全 容器镜像漏洞 通过与漏洞库进行比对，检测并管理本地镜像和私有镜像仓库存在的漏洞，对当前镜像中存在的紧急漏洞进行提醒。 × × × × √ 每日凌晨自动检测 手动检测 镜像恶意文件 检测镜像是否携带恶意文件（Trojan、Worm、Virus病毒和Adware垃圾软件等），帮助用户识别出存在的风险。 × × × × √ 实时检测 镜像基线检查 提供18类容器基线配置检查，帮助用户识别不安全的配置。 × × × × √ 实时检测 应用防护 SQL注入 检测防御SQL注入（SQL Injection）攻击，检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 OS命令注入 检测防御远程OS命令注入（OS Command Injection）攻击，同时检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 XSS 检测防御存储型跨站脚本(Cross-Site Scripting，XSS)注入攻击。 × × √ √ √ 实时检测 Log4jRCE漏洞检测 检测防御远程代码执行的控制攻击。 × × √ √ √ 实时检测 上传WebShell 检测防御上传危险文件的攻击或将已有文件改名为危险文件扩展名的攻击，同时检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 XML External Entity Injection 检测防御XXE注入（XML External Entity Injection）攻击，检测web应用是否存在对应漏洞。 × × √ √ √ 实时检测 反序列化输入 检测使用了危险类的反序列化攻击。 × × √ √ √ 实时检测 文件目录遍历 获取访问文件的路径或目录，匹配是否在敏感目录或敏感文件下。 × × √ √ √ 实时检测 Struts2 OGNL OGNL代码执行检测。 × × √ √ √ 实时检测 JSP执行操作系统命令 检测可疑行为——通过JSP请求执行操作系统命令。 × × √ √ √ 实时检测 JSP删除文件 检测可疑行为——通过JSP请求删除文件失败。 × × √ √ √ 实时检测 数据库连接异常 检测可疑异常——数据库连接抛出的认证和通讯异常。 × × √ √ √ 实时检测 0 day漏洞检测 检测执行命令的堆栈哈希是否在Web应用的白名单堆栈哈希表里。 × × √ √ √ 实时检测 SecurityManager权限检测异常 检测可疑异常——SecurityManager抛出的异常。 × × √ √ √ 实时检测 网页防篡改 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × √ × 实时检测 动态网页防篡改 防止网站数据库中动态网页内容被篡改。 × × × √ × 实时检测 勒索病毒防护 勒索病毒防御 通过对主机运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 × × √ √ √ 实时检测 文件完整性管理 文件完整性检测 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × √ √ √ 实时检测 主机入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × √ √ √ √ 实时检测 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × × √ √ √ 实时检测 Webshell 检测云服务器上Web目录中的文件，判断是否为WebShell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ √ 实时检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 × × √ √ √ 实时检测 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 × √ √ √ √ 实时检测 文件提权 检测当前系统对文件的提权。 × × √ √ √ 实时检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 × × √ √ √ 实时检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × √ √ √ √ 实时检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 × √ √ √ √ 实时检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ √ 实时检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × × √ √ √ 实时检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。 × × √ √ √ 实时检测 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ √ 实时检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ √ 实时检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 若在非常用登录地登录，则触发安全事件告警。 √ √ √ √ √ 实时检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × √ √ √ √ 实时检测 容器入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时，触发逃逸漏洞攻击告警。 × × × × √ 实时检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 × × × × √ 实时检测 容器进程异常 容器恶意程序 监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 × × × × √ 实时检测 容器异常启动 监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。 支持以下容器环境检测： 禁止启动特权容器(privileged:true) 需要限制容器能力集（capabilities:[xxx]） 建议启用seccomp（seccomp=unconfined） 限制容器获取新的权限(no-new-privileges:false) 危险目录映射(mounts:[...]) × × × × √ 实时检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用，触发高危系统调用告警。 × × × × √ 实时检测 敏感文件访问 监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 × × × × √ 实时检测 白名单管理 加入告警白名单 处理告警事件时，将告警事件加入到告警白名单。 以下类型的告警事件可加入“告警白名单”： 反弹Shell Webshell检测 进程异常行为检测 进程提权 文件提权 高危命令 恶意程序 × × √ √ √ 实时检测 策略管理 查看和修改策略 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 × √（仅支持默认企业版策略组） √ √ √ 实时检测 安全报告 主机安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × √ √ √ √ - 安全配置 常用登录地 配置常用登录地后，服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。 √ √ √ √ √ 实时检测 常用登录IP 配置常用登录IP，服务将对非常用IP登录主机的行为进行告警。 √ √ √ √ √ 实时检测 配置SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。 说明： 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，SSH登录IP白名单功能对其不生效。 √ √ √ √ √ 实时检测 恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 × √ √ √ √ 实时检测 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 × √ √ √ √ - 告警配置 开启告警通知功能后，您能接收到主机安全服务服务发送的告警通知，及时了解主机/容器/网页内的安全风险。 √ √ √ √ √ -

分析处理 在您采取措施处理问题前，首先需要判断影响CPU或带宽占用率高的进程是正常进程还是异常进程。不同类型的进程状态需要做不同处理。 正常进程分析处理建议 如果您的操作系统是Windows 2008/Windows 2012，请检查内存大小，建议内存配置在2GB或以上。 检查后台是否有执行Windows Update的行为。 检查杀毒软件是否正在后台执行扫描操作。 核对云服务器运行的应用程序中是否有对网络和CPU要求高的需求，如果是，建议您变更云服务器的配置或修改带宽。 如果云服务器配置已经比较高，建议考虑云服务器上应用场景的分离部署，例如将数据库和应用分开部署。 异常进程分析处理建议 如果CPU或带宽利用率高是由于病毒、木马入侵导致的，那么需要手动结束进程。建议的处理顺序如下： 使用商业版杀毒软件或安装微软安全工具Microsoft Safety Scanner，在安全模式下扫描病毒。 安装Windows最新补丁。 使用MSconfig禁用所有非微软自带服务驱动，检查问题是否再次发生，具体请参考：如何在Windows中执行干净启动。 若服务器或站点遭受DDOS攻击或CC攻击等，短期内产生大量的访问需求。 您可以登录管理控制台执行以下操作： 查看Anti-DDOS攻击是否开启，并检查防护策略是否配置合适；如未配置，请参考：配置开启Anti-DDoS防护。 查看CC防护策略是否开启，并检查防护策略是否配置合适；如未配置，请参考：配置CC防护策略。

分析处理 在您采取措施处理问题前，首先需要判断影响CPU或带宽占用率高的进程是正常进程还是异常进程。不同类型的进程状态需要做不同处理。 正常进程分析处理建议 如果您的操作系统是Windows 2008/Windows 2012，请检查内存大小，建议内存配置在2GB或以上。 检查后台是否有执行Windows Update的行为。 检查杀毒软件是否正在后台执行扫描操作。 核对云服务器运行的应用程序中是否有对网络和CPU要求高的需求，如果是，建议您变更云服务器的配置或修改带宽。 如果云服务器配置已经比较高，建议考虑云服务器上应用场景的分离部署，例如将数据库和应用分开部署。 异常进程分析处理建议 如果CPU或带宽利用率高是由于病毒、木马入侵导致的，那么需要手动结束进程。建议的处理顺序如下： 使用商业版杀毒软件或安装微软安全工具Microsoft Safety Scanner，在安全模式下扫描病毒。 安装Windows最新补丁。 使用MSconfig禁用所有非微软自带服务驱动，检查问题是否再次发生，具体请参考：如何在Windows中执行干净启动。 若服务器或站点遭受DDOS攻击或CC攻击等，短期内产生大量的访问需求。 您可以登录管理控制台执行以下操作： 查看Anti-DDOS攻击是否开启，并检查防护策略是否配置合适；如未配置，请参考：配置开启Anti-DDoS防护。 查看CC防护策略是否开启，并检查防护策略是否配置合适；如未配置，请参考：配置CC防护策略。

步骤一：购买配额并开启防护 为了提升主机安全性，请购买企业主机安全配额，并开启防护，如图1所示。 图1 购买配额并开启防护 请根据您实际的业务场景，购买企业主机安全配额。 表1 配额版本推荐 业务场景 推荐配额 APT攻击检测、应对护网行动、安全运营必备、自定义安全策略 旗舰版企业主机安全配额 安全风险预防、病毒木马查杀、主机漏洞管理、满足等保合规 企业版企业主机安全配额 官网防篡改、网站防暗链、网站服务器安全、关键文件防篡改 网页防篡改版企业主机安全配额 在云主机上安装Agent。 HSS提供的Agent，用于执行检测任务，全量扫描主机；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。 关于Agent的更多信息请参见什么是HSS的Agent？ 在HSS管理控制台设置告警通知，以便接收HSS发送的告警通知，及时了解主机/网页内的安全风险。 完成配额购买、Agent安装、告警通知设置之后可开启防护，详细操作请参见开启防护。 开启防护后，HSS会立即执行一次全量检测，大概30分钟后您可以在控制台查看HSS检测到的全部事件。

操作步骤 威胁事件支持“按事件类型”和“按终端”查看和处置。对于事件处置，两者入口不同，此处以“按事件类型”入口为例，介绍处置方法。 登录华为乾坤云服务控制台，选择“ > 我的服务 > 终端防护与响应”。 在右上角菜单栏选择“威胁事件”。 在“挖矿木马”区域单击“查看更多”，进入对应威胁事件的处理界面。 图1 挖矿木马处置界面 参考处置建议，并结合实际情况，处置挖矿事件。 快速处置：默认情况下，运行中的进程和相关文件会按照“推荐处置动作”处置；如果用户期望对进程或文件进行自定义处置，可手动更改处置动作。 忽略：除打上忽略标记外不进行任何处理。 终止：立刻终止运行中的进程。 隔离：将相关恶意文件移至该终端的隔离区，30天后自动清理。在此之前，您可以在终端详情界面的隔离区中恢复隔离文件。 忽略：除打上“忽略”标记外不进行任何处理。 已人工处置：除打上“已人工处置”标记外不进行任何处理。 单击具体事件名称，可以查看事件详情、处置建议以及处置记录。

SaaS类商品发布安全规范 发布SaaS类商品如涉及为用户提供网站服务（包括业务前台，管理后台portal等），您需确保您的应用中不包含常见的web漏洞：如XSS、SQL注入、CSRF、XXE注入、OS注入、跨目录访问、文件上传漏洞、敏感信息泄露、URL重定向泄露、TLS配置缺陷、网页木马等，如检测结果中包含一个高危漏洞，则扫描结果为不通过，请整改后再发布上架。 漏洞扫描服务支持扫描的漏洞请参见：漏洞扫描服务支持扫描哪些漏洞？ 漏洞扫描服务的扫描IP请参见：漏洞扫描服务的扫描IP有哪些？

Web应用防火墙支持哪些Web服务框架/协议？ Web应用防火墙部署在云端，与Web服务框架没有关系。 WAF通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持防护的协议类型说明如下： WebSocket/WebSockets协议，且默认为开启状态 “对外协议”选择“HTTP”时，默认支持WebSocket “对外协议”选择“HTTPS”时，默认支持WebSockets HTTP/HTTPS协议 目前WAF以下区域支持HTTP/2（HTTP 2.0版本）： 华北-北京一 华北-北京四 华东-上海一 华东-上海二 华南-广州 华南-深圳

告警处理建议 告警名称 告警参数说明 处理建议 账户暴力破解 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 攻击源IP：攻击主机的IP地址。 攻击类型：可拦截的攻击类型，包含mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。 尝试破解次数：被尝试破解的次数。 状态：处理告警事件的状态，“已处理”或者“未处理”。 该告警事件需要您高度重视。 若接收到账户暴力破解告警通知，说明您的主机可能存在被暴力破解风险，包括但不限于以下这些情况： 系统存在弱口令，同时正在遭受暴力破解攻击。 数次口令输错（但未达到封禁源IP条件）后成功登录。 建议您立即确认源IP是否是已知的合法IP。 若源IP合法。 您可以“忽略”该次告警并手工解除IP封禁。或者“加入告警白名单”，该告警将不会再次触发。 若源IP不合法，是未知IP，那么您的主机系统可能已经被黑客入侵成功。 建议您将该事件标记为“手动处理”。 立即登录系统并修改并设置安全的账户密码。 通过账号信息管理和风险账户排查所有系统账户，对可疑账户进行处理，防止攻击者创建新的账户或者更改账户权限。 通过恶意程序（云查杀）排查系统是否被植入了恶意程序。针对恶意程序，请登录云主机，尽快结束其进程，阻止恶意程序运行。 账户异常登录 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 攻击类型：攻击的类型，包含mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。 端口：被攻击的端口。 主机：攻击者的IP地址。 用户名：攻击者的用户名。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出账户异常登录，建议您立即确认该源IP是否是已知的合法IP。 若源IP合法，您可以“忽略”该事件。 如果该登录地是合法的常用登录地，您可以将该地区加入“常用登录地”列表。 若该源IP不合法，是未知IP，那么您的主机系统已经被入侵成功，需要您高度重视。 建议您将该事件标记为“手动处理”，并立即登录系统并修改账户密码，同时全面排查系统风险，避免系统遭受进一步破坏。 恶意程序（云查杀） 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 恶意程序路径：恶意程序的路径。 哈希值：哈希值。 文件权限：文件的权限。 运行用户：运行该程序的用户。 程序启动时间：程序启动的时间。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出存在恶意程序，建议您立即对该程序进行确认： 若该程序属于正常业务，您可以“忽略”该事件；或者“加入告警白名单”，该告警将不会再次触发。 若是未知程序或者经确认是恶意程序，建议立即执行进程查杀并隔离程序源文件。 您可以对已检测出的恶意程序或疑似恶意程序，执行一键“隔离查杀”。或者将该事件标记为“手动处理”，立即登录系统终止该进程并全面排查系统风险，避免系统遭受进一步破坏。 HSS提供恶意程序自动隔离查杀功能，可对目前部分主流勒索病毒、DDOS木马等进行主动防护和主动隔离。 建议您启用该功能，加固主机安全防线。详细操作请参见开启恶意程序自动隔离查杀。 若事后确认该程序是无害程序或者查杀该程序影响了业务，可以“取消隔离查杀”，或者从“文件隔离箱”中还原程序源文件。 进程异常行为 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 疑似恶意程序路径：疑似恶意程序的路径。 文件权限：文件的权限。 PID：进程ID。 命令行：启动异常进程的命令行。 父进程PID：父进程的进程ID。 父进程程序路径：父进程的程序路径。 行为：该异常进程的行为，例如：高CPU。 连接数： CPU使用频率：CPU的使用频率。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出进程异常行为，建议您立即对该进程进行确认： 若该进程属于正常业务，您可以“忽略”该事件；或者“加入告警白名单”，该告警将不会再次触发。 若是未知进程或者经确认是恶意程序，建议立即执行进程查杀并隔离程序源文件。 您可以对已检测出的恶意程序或疑似恶意程序，执行一键“隔离查杀”。或者将该事件标记为“手动处理”，立即登录系统终止该进程并全面排查系统风险，避免系统遭受进一步破坏。 HSS提供恶意程序自动隔离查杀功能，可对目前部分主流勒索病毒、DDOS木马等进行主动防护和主动隔离。 建议您启用该功能，加固主机安全防线。详细操作请参见开启恶意程序自动隔离查杀。 若事后确认该程序是无害程序或者查杀该程序影响了业务，可以“取消隔离查杀”，或者从“文件隔离箱”中还原程序源文件。 关键文件变更 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 操作：对关键文件执行的操作。 文件路径：被操作的关键文件的路径。 移动到：移动到的路径。 是否目录：操作的是否是目录，“true”或者“false”。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出关键文件变更，建议您立即对该变更进行确认： 若合法，您可以“忽略”该告警。 若不合法，关键文件被异常的读取、写入、删除等，确认非用户主动行为。 建议您将该事件标记为“手动处理”，立即将该文件替换为操作系统的标准版本。并修改账户密码，同时全面排查系统风险，避免系统遭受进一步破坏。 网站后门 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 木马文件路径：木马所在的文件路径。 发现时间：发现的时间。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出网站后门，建议您立即确认该文件是否合法。 若合法，您可以“忽略”该告警；或者“加入告警白名单”，该告警将不会再次触发。 若不合法，建议您将该事件标记为“手动处理”，并对该文件立即执行隔离。 反弹/异常Shell 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 文件路径：文件的路径。 详情：详情。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出反弹/异常Shell，建议您立即确认该反弹/异常Shell是否合法。 若合法，您可以“忽略”该事件。 若不合法，请将该事件标记为“手动处理”，建议您立即登录系统阻断非法连接或者命令执行，并全面排查系统风险，避免系统遭受进一步破坏。 高危命令执行 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 哈希值：哈希值。 PID：进程的ID。 进程路径：进程的路径。 进程命令：执行该进程的命令。 父进程PID：父进程的ID。 父进程路径：父进程的路径。 父进程命令：执行父进程的命令。 会话用户名：会话的用户名。 运行用户：运行的用户。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出高危命令执行，建议您立即确认该高危命令执行是否合法。 若合法，您可以“忽略”该事件；或者“加入告警白名单”，该告警将不会再次触发。 若不合法，请将该事件标记为“手动处理”，建议您立即登录系统排查该命令所执行的操作，并全面排查系统风险，避免系统遭受进一步破坏。 自启动检测 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 服务名：自启动服务的名称。 路径：自启动服务的路径。 类型：自启动的类型。 事件类型：事件的类型。 运行用户：运行的用户。 文件HASH：文件的HASH。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出新增自启动项，需要用户自行判断该自启动是否合法。 若合法，您可以“忽略”该事件；或者“加入告警白名单”，该告警将不会再次触发。 若不合法，请将该事件标记为“手动处理”，建议您立即登录系统删除非法自启动项目，并全面排查系统风险，避免系统遭受进一步破坏。 风险账户 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 账号名：风险账号的名称。 用户组：风险账号所在的用户组。 UID/SID：UID/SID。 用户目录：用户的目录。 用户启动Shell：用户启动的Shell。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出风险账号，建议您立即确认该账号是否合法。 若合法，您可以“忽略”该事件。 若不合法，请将该事件标记为“手动处理”，建议执行以下操作： 删除可疑账号 删除主机中无用的系统登录账号，如SSH账号。 删除主机中MySQL、FTP使用的无用的账号。 限制账号权限 通过限制关键配置项，限制非管理员的文件访问权限和文件修改权限，防止未授权的访问权限和使用操作。 提权操作 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 提权方式：提权的方式。 提权文件路径：提权文件的路径。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出提权操作，建议您立即确认该提权操作是否合法。 若合法，您可以“忽略”该事件。 若不合法，请将该事件标记为“手动处理”，建议您立即登录系统阻止非法创建和修改系统账号或者篡改文件的行为，并全面排查系统风险，避免系统遭受进一步破坏。 Rootkit程序 服务器名称：云服务器的名称。 IP地址：受影响服务器的IP地址。 Rootkit名称：Rootkit的名称。 子模块名称：子模块的名称。 特征：Rootkit程序特征。 状态：处理告警事件的状态，“已处理”或者“未处理”。 若检测出Rootkit程序安装，建议您立即确认该Rootkit安装是否合法。 若合法，您可以“忽略”该事件。 若不合法，请将该事件标记为“手动处理”，建议您立即登录系统终止该Rootkit安装行为，并全面排查系统风险，避免系统遭受进一步破坏。

漏洞描述 Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗漏洞。 攻击者可以通过使用欺骗性的代码签名证书，对恶意可执行文件进行签名来利用此漏洞，从而使该文件看似来自受信任的合法来源，用户将无法知道该文件是恶意文件。例如，攻击者可以通过该漏洞，让勒索木马等软件拥有看似“可信”的签名证书，从而绕过Windows的信任检测机制，误导用户安装。 攻击者还可以利用该漏洞进行中间人攻击，并对有关用户与受影响软件的连接的机密信息进行解密。影响Windows信任关系的一些实例，如用户常见的HTTPS连接、文件签名和电子邮件签名等。

背景信息 CDN是构建在现有互联网基础之上的一层智能虚拟网络，通过在网络各处部署节点服务器，实现将源站内容分发至所有CDN节点，使用户可以就近获得所需的内容，所以接入CDN的网站都能有比较快的响应速度。 Web应用防火墙（WAF：Web Application Firewall），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 如果您的网站对安全性能要求比较高，同时又有加速的需求，可以使用华为云CDN联动WAF配置，实现加速的同时防护Web攻击。

Web应用防火墙支持哪些防护规则？ 本节介绍Web应用防火墙支持的防护规则。 Web基础防护 可防范常规的web应用攻击，如SQL注入攻击、XSS跨站攻击等，可检测webshell，检查HTTP上传通道中的网页木马，打开开关即实时生效。 CC攻击防护 可根据IP、Cookie或者Referer字段名设置灵活的限速策略，有效缓解CC攻击。 精准访问防护 对常见HTTP字段进行条件组合， 支持定制化防护策略如CSRF防护，通过自定义规则的配置，更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性。 IP黑白名单 添加终拦截与始终放行的黑白名单IP，增加防御准确性。 地理位置访问控制 添加地理位置访问控制规则，针对来源IP进行自定义访问控制。 网页防篡改 对网站的静态网页进行缓存配置，当用户访问时返回给用户缓存的正常页面，并随机检测网页是否被篡改。 网站反爬虫 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 全局白名单（原误报屏蔽）规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 防敏感信息泄露 防止在页面中泄露用户的敏感信息，例如：用户的身份证号码、手机号码、电子邮箱等。

安全要求 第三方应用必须通过在IdeaHub的安全要求： 应用禁止含有病毒木马等侵害用户的功能（包括代码等可疑行为），并限制下载或安装。 应用禁止含有恶意吸费行为，包括但不限于：未经用户二次确认（即用户需要对购买和支付分别进行一次确认）主动扣费、隐形扣费行为，未明确、明显提示用户（例如收费协议嵌套在应用引导页内），以误导方式实现用户付费等。 除支持核心功能而需要的最低级别权限外，应用不允许擅自申请其他无关的权限。 应用禁止请求访问与核心功能不相关的敏感数据（例如通讯录或系统日志）或访问用户付费服务（例如：拨号器、短信或频繁自动联网）的权限。 应用禁止影响IdeaHub功能，包括但不限于：安装后自动修改系统默认配置且用户无法修改，功能键失灵等。 应用的签名与华为应用市场货架上检测过的同包名应用应保持一致。 同名应用因含有的支付、推送等SDK不同，或被第三方加固、重新打包或添加渠道号等差异化处理后，需在华为应用市场进行过安全检测。

WAF转发和Nginx转发有什么区别？ WAF转发和Nginx转发的主要区别为Nginx是直接转发访问请求到源站服务器，而WAF会先检测并过滤恶意流量，再将过滤后的访问请求转发到源站服务器，详细说明如下： WAF转发 网站接入WAF后，所有访问请求将先经过WAF，WAF通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击流量后，将正常流量返回给源站，从而确保Web应用安全、稳定、可用。 图1 网站接入WAF防护原理 Nginx转发 即反向代理（Reverse Proxy）方式转发。反向代理服务器接受客户端访问请求后，直接将访问请求转发给Web服务器，并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房，代理Web服务器接收访问请求，并对访问请求进行转发。 反向代理可以防止外网对内网服务器的恶性攻击，缓存以减少内网服务器压力，还可以实现访问安全控制和负载均衡。 图2 Nginx转发原理

威胁告警 “实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前，支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制，详细说明请参见威胁告警事件。 表4 威胁告警功能说明 功能模块 功能详情 告警列表 列表呈现威胁告警事件统计信息，支持查看告警事件和受威胁资产详情，并支持导出全部告警事件。 威胁分析 支持从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。 告警监控 自定义监控的威胁名单、告警类型、告警级别等，选择性呈现关注的威胁告警。 通知告警 自定义威胁告警通知，支持设置每日定时告警通知和实时告警通知，通过接收消息通知及时了解威胁风险。

威胁告警 “实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前，支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制，详细说明请参见威胁告警事件。 表5 威胁告警功能说明 功能模块 功能详情 告警列表 列表呈现威胁告警事件统计信息，支持查看告警事件和受威胁资产详情，并支持导出全部告警事件。 威胁分析 支持从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。 告警监控 自定义监控的威胁名单、告警类型、告警级别等，选择性呈现关注的威胁告警。 通知告警 自定义威胁告警通知，支持设置每日定时告警通知和实时告警通知，通过接收消息通知及时了解威胁风险。

版本推荐说明 HSS提供基础版、企业版、旗舰版和网页防篡改版四种服务版本，各版本适用场景如表1所示，详细的服务版本功能差异，请参见服务版本差异。 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机，导致企业内网整体沦陷，建议您的云上主机全部署主机安全服务。 购买企业版选择“按需计费”模式时，当ECS关机后，企业主机安全将停止计费。 表1 版本推荐说明 版本 计费模式 推荐场景 基础版 按需计费 包年/包月 无数量限制，只支持部分功能的检测能力，不支持防护能力，不支持等保认证。 用于测试、个人用户防护主机账户安全。 HSS暂不支持购买“基础版”，购买ECS/HECS后，即可免费体验基础版（按需）。 基础版仅提供基线检查和入侵检测的部分功能，呈现一定云上资产安全风险总览。 说明： 包周期的基础版到期后，系统将自动转为按需模式的基础版，变更后享受的基础版防护内容不变。 选择“包年/包月”时，若出现配额不足的提示，选择“按需计费”即可，变更后享受的基础版防护内容不变。 企业版 按需计费 包年/包月 需要满足等保合规基本要求（例如：病毒木马查杀、漏洞一键修复、入侵检测）的主机。 旗舰版 包年/包月 对主机有高安全要求的用户（例如：应对护网行动、业务重要），推荐使用旗舰版或者网页防篡改版。 若预算有限，您可以将“旗舰版”或者“网页防篡改版”部署在关键或者高风险主机上，例如：对外暴露EIP的主机、保存关键资产的应用主机、以及数据库主机等。 网页防篡改版 包年/包月 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，主要部署在网站或者应用的主机上，推荐使用网页防篡改版。 购买网页防篡改，即赠送旗舰版。

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险，包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机态势感知 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等类别的云上安全风险。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机安全态势 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现以下类别的威胁告警事件：DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 表1 威胁告警功能说明 功能模块 功能详情 告警列表 列表呈现威胁告警事件统计信息，支持查看告警事件和受威胁资产详情，并支持导出全部告警事件。 威胁分析 支持从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。 告警监控 自定义监控的威胁名单、告警类型、告警级别等，选择性呈现关注的威胁告警。 通知告警 自定义威胁告警通知，支持设置每日定时告警通知和实时告警通知，通过接收消息通知及时了解威胁风险。

名词解释 基本概念、云服务简介、专有名词解释： 弹性云服务器ECS：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 弹性公网IP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 域名注册（Domains）：是用户付费获取Internet上某一域名一段时间使用权的过程。华为云域名注册服务与新网合作，提供域名的注册、购买、实名认证以及管理功能。通过华为云注册的域名其注册商为新网，由华为云提供域名管理服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。

功能总览 功能总览 全部 云防火墙 弹性公网IP防护 VPC间边界防护 访问控制策略 黑/白名单 IP地址组 服务组 入侵防御策略 日志审计 扩容弹性公网IP的防护个数 云防火墙 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 服务版本差异 应用场景 功能特性 弹性公网IP防护 同步EIP信息并开启弹性公网IP防护后，您可以对云上资产（详见EIP列表）自动安全盘点，对外开放服务秒级防护。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 开启弹性公网IP防护 关闭弹性公网IP防护 查看网络流量 VPC间边界防护 VPC间防护用于检测和控制两个VPC间的流量通信，向您提供VPC之间资产保护、访问控制、全流量分析和入侵防护。 支持区域： 华东-上海一 购买企业路由器 创建防火墙 开启/关闭VPC间边界防火墙 访问控制策略 配置合适的访问控制策略能有效的帮助您对内部服务器与外网之间的流量进行精细化管控，防止内部威胁扩散，增加安全战略纵深。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 添加防护规则 批量管理防护规则 编辑防护规则 黑/白名单 指导您添加黑/白名单，帮助您拦截或放行指定IP，添加黑名单为拦截的IP，添加白名单为放行的IP。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 添加黑/白名单 编辑黑/白名单 删除黑/白名单 IP地址组 IP地址组是多个IP地址的集合。通过使用IP地址组，可帮助您有效应对需要重复多次编辑访问规则的场景，方便管理这些访问规则。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 管理IP地址组 服务组 服务组是多个云服务的集合。通过使用服务组，可帮助您有效应对需要重复多次编辑访问规则的场景，并且方便管理这些访问规则。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 管理服务组 入侵防御策略 您可以配置入侵防御模式，选择防护模式为仅检测并记录日志，或对攻击流量进行自动拦截，助您灵活防御云平台。CFW为您提供基础防御功能，结合多年攻防实战积累的经验规则，针对访问流量进行检测与防护，可覆盖常见的网络攻击并有效保护您的资产。 基础防御主要进行检查威胁及漏洞扫描，检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击，是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 配置入侵防御策略 日志审计 通过日志审计功能，可查看攻击事件日志、访问控制日志、流量日志，包括攻击发生时间、攻击类型、危险等级、源端口、源IP、目的IP、目的端口等信息。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 日志查询 日志管理 扩容弹性公网IP的防护个数 开启弹性公网IP防护后，您可以在控制台扩容弹性公网IP的防护个数。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 扩容弹性公网IP的防护个数

Linux操作系统云服务器 通过管理控制台登录云服务器。 以下操作以CentOS 6.8 64bit操作系统云服务器为例。 执行以下命令安装Linux流量监控工具iftop。 yum install iftop -y 执行如下命令，查看导致流量较高的端口与消耗流量的IP，以eth0端口为例。 iftop -i eth0 -P 执行如下命令查看端口对应的进程，以38366端口为例。 netstat -tunlp |grep 38366 =>代表发送数据，<=代表接收数据。 TX表示发送流量，RX表示接收流量，TOTAL表示总流量。 cum：表示第一列各种情况的总流量。 peak：表示第一列各种情况的流量峰值。 rates：表示第一列各种情况2秒、10秒、40秒内的平均流量。 查看带宽占用率较高的进程名。 如果消耗带宽较多的进程为业务进程，建议您变更云服务器的配置。 如果消耗带宽较多的进程为异常进程，可能是病毒或木马导致，建议您可以自行终止进程或者使用安全软件进行查杀。

防护原理 当用户访问使用CDN服务的网站时，本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略（如内容类型、地理区域、网络负载状况等），将当时能够最快响应用户的CDN节点IP地址提供给用户，使用户可以以最快的速度获得网站内容。 CDN支持的对象：域名，华为云、非华为云或云下的Web业务 Web应用防火墙通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式、独享模式和ELB模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式：域名，华为云、非华为云或云下的Web业务 独享模式/ELB模式：域名或IP，华为云上的Web业务 CDN+WAF可以对华为云、非华为云或云下的域名进行联动防护，同时提升网站的响应速度和网站防护能力，配置原理图如图1所示。 图1 使用代理配置原理图 CDN+WAF配置后，流量被CDN加速后转发到WAF，WAF再将流量转到源站，在提升用户访问网站的响应速度与网站的可用性的同时，实现网站流量检测和攻击拦截。 相关配置说明如下： 云模式 先将域名解析到CDN，再修改CDN源站信息，将源站域名修改为WAF的“CNAME”，同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 独享模式 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。 ELB模式 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为ELB模式实例所绑定ELB的弹性公网IP。

版本推荐说明 用于测试、个人用户防护主机账户安全，可使用基础版（无数量限制，只支持部分功能的检测能力，不支持防护能力，不支持等保认证）。 如果您有等保二级认证的需求，需购买企业版；如有等保三级认证的需求，需购买旗舰版；如有网站过等保认证的需求，则需购买网页防篡改版。 若您使用的主机涉及重要资产或者高风险情况，建议购买旗舰版或者网页防篡改版，例如：对外暴露EIP、保存有关键资产、存在数据库等。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，主要部署在网站或者应用的主机上，推荐使用网页防篡改版。 各版本适用场景详情请参见表1所示。 为防止未防护主机感染勒索、挖矿等病毒后传染给其他主机，导致企业内网整体沦陷，建议您的云上主机全部署主机安全服务。 购买企业版选择“按需计费”模式时，当ECS关机后，企业主机安全将停止计费。 表1 版本推荐说明 版本 计费模式 推荐场景 基础版 按需计费 自开启基础版按需防护开始30个自然日内可免费体验使用基础版按需版防护，每台主机均可享受一次免费体验机会。 在购买ECS或者HECS时您可选择开启赠送的主机安全“基础版”，开启后可免费体验30天的主机安全“基础版”防护。 包年/包月 基础版包年/包月无试用期，若有使用需求您需要购买基础版包年/包月版本。 无数量限制，只支持部分功能的检测能力，不支持防护能力，不支持等保认证。 用于测试、个人用户防护主机账户安全。 购买ECS/HECS时，可选择开启免费体验基础版（按需）。 基础版仅提供基线检查和入侵检测的部分功能，呈现一定云上资产安全风险总览。 说明： 包周期的基础版到期后，系统将会自动释放目标主机的防护状态，若需继续防护，您需要进行购买目标版本才可继续防护。 选择“包年/包月”时，若出现配额不足的提示，你需要进行购买，购买后开启防护即可。 企业版 按需计费 包年/包月 需要满足等保二级认证的主机。 需要满足病毒木马查杀、漏洞一键修复、入侵检测等能力的。 旗舰版 包年/包月 需要满足等保三级认证的主机。 若您使用的主机涉及重要资产或者高风险情况，例如：对外暴露EIP、保存有关键资产、存在数据库等。 网页防篡改版 包年/包月 有网站过等保认证的需求。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，主要部署在网站或者应用的主机上，推荐使用网页防篡改版。 购买网页防篡改，即赠送旗舰版。

弹性云服务器使用场景须知 禁止使用ECS搭建赌博、私服、跨境VPN等违法违规业务。 禁止使用ECS对电商网站开展刷单、刷广告等虚假交易操作。 禁止利用ECS对外部系统发起网络攻击，例如：DDoS攻击、CC攻击，Web攻击，暴力破解，传播病毒、木马等。 禁止使用ECS提供流量穿透服务。 禁止利用ECS搭建爬虫环境，对外部系统发起爬虫搜索。 未经外部系统主体授权，禁止利用ECS对外部系统发起扫描、渗透等探测行为。 禁止在ECS上部署任何违法违规网站和应用。 禁止利用ECS发送垃圾邮件。

云耀云服务器使用场景须知 禁止使用云耀云服务器搭建赌博、私服、跨境VPN等违法违规业务。 禁止使用云耀云服务器对电商网站开展刷单、刷广告等虚假交易操作。 禁止利用云耀云服务器对外部系统发起网络攻击，如：DDoS攻击、CC攻击，Web攻击，暴力破解，传播病毒、木马等。 禁止使用云耀云服务器提供流量穿透服务。 禁止利用云耀云服务器搭建爬虫环境，对外部系统发起爬虫搜索。 未经外部系统主体授权，禁止利用云耀云服务器对外部系统发起扫描、渗透等探测行为。 禁止在云耀云服务器上部署任何违法违规网站和应用。

从AI Gallery下载数据集 本示例使用AI市场已有的数据集进行操作，供学习具体功能操作使用，如下操作介绍如何从AI Gallery下载数据集，此操作将在ModelArts自动创建一个数据集。 针对用户的真实业务数据，建议按如下操作方式完成数据集的创建。首先，创建1个OBS桶及文件夹，然后使用OBS Browser+工具，将业务数据上传至对应的文件夹。然后前往ModelArts管理控制台，创建对应类型的数据集，选择数据所在OBS目录作为此数据集的输入目录。 AI Gallery提供的animal数据集介绍 用于物体检测，包含830张未标注样本。 数据集一共包含4种类别：熊猫、马、鹿、猴子。

操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 （旧版）在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护策略”页面。 （新版）在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 图1 域名列表 在“全局白名单（原误报屏蔽）”配置框中，用户可根据自己的需要更改“状态”，单击“自定义全局白名单规则”，进入规则配置页面。 图2 全局白名单配置框 在“全局白名单”规则配置页面左上角，单击“添加规则”。 添加全局白名单规则，如图3所示，参数说明如表1所示， 图3 添加全局白名单规则 表1 参数说明 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：配置当前策略下需要防护的是泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。 须知： 子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则id。 所有内置规则：Web基础防护规则里开启的所有防护规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。单击该攻击事件所在行的“误报处理”获取ID编号。建议您直接参照处理误报事件在防护事件页面配置全局白名单（原误报屏蔽）规则。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”和“路径”可以为空。 说明： 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部 单击“确认添加”。 图4 全局白名单（原误报屏蔽）规则列表

None 开启WAF防护 Web应用防火墙（Web Application Firewall， WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式、独享模式和ELB模式三种部署模式。本指南以云模式为例，引导您快速开启Web应用防火墙防护，开启防护后，可防护常见的Web安全问题。 Step1 购买Web应用防火墙 步骤 ① 登录华为云控制台。在控制台页面中选择“安全与合规 > Web应用防火墙”。 ② 首次使用WAF，单击“立即购买WAF”，进入购买页面，选择云模式后，选择服务版本、扩展包，以及购买时长。 说明 ① 云模式提供了入门版、标准版（原专业版）、专业版（原企业版）和铂金版（原旗舰版）四种服务版本，参见服务版本说明了解详情。 ② 勾选“自动续费”后，当服务期满时，系统会自动按照购买周期进行续费。 了解详细步骤 1 选择Web应用防火墙 2 立即购买 单击图片可查看原图 Step2 添加防护域名 步骤 ① 在左侧导航树中选择“网站设置”，在域名列表的左上角，单击“添加防护网站”，选择“云模式”并单击“确认”。 ② 防护域名：支持单域名(www.domain.com)和泛域名(*.domain.com)。 ③ 源站配置：分别完成“防护域名端口”、“对外协议”、“源站协议”、“源站地址”、“源站端口”的配置。 ④ 高级配置：根据业务需要，配置“IPv6防护”、“负载均衡算法”、“代理”、“HTTP2协议”以及“策略配置”。 说明 ① 系统默认防护“80”和“443”端口，如需配置除“80”和“443”以外的端口，勾选“非标准端口”，在“端口”下拉列表中选择非标准端口。 ② “对外协议”选择“HTTPS”时，需要选择证书或者导入新证书，证书转换请参见导入新证书。 ③ 如果WAF前已使用如CDN、云加速等提供七层Web代理的产品，为了保障WAF的安全策略能够针对真实源IP生效，“代理”请务必选择“是”。 了解详细步骤 1 添加防护域名 2 配置防护域名 3 源站配置 4 高级配置 单击图片可查看原图 Step3 域名接入 步骤 ① （未使用代理）按界面提示，到该域名的DNS服务商处，将其解析指向新的CNAME值。 ② （使用了代理）按界面提示，将代理类服务（高防DDOS、CDN服务等）的回源地址修改为WAF的CNAME地址。为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加“子域名”，并为它配置“TXT记录”，具体的配置方法请参见未配置子域名和TXT记录的影响？。 说明 ① 默认情况下，服务每隔一小时就会自动检测每个防护域名的接入状态。如果您确认已完成域名接入，“接入状态”为“已接入”，表示域名接入成功。 ② WAF防护默认状态为“仅记录”模式，按照Step4开启WAF“拦截”模式。 了解详细步骤 1 未使用代理的配置 2 使用了代理的配置 单击图片可查看原图 Step4 开启WAF防护 步骤 ① 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”。 ② 在“Web基础防护”配置框中，选择“拦截”模式。 说明 开启Web基础防护的“拦截”模式后，发现攻击行为后立即阻断并记录。 了解详细步骤 1 单击配置防护策略 2 开启拦截模式 单击图片可查看原图 相关操作指导 视频小图标 Created with Sketch. 开启WAF防护

时区选项枚举值 表1 时区代号 时区枚举表 枚举值 (GMT-12:00)日界线西 0 (GMT-11:00)中途岛，萨摩亚群岛 1 (GMT-10:00)夏威夷 2 (GMT-09:00)阿拉斯加 3 (GMT-08:00)太平洋时间（美国和加拿大） 4 (GMT-07:00)山地时间（美国和加拿大） 5 (GMT-06:00)中部时间（美国和加拿大） 6 (GMT-05:00)波哥大、利马、基多 7 (GMT-04:00)加拉加斯、拉巴斯 8 (GMT-03:00)巴西利亚 9 (GMT-02:00)中大西洋 10 (GMT-01:00)佛得角群岛 11 (GMT)格林威标准时间：都柏林，爱丁堡，伦敦，里斯本 12 (GMT+01:00)阿姆斯特丹，柏林，伯尔尼，罗马，斯德哥尔摩 13 (GMT+02:00)哈拉雷，比勒陀利亚 14 (GMT+03:00)莫斯科，圣彼得堡，伏尔加格勒 15 (GMT+04:00)巴库，第比利斯，埃里温 16 (GMT+05:00)叶卡捷林保 17 (GMT+06:00)努尔苏丹，达卡 18 (GMT+07:00)曼谷，河内，雅加达 19 (GMT+08:00)北京，重庆，香港，乌鲁木齐 20 (GMT+09:00)首尔 21 (GMT+10:00)堪培拉，墨尔本，悉尼 22 (GMT+11:00)马加丹，索罗门群岛，新喀里多尼亚 23 (GMT+12:00)奥克兰，惠灵顿 24 (GMT+13:00)努库阿洛法 25 (GMT-06:00)中美洲 26 (GMT-06:00)瓜达拉哈拉、墨西哥城、蒙特雷 27 (GMT-05:00)东部时间（美国和加拿大） 28 (GMT-04:00)圣地亚哥 29 (GMT-03:00)布宜诺斯艾利斯，乔治敦 30 (GMT)卡萨布兰卡，蒙罗维亚 31 (GMT+01:00)贝尔格莱德，布拉迪斯拉法，布达佩斯 32 (GMT+01:00)布鲁塞尔，哥本哈根，马德里，巴黎 33 (GMT+01:00)中非西部 34 (GMT+03:00)内罗毕 35 (GMT+05:00)伊斯兰堡，卡拉奇，塔什干 36 (GMT+08:00)吉隆坡，新加坡 37 (GMT+08:00)珀斯 38 (GMT+02:00)开罗 39 (GMT+02:00)赫尔新基，基辅，里加，索非亚，塔林，维尔纽斯 40 (GMT+03:00)巴格达 41 (GMT+04:00)阿布扎比，马斯喀特 42 (GMT+03:00)科威特，利雅得 44 (GMT+02:00)耶路撒冷 45 (GMT+02:00)大马士革 46 (GMT+01:00)萨拉热窝，斯科普里，华沙，萨格勒布 48 (GMT+02:00)雅典，贝鲁特，伊斯坦布尔，明斯克 49 (GMT-07:00)亚利桑那 50 (GMT-07:00)奇瓦瓦、拉巴斯、马扎特兰 51 (GMT-06:00)萨斯喀彻温 52 (GMT-05:00)印地安那州（东部） 53 (GMT-04:00)大西洋时间（加拿大） 54 (GMT-03:30)纽芬兰 55 (GMT-03:00)格陵兰 56 (GMT-01:00)亚速尔群岛 57 (GMT+03:30)德黑兰 58 (GMT+04:30)喀布尔 59 (GMT+05:30)马德拉斯，加尔各答，孟买，新德里 60 (GMT+05:45)加德满都 61 (GMT+06:00)阿拉木图，新西伯利亚 62 (GMT+06:30)仰光 64 (GMT+07:00)克拉斯诺亚尔斯克 65 (GMT+08:00)台北 66 (GMT+08:00)伊尔库茨克，乌兰巴图 67 (GMT+09:00)大阪，札幌，东京 68 (GMT+09:00)雅库茨克 69 (GMT+09:30)阿德莱德 70 (GMT+09:30)达尔文 71 (GMT+10:00)布里斯班 72 (GMT+10:00)符拉迪沃斯托克(海参崴) 73 (GMT+10:00)关岛，莫尔兹比港 74 (GMT+10:00)霍巴特 75 (GMT+12:00)斐济，堪察加群岛，马绍尔群岛 76

None 如何使用企业主机安全 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 本指南指导您快速上手企业主机安全。 Step1 安装Agent 步骤 ① 登录华为云控制台。在控制台页面中选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。 ② 在左侧导航树中，选择“安装与配置”，在“安装Agent”界面，根据使用指导说明安装Agent。 说明 如果您购买ECS时，勾选了“开通主机安全”，HSS会自动为该ECS安装Agent，您可以跳过此步骤。 了解详细步骤 1 安装Agent 单击图片可查看原图 Step2 购买防护配额 步骤 ① 在左侧导航栏中，选择“总览”，进入总览页面。 ② 在界面右上角，单击“购买主机安全”，购买防护配额。 说明 ① 企业主机安全提供了企业版、旗舰版和网页防篡改。 对需要满足等保合规基本要求（例如：病毒木马查杀、漏洞一键修复、入侵检测）的主机，推荐使用企业版。 对主机有高安全要求的用户（例如：应对护网行动、业务重要），推荐使用旗舰版或者网页防篡改版。更多版本相关信息，请参见服务版本差异。 ② 按需计费模式，即按实际使用的时长收费，以小时为单位，每小时整点结算，不设最低消费标准。 ③ 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 了解详细步骤 1 进入总览页面 2 安装Agent 单击图片可查看原图 Step3 设置告警通知 步骤 ① 在左侧导航树中，选择“主机管理”，在界面右上角，单击“告警通知设置”。 ② 设置告警通知项，选择“消息中心”或者“消息通知服务主题”。 ③ 单击“应用”，完成告警通知设置。 说明 ① 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 ② 主题订阅确认的信息可能是被当成垃圾短信拦截，如未收到，请查看是否设置垃圾短信拦截。 了解详细步骤 1 云服务器列表界面 2 设置告警通知 单击图片可查看原图 Step4 开启主机防护 步骤 ① 在左侧导航栏中，选择“主机管理”，勾选所有待开启防护的弹性云服务器，在列表上方，单击“开启防护”，批量开启主机防护。 ② 在弹出的“开启防护”对话框中，您可以根据需要选择“计费模式”和“主机安全版本”，并勾选“我已阅读并同意《企业主机安全免责声明》”。 ③ 单击“确定”，开启“基础版”、“企业版”或者“旗舰版”防护。 说明 ① 购买ECS时，勾选了“开通企业主机安全”，HSS自动为您安装Agent，并开启主机安全基础版或者企业版“按需计费”防护。 如需切换版本，可勾选待切换版本的主机，在列表上方，单击“开启防护”，批量切换版本。 ② 您也可以在需要开启防护的ECS所在行的操作列，单击“开启防护”来开启单台主机防护。 ③ 您也可以在需要切换版本的ECS所在行的操作列，单击“切换版本”来切换单台主机的防护版本。 了解详细步骤 1 云服务器列表 2 开启防护 单击图片可查看原图 Step5 查看检测结果 步骤 ① 在左侧导航树中，选择“总览”，进入总览界面，查看已开启防护的云服务器最近24小时的风险统计。 ② 最近一周的安全风险趋势和安全运营趋势。 ③ 最近一周的入侵事件和TOP5风险主机。 说明 ① 用户可在云服务器列表，单击目标服务器所在行的检测结果，查看单台弹性云服务器的检测情况。 ② 用户也可以通过左侧导航树，分别查看资产管理、漏洞管理、入侵检测、基线检查的检测结果及防护意见。 了解详细步骤 1 24小时风险统计 2 风险趋势和运营趋势 3 入侵事件和TOP5风险主机 单击图片可查看原图 相关操作指导 视频小图标 Created with Sketch. 设置HSS告警通知 视频小图标 Created with Sketch. 在Linux主机中安装客户端 视频小图标 Created with Sketch. 开启网页防篡改防护

查询对应日期黄历 根据输入的公历日期，获取该日期下的黄历具体内容。 输入参数 用户配置查询对应日期黄历执行动作，相关参数说明如表2所示。 表2 查询对应日期黄历输入参数说明 参数 必填 说明 示例值/默认值 请输入查询日期 是 公历日期输入格式为yyyy-MM-dd。 2019-01-13 输出参数 用户可以在之后的执行动作中调用该输出参数，输出参数说明请参考表3。 表3 查询对应日期黄历输出参数说明 参数 说明 示例值/默认值 公历日期 输入日期。 2019-01-13 农历日期 公历日期对应农历。 2018-12-8 农历节日 若有农历节日则显示。 腊八节 公历节日 若有公历节日则显示。 妇女节 适宜 黄历适宜。 祭祀，求财，签约，嫁娶，订盟 不宜 黄历不宜。 开市，安床，安葬，入宅，破土 神位 黄历神位。 喜神：西北福神：西南财神：正东阳贵：东北阴贵：西南 胎神 黄历胎神。 碓磨莫移动，鸡栖，床栖胎神在外东北停留6天 冲煞 黄历冲煞。 狗日冲（甲辰）龙 岁煞 黄历岁煞。 岁煞北 五行甲子 该日所属五行甲子。 木 五行年 该日所属五行年。 平地木 五行月 该日所属五行月。 海中金 星宿 该日所属星宿。 南方星日马-凶 彭祖 该日所在彭祖。 庚不经络戌不吃犬 见神 该日所属见神。 收 天干地支年 该日所属天干地支年。 戊戌 天干地支月 该日所属天干地支月。 乙丑 天干地支日 该日所属天干地支日。 庚戌 季节 该日所属季节。 季冬 生肖 该日所属生肖。 狗 农历月 该日所属农历月。 腊月 农历日 该日所属农历日。 初八 节气 该日所属节气。 立春

外呼任务概述 客户服务云为企业提供完善的外呼管理平台，支持配置五种外呼任务类型，外呼任务类型说明如下： 表1 外呼任务类型说明 外呼任务类型 是否需要人工参与 适用场景 所需资源 优势 自动外呼任务 否 具有标准话术流程的场景，例如回访、问卷调查、标准化信息收集等 IVR通道数 无需人工参与，节约成本。 直接使用IVR流程的放音、按键收号和路由功能来完成与客户的交互。 预测外呼任务 是 客户关怀、产品营销、寻找商机等 技能队列 人工参与，更有亲和力，外呼内容更灵活。 由系统根据接通率、拒接率等因子动态分配呼叫，确保呼出更有效率。 智能化自动外呼任务 否 具有标准话术流程的场景，例如回访、问卷调查、标准化信息收集等 开通智能IVR 具有TTS和ASR通道数 无需人工参与，节约成本。 直接使用智能IVR流程的语义识别技术，客户可直接说出结果，体验更佳，节省操作时间，缩短服务时长。 人工外呼任务 是 客户关怀、产品营销、寻找商机等 技能队列 人工参与，更有亲和力。 座席自行决定呼出数量。 预览外呼任务 是 用于需要提前了解客户背景信息的场景，例如催收业务等 技能队列 人工参与，更有亲和力。 座席有足够时间了解客户的背景信息，体检更佳。 预占外呼任务 是 提前占用坐席的外呼方式，用户接入后直接接通坐席，减少用户等待时间。 技能队列 人工参与，更有亲和力。 先占用人工坐席，用户接入后能够立马接通坐席，减少用户因等待挂机的概率。 您可根据各类外呼任务的适用场景和优势决定适用何种外呼任务来开始您的外呼工作。 客户服务云系统中维护的外呼任务具有状态，各状态与操作的关系如下所示： 图1 外呼任务状态

网站漏洞 态势感知通过接入VSS漏洞扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞共支持8大类漏洞项的检测，详情扫描内容参见表2。 表2 网站漏洞检测项说明 检测项 说明 Web常规漏洞扫描 默认必选扫描项。扫描常规的30+种Web漏洞，包括XSS、SQL等网站漏洞。 端口扫描 （可选）扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 弱密码扫描 （可选）扫描网站的弱密码漏洞。 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 CVE漏洞扫描 （可选）接入公共暴露漏洞库（Common Vulnerabilities and Exposures，CVE），根据漏洞库快速更新漏洞规则，扫描CVE最新漏洞。 网页内容合规检测（文字） （可选）检测网站文字的合规性。 网页内容合规检测（图片） （可选）检测网站图片的合规性。 网站挂马检测 （可选）检测网站的挂马漏洞风险。 链接健康检测 （可选）检测网站的链接地址健康性，避免死链、暗链、恶意链接。

勒索病毒 勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。 一旦遭受勒索病毒攻击，将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密，用户将无法读取原本正常的文件，仅能通过向黑客缴纳高昂的赎金，换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金，一般无法溯源。 如果关键文件被加密，企业业务将受到严重影响；黑客索要高额赎金，也会带来直接的经济损失，因此，勒索病毒的入侵危害巨大。

网站漏洞 态势感知通过接入VSS漏洞扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞共支持8大类漏洞项的检测，详情扫描内容参见表2。 表2 网站漏洞检测项说明 检测项 说明 Web常规漏洞扫描 默认必选扫描项。扫描常规的30+种Web漏洞，包括XSS、SQL等网站漏洞。 端口扫描 （可选）扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 弱密码扫描 （可选）扫描网站的弱密码漏洞。 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 CVE漏洞扫描 （可选）接入公共暴露漏洞库（Common Vulnerabilities and Exposures，CVE），根据漏洞库快速更新漏洞规则，扫描CVE最新漏洞。 网页内容合规检测（文字） （可选）检测网站文字的合规性。 网页内容合规检测（图片） （可选）检测网站图片的合规性。 网站挂马检测 （可选）检测网站的挂马漏洞风险。 链接健康检测 （可选）检测网站的链接地址健康性，避免死链、暗链、恶意链接。

勒索病毒（云查杀） 勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。 一旦遭受勒索病毒攻击，将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密，用户将无法读取原本正常的文件，仅能通过向黑客缴纳高昂的赎金，换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金，一般无法溯源。 如果关键文件被加密，企业业务将受到严重影响；黑客索要高额赎金，也会带来直接的经济损失，因此，勒索病毒的入侵危害巨大。

应用场景 勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击，将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密，用户将无法读取资产中的文件，仅能通过向黑客缴纳高昂的赎金，换取对应的解密私钥才能将被加密的文件无损的还原，会对企业业务造成直接的经济损失。该解决方案能帮您为华为云上部署的服务器提供事前安全加固、事中主动防御、事后备份恢复的防勒索病毒方案，抵御勒索软件入侵，营造主机资产安全运行环境。

操作步骤（旧版） 登录管理控制台。 进入防护事件页面入口，如图4所示。 图4 防护事件页面入口 选择“查询”页签，在网站或实例下拉列表中选择待查看的防护网站或实例，可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定义时间范围内的防护日志，如图5所示，参数说明如表3和表4所示。 图5 查看防护事件 表3 防护事件参数说明 参数名称 参数说明 事件类型 发生攻击的类型。 默认选择“全部”，查看所有攻击类型的日志信息，也可以根据需要，选择攻击类型查看攻击日志信息。 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 源IP Web访问者的公网IP地址（攻击者IP地址）。 默认选择“全部”，查看所有的日志信息，也可以根据需要，选择或者自定义攻击者IP地址查看攻击日志信息。 URL 攻击的防护域名的URL。 事件ID 标识该防护事件的ID。 表4 防护事件字段参数说明 参数 说明 示例 时间 本次攻击发生的时间。 2021/02/04 13:20:04 源IP Web访问者的公网IP地址（攻击者IP地址）。 - 地理位置 攻击者来源IP所在地区。 - 防护域名 被攻击的防护域名。 www.example.com URL 攻击的防护域名的URL。 /admin 恶意负载 本次攻击对防护域名造成伤害的位置、组成部分或访问URL的次数。 说明： 对于CC攻击事件，恶意负载表示当时访问URL的次数。 对于黑名单防护事件，恶意负载为空。 id=1 and 1='1 事件类型 发生攻击的类型。 SQL注入攻击 命中规则 本次攻击事件命中的内置Web基础防护规则ID。 当攻击为Web基础防护所防护的攻击事件时显示该字段。例如，SQL注入攻击、XSS攻击、文件包含等。 223633 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 说明： 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后，如果访问请求命中防护规则，则防护动作显示为“不匹配”。 拦截 状态码 拦截页面返回的HTTP状态码。 418 如果需要查看目标域名攻击事件详情，可在事件列表中的“操作”列，单击“详情”。 当攻击事件属于误报时，在该攻击事件所在行的“操作”列，单击“误报处理”，添加误报处理策略，如图6所示，参数说明如表5所示。 图6 误报处理 表5 参数说明 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：配置当前策略下需要防护的是泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。 须知： 子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则id。 所有内置规则：Web基础防护规则里开启的所有防护规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。单击该攻击事件所在行的“误报处理”获取ID编号。建议您直接参照处理误报事件在防护事件页面配置全局白名单（原误报屏蔽）规则。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”和“路径”可以为空。 说明： 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部 单击“确认添加”，添加该误报规则。

操作步骤（新版） 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 选择“查询”页签，在网站或实例下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”、“7天”、“30天”或者自定义时间范围内的防护日志。 在“防护事件列表”中，根据实际情况对防护事件进行处理。 确认事件为误报，在目标防护事件所在行的“操作”列，单击“事件处理 > 误报处理”，添加误报处理策略。 图1 误报处理 表1 参数说明 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：配置当前策略下需要防护的是泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。 须知： 子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则id。 所有内置规则：Web基础防护规则里开启的所有防护规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。单击该攻击事件所在行的“误报处理”获取ID编号。建议您直接参照处理误报事件在防护事件页面配置全局白名单（原误报屏蔽）规则。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”和“路径”可以为空。 说明： 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部 将源IP添加到地址组。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加到地址组”，添加成功后将根据该地址组所应用的防护策略进行拦截或放行。 “添加方式”可选择已有地址组或者新建地址组。 图2 添加至地址组 将源IP添加至对应防护域名下的黑白名单策略。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加至黑白名单”，添加成功后该策略将始终对添加的攻击源IP进行拦截或放行。 图3 添加至黑白名单 表2 参数说明 参数 参数说明 添加方式 选择已有规则 新建规则 规则名称 添加方式选择“选择已有规则”时，在下拉框中选择规则名称 。 添加方式选择“新建规则”时，自定义黑白名单规则的名字。 IP/IP段或地址组 添加方式选择“新建规则”时，需要配置此参数。 支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。 地址组名称 “IP/IP段或地址组”选择“地址组”时，需要配置此参数。 在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组，详细操作请参见添加黑白名单IP地址组。 防护动作 拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。 放行：IP地址或IP地址段设置的是白名单，则选择“放行”。 仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。 攻击惩罚 当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。 规则描述 可选参数，设置该规则的备注信息。

功能总览 功能总览 全部 主机安全服务 资产指纹管理 基线检查 漏洞管理 容器镜像安全 应用防护 入侵检测 未防护资产的免费体检 恶意程序隔离查杀 勒索病毒防护 文件隔离箱管理 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 Agent批量安装 主机安全服务 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，旨在解决现代混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。它集成了主机安全、容器安全和网页防篡改。 发布区域：全部。 HSS版本功能特性 应用场景 资产指纹管理 可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务，在“资产管理”界面，您可以统一管理主机中的信息资产。 发布区域：全部。 查看资产指纹详情 历史变动记录 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 查看基线检查详情 管理基线检查策略 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 发布区域：全部。 查看漏洞详情 漏洞修复与验证 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助您得到一个安全的镜像。 发布区域：全部。 容器镜像漏洞 镜像恶意文件 镜像基线检查 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 发布区域：全部。 开启应用防护 应用防护管理 关闭应用防护 入侵检测 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 查看和处理入侵告警事件 主机安全告警事件概述 容器安全告警事件概述 查看和处理容器告警事件 未防护资产的免费体检 对未开启防护的主机提供每周一次的免费扫描体检，针对频繁出现的漏洞、口令、资产风险生成安全报告供查看。 发布区域：全部。 未防护资产的免费体检 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 实时监控全盘新增文件及运行中的进程，有效把控新增文件的风险，动态生成诱饵文件进行主动诱捕，精准识别勒索软件，同时可自定义策略对服务器进行定期备份。 发布区域：全部。 开启勒索病毒防护 防护策略管理 关闭防护管理 仅旗舰版支持 文件隔离箱管理 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 发布区域：全部。 管理文件隔离箱 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 查看云服务器变更详情 查看历史变更文件 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看策略组 创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 定时开启网页防篡改 开启动态网页防篡改 查看网页防篡改报告 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加防护目录 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 发布区域：全部。 配置登录白名单 管理告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启告警通知 主机分类管理 您可以创建服务器组，并将主机分配到服务器组，将主机进行分类管理。 您户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 管理服务器组 订阅安全报告 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 订阅主机安全报告 创建安全报告 Agent批量安装 指导您完成服务器Agent的批量安装操作，创建批量安装后系统将自动执行Agent安装操作，安装后才可以对目标服务器开启防护。 发布区域：全部。 批量安装Agent

可能原因 云服务器未分配公网IP。 弹性公网IP的带宽超限。 公网ISP运营商的劫持或者封堵。 Windows云服务器的异常行为，导致安全策略禁止该机器的外网访问。 Windows云服务器安全组配置不正确。 Windows云服务器系统性能问题。 Windows云服务器的防火墙阻拦。 Windows云服务器安装了第三方杀毒软件，杀毒软件做了外网阻拦。 Windows云服务器受病毒或木马影响。 Windows云服务器网络配置错误。

主机对外攻击预警，怎么处理？ 你好，您的主机可能中了木马病毒，建议您重装系统，并设置强口令加固服务器及phpstudy、Redis等应用。 设置系统所有账号为符合规范的强密码，不要使用默认密码，或存在键盘特征的密码。 根据业务配置安全组策略，非公开的业务端口建议设置固定的来源IP，避免不必要的端口暴露在公网。 及时升级系统及应用的最新补丁。 定期备份数据。 删除或重命名phpmyadmin文件夹。

Windows操作系统云服务器 在管理控制台远程登录云服务器。 以Windows2012操作系统云服务器为例。 打开“运行”窗口，输入“perfmon -res”。 图1 打开资源监视器 在“资源监视器”中，单击“CPU”或“网络”，查看CPU占用率或带宽使用情况。 查看带宽占用率较高的进程名。 如果消耗带宽较多的进程为业务进程，建议您变更云服务器的配置。 如果消耗带宽较多的进程为异常进程，可能是病毒或木马导致，建议您可以自行终止进程或者使用安全软件进行查杀。

编解码插件质检 编解码插件的质检用于检验编解码是否可以正常使用。 获取编解码插件检测工具。 将检测工具“pluginDetector.jar”、Profile文件的“devicetype-capability.json”和需要检测的编解码插件包“package.zip”和tool文件夹放在同一个目录下。 获取设备数据上报的码流，并在检测工具的“data report”页签，将码流以十六进制格式输入，例如：AA72000032088D0320623399。 点击检测工具的“start detect”，查看解码后的json数据。 日志文本框会打印解码数据，如果提示“report data is success”，表示解码成功。 如果提示“ERROR”，表示解码出现错误。 当解码成功后，检测工具会继续调用编解码插件包的encode方法，对应答消息进行编码。 当提示“encode ack result success”时，表示对设备的应答消息编码成功。 获取应用服务器下发的命令（应用服务器通过调用物联网平台的“创建设备命令”接口进行命令下发），并在检测工具的“data report”页签输入。 点击检测工具的“start detect”，检测工具会调用encode接口对控制命令进行编码。 如果提示“encode cmd result success”，表示对命令编码成功；如果提示“ERROR”，表示对命令编码出现错误。 命令示例： { "identifier": "123", "msgType": "cloudReq", "serviceId": "NBWaterMeterCommon", "cmd": "SET_DEVICE_LEVEL", "mid": 2016, "paras": { "value": "10" }, "hasMore": 0 } 获取设备命令执行结果上报的码流，并在检测工具的“data report”页签，将码流以十六进制格式输入，例如：AA7201000107E0。 点击检测工具的“start detect”，查看解码后的Json数据。 日志文本框会打印解码数据，如果提示“report command result success”，表示解码成功；如果提示“ERROR”，表示解码出现错误。

怎样检查域名解析是否生效？ 方法一：使用查询命令检测是否生效 ping 域名 nslookup -qt=类型 域名 dig -t 类型 域名 具体的操作方法请参考： 使用Ping命令检查域名解析是否生效（适用于Windows、Linux操作系统主机） 使用nslookup命令检查域名解析是否生效（适用于Windows、Linux操作系统主机） 使用dig命令检查域名解析是否生效（适用于Linux操作系统主机） 方法二：使用自助域名检测工具 如图1所示，在域名检测工具中输入域名进行查询，如果返回信息和设计的解析记录集一致，则表示该域名解析已经生效。 华为云暂未提供自助域名检测工具，您可以自行搜索公开的自助域名检测工具使用，或使用•方法一：使用查询命令检测是否生效。 图1 自助域名检测工具

修订记录 发布日期 修改记录 2022-08-02 第五十次正式发布。 本次更新说明如下： 新增配置基线检查功能所需的权限章节内容。 新增工作空间、数据接入章节内容，支持数据接入以及对接入数据进行分析。 2022-07-04 第四十九次正式发布。 本次更新说明如下： 更新总览章节内容，新增了漏洞类型的描述。 新增处理基线检查结果章节内容，新增忽略和上报检查结果功能。 2022-06-20 第四十八次正式发布。 本次更新说明如下： 更新设置告警监控章节内容，更新图片及说明。 优化文档描述。 2022-03-18 第四十七次正式发布。 本次更新说明如下： 删除“资产管理”章节内容，资源信息统一在资源管理中呈现。 2022-02-28 第四十六次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-02-11 第四十五次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 删除了“安全编排”章节内容。 2022-01-27 第四十四次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-01-22 第四十三次正式发布。 本次更新说明如下： 新增资源管理章节，新增资源管理功能介绍。 2022-01-20 第四十二次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-01-12 第四十一次正式发布。 本次更新说明如下： 刷新安全概览章节内容，“安全看板”改为“安全概览”，功能全新升级，更新安全概览相关描述。 刷新基线检查项目章节内容，新增基线检查项目。 2021-12-29 第四十次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，新增基线检查项目描述。 新增基线检查项目章节内容。 2021-12-22 第三十九次正式发布。 本次更新说明如下： 刷新了日志管理章节，删除存储SA日志至LTS服务的内容。 删除了“日志授权”章节内容。 2021-11-11 第三十八次正式发布。 本次更新说明如下： 新增购买标准版、业务分析章节内容。 新增了标准版相关描述。 2021-09-02 第三十七次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，更新云服务基线支持区域。 2021-08-13 第三十六次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，更新云服务基线子检查项。 2021-06-25 第三十五次正式发布。 本次更新说明如下： 刷新了基线检查章节，更新云服务基线子检查项。 新增检测设置章节，新增云服务基线检查的检查计划操作步骤。 2021-04-28 第三十四次正式发布。 本次更新说明如下： 修改了日志管理、“日志授权”章节，支持将态势感知日志存储至OBS桶。 2021-04-20 第三十三次正式发布。 本次更新说明如下： 修改了检测结果章节，支持查看威胁情报溯源信息； 修改了产品集成章节，升级产品集成功能，支持接入安天威胁情报综合分析平台数据。 2021-04-09 第三十二次正式发布。 本次更新说明如下： 新增了查看安全报告章节，介绍了态势感知安全月报相关内容。 2021-03-12 第三十一次正式发布。 本次更新说明如下： 修改了购买专业版章节，删除“网站最大配额数”说明； 修改了查看主机漏洞扫描详情章节，补充前提条件说明； 修改了查看网站漏洞扫描详情章节，补充前提条件说明。 2021-02-23 第三十次正式发布。 本次更新说明如下： 修改了检测结果章节，支持统筹管理合规检查、主机漏洞等检查结果； 修改了产品集成章节，升级产品集成功能，支持接入CGS和VSS产品数据。 2021-02-09 第二十九次正式发布。 本次更新说明如下： 新增了分析报告章节，支持自定义安全分析报告。 2020-12-24 第二十八次正式发布。 本次更新说明如下： 修改了检测结果章节，支持删除自定义过滤场景； 修改了产品集成章节，升级产品集成功能，支持接入云堡垒机数据，并支持查看数据上报的状态。 2020-10-21 第二十七次正式发布。 本次更新说明如下： 新增了检测结果章节，集中管理检测结果，支持自定义过滤场景； 新增了产品集成章节，集成安全产品，管理检测结果的数据来源。 2020-10-10 第二十六次正式发布。 本次更新说明如下： 修改了购买专业版章节，购买页改版； 修改了增加资产配额章节，购买页改版。 2020-09-29 第二十五次正式发布。 本次更新说明如下： 修改了告警概述章节，接入WAF告警事件，新增22种子告警项。 2020-08-28 第二十四次正式发布。 本次更新说明如下： 新增了专业版管理章节，Console新增专业版管理窗口，支持按需转包周期； 修改了“安全编排”章节，补充背景介绍说明。 2020-08-13 第二十三次正式发布。 本次更新说明如下： 修改了应急漏洞公告章节，新增导出安全公告列表功能； 修改了日志管理章节，新增“查看日志”说明。 2020-07-23 第二十二次正式发布。 本次更新说明如下： 新增了漏洞管理概述章节，介绍漏洞管理主要功能范围； 修改了应急漏洞章节，应急漏洞功能改版，接入安全公告数据。 2020-07-10 第二十一次正式发布。 本次更新说明如下： 新增了“云服务基线概述”章节，新增17类云服务基线子检查项。 2020-07-09 第二十次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，新增“按需计费”模式和“自动续费”功能； 修改了告警概述章节，新增7种“异常行为”告警事件的子告警项。 2020-06-11 第十九次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，取消购买时长选择限制。 修改了“查看主机资产安全状态”章节，新增“旗舰版”主机防护版本。 2020-06-08 第十八次正式发布。 本次更新说明如下： 新增了权限管理章节，介绍授权使用SA、SA自定义策略、权限相关授权项等内容。 2020-05-09 第十七次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，优化参数说明。 修改了告警概述章节，列表说明可检测的威胁攻击事件。 2020-04-08 第十六次正式发布。 本次更新说明如下： 修改了告警概述章节，新增导出近180天威胁告警功能。 2020-03-30 第十五次正式发布。 本次更新说明如下： 新增了安全概览章节，安全态势总览全新上线，原“总览”页面功能下线； Console切UI4.0，修改全量示例图。 2020-02-20 第十四次正式发布。 本次更新说明如下： 新增“实施编排策略”中“执行阶段说明”。 2019-12-16 第十三次正式发布。 本次更新说明如下： 新增日志管理章节； 新增“日志授权”章节。 2019-09-20 第十二次正式发布。 本次更新说明如下： 修改“综合态势感知”章节，增加示意地图说明； 修改“主机安全态势”章节，增加示意地图说明。 2019-08-30 第十一次正式发布。 本次更新说明如下： 新增服务操作入口插图，以及修改相关内容描述； 修改告警概述章节； 新增DDoS章节； 新增暴力破解章节； 新增Web攻击章节； 新增后门木马章节； 新增漏洞攻击章节； 新增僵尸主机章节； 新增异常行为章节； 新增命令与控制章节。 2019-08-23 第十次正式发布。 本次更新说明如下： 修改主机授权章节； 删除“Linux主机授权”章节； 删除“Windows主机授权”章节。 2019-08-09 第九次正式发布。 本次更新说明如下： 增加购买态势感知专业版章节。 2019-07-11 第八次正式发布。 本次更新说明如下： 增加“主机安全态势”章节； 增加告警监控设置章节； 增加深度专业的漏洞扫描章节。 2019-02-20 第七次正式发布。 本次更新说明如下： 增加“Windows主机授权”章节； 修改“网站资产安全”章节； 修改查看主机漏洞扫描详情章节； 修改“Linux主机授权”章节； 修改“云服务基线”章节。 2019-02-01 第六次正式发布。 本次更新说明如下： 增加“安全编排”章节； 修改查看主机漏洞扫描详情章节； 修改查看网站漏洞扫描详情章节； 修改应急漏洞章节。 2018-11-06 第五次正式发布。 2018-10-16 第四次正式发布。 2018-09-06 第三次正式发布。 2018-08-06 第二次正式发布。 2018-04-24 第一次正式发布。

使用工具定位模组通信问题 IoT Studio在与物联网平台连通使用时，可使用通信模组检测工具快速定位Quectel_BC35-G&BC28&BC95模组与云端连通性问题，提高开发效率。本节将以“小熊派开发板”为例，介绍如何使用通信模组检测工具定位常见问题，如设备无法上线，数据上报不成功等。 单击菜单栏中的“工具 > 通信模组检测工具”或直接单击工具栏中的图标，打开通信模组检测工具。 单击“串口配置”。 获取PC与开发板连接的实际端口号。选择“控制面板 > 硬件和声音 > 设备管理器 ”，在“端口”子菜单下，找到连接设备的串口号，如COM27。 在“串口配置”界面，“端口”选择3获取的与开发板连接的端口号，如“COM27”；“波特率”配置为“9600”，然后单击“应用”。 将与PC连接的通信模组上的开关拨至PC侧。 单击“开始测试”，若通信正常，测试结果如下。 模组与物联网平台通信异常场景： 串口打开失败 测试结果为“串口打开失败”，请检查串口配置是否正确，即端口号是否为实际端口号，波特率是否设置为“9600”。 模组连接异常/模组损坏 测试结果为“AT指令无法正常发送”，请检查开发板上的开关是否已拨至PC侧、模组是否损坏、以及模组是否正确的插入卡槽。 SIM卡未正确插入卡槽 测试结果为“设置终端射频电路启用完整功能失败”，请检查开发板上的SIM卡是否正反面或者方向插错，以及SIM卡的有效性。 模组未在物联网平台注册 测试结果为“LWM2M协议信息注册状态：REJECTED_BY_SERVER”，请在物联网平台注册该模组。

步骤三：处理主机风险 开启主机防护，并处理主机风险，如图3所示。 图3 处理主机风险 若您的主机没有全部开启主机安全防护，为了保证主机的安全性，请将主机全部开启主机防护，详细操作请参见开启防护。 根据各类告警事件统计，批量处理实时入侵事件，如图4所示。详细操作请参见查看和处理告警事件。 图4 实时入侵事件 告警事件展示在“事件管理”页面中，事件管理列表仅展示最近30天的告警事件，您可以根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。 表3 处理告警事件 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件将不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 有以下两类告警事件支持线上隔离查杀。 恶意程序（云查杀） 进程异常检测 说明： 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，请在24小时内执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“账号暴力破解”和“账户异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。 反弹Shell Webshell检测 进程异常行为检测 进程提权 文件提权 高危命令 恶意程序 修复漏洞，请根据界面提供的修复建议进行手动修复，如图5所示。 图5 修复漏洞 评估漏洞 企业主机安全可以检测主机漏洞，并参考官方提供的漏洞分值评出修复紧急度，紧急度由高到低依次为：需立即修复、可延后修复、暂可不修复。 “需立即修复”的漏洞存在严重的安全风险，建议用户评估漏洞影响性之后尽快修复。 “可延后修复”以及“暂可不修复”的漏洞对操作系统安全性没有直接影响，建议用户评估漏洞影响性之后，根据主机操作系统或者软件版本的升级计划来安排漏洞修复计划。 “忽略”修复漏洞：某些漏洞只在特定条件下存在风险，如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。 例如：某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在威胁，则忽略该漏洞。 修复漏洞 您可以根据漏洞信息判断该漏洞是否存在威胁，并确定该漏洞是否需要修复或者忽略。 若需要修复漏洞，请根据“解决方案”提供的修复建议，进行控制台一键修复漏洞，或者手动修复漏洞，如图5所示。 关于漏洞修复的详细操作请参见漏洞修复。 为了避免漏洞修复失败导致数据丢失，请在执行漏洞修复前备份主机中的数据和配置信息。 若需要忽略漏洞，请单击“影响服务器”页签，查看该漏洞影响的服务器，在受影响服务器所在行单击“忽略”，忽略该漏洞，如图6所示。 图6 影响的服务器 处理高危配置风险，进入“基线检查”页面，根据修复建议，逐个对主机进行“口令风险”和“配置风险”修复，如图7所示。 图7 处理高危配置风险 检测高危配置风险 企业主机安全提供的基线检测功能将检测主机中的口令复杂度策略，主机系统和关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 关于基线检查的详细说明请参见基线检查功能介绍。 处理高危配置风险 表4 解决高危配置风险 风险项 风险说明 解决方法 存在弱口令 使用弱口令的账户被破解成功的风险非常高，需要高度重视。弱口令检测可检测出主机系统中使用弱口令的账户，您可以在控制台查看主机中的口令风险。 弱口令并没有严格和准确的定义，从安全领域来看，容易被猜到或者被暴力破解的口令都是弱口令。 弱口令通常具有以下特征： 口令长度太短、太简洁 口令全部或大部分字符串已经出现在网络中的密码字典中或相关列表中 口令中携带了个人信息 如果您的主机被检测出弱口令风险，建议您立即修改为安全性更高的口令。 详细操作请参见如何设置安全的口令。 口令复杂度策略太简单 如需监测Linux主机中的口令复杂度策略，请先在主机中安装PAM（Pluggable Authentication Modules），详细操作请参见如何为Linux主机安装PAM？。 修改Linux主机中口令复杂度策略的详细操作请参见如何在Linux主机上设置口令复杂度策略。 修改Windows主机中口令复杂度策略的详细操作请参见如何在Windows主机上设置口令复杂度策略。 建议用户按照提示修改口令复杂度策略。 采用更安全的复杂度策略之后，新增或者修改账户的口令时，口令复杂度会按照策略要求执行限制，提高新口令的安全性。 存在不安全配置项 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 请根据“修改建议”处理主机中的异常信息。 详细操作请参见处理关键配置项。 清点资产，如图8所示。 每日凌晨定期收集并展示服务器的各项资产信息，包括：账号信息、对外端口监听、进程运行、Web目录、软件信息、自启动项，并对变动信息进行记录，便于用户对资产风险、资产变动进行排查，降低安全风险。 图8 清点资产 表5 资产管理 资产管理项 解决方法 账号信息 根据实时账号数据和历史变动记录，您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号，或者发现有超级权限的账号（拥有root权限），需要排查这些账号是否是正常业务使用，如果不是则建议删除多余账号或者修改账号的权限，避免账号被黑客利用。 开放端口 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 进程信息 根据进程检测结果中的详细信息，您可以快速查看主机中可疑的应用进程，并及时终止可疑的应用进程。 Web目录 HSS能够检测出主机中存在的Web目录，您可以根据检测结果及时发现主机中可能含有风险的Web目录，及时删除可疑的Web目录并终止可疑的进程。 软件信息 根据实时软件数据和历史变动记录，您可以统一管理所有主机中的软件信息。若发现主机中的软件版本过低或存在可疑的软件，您可以及时升级低版本的软件或删除可疑和无需使用的软件。 自启动 您可以查看自启动项对应的服务器名称、路径、文件HASH和最后修改时间，及时发现并清除木马程序问题。

机非人业务字段说明参考 表1 车牌颜色枚举值 释义 车牌颜色枚举值 释义 1 蓝底白字 9 白底红字 2 黄底黑字 10 蓝底白字 3 白底黑字 11 白底蓝字 4 黑底白字 12 白底黄字 5 绿底白字或者绿底黑字 13 白底绿字 6 渐变绿底黑字 14 白底灰字 7 黄绿双拼底黑字 15 灰底黑字 8 红底白字 表2 车辆类型枚举值 释义 车辆类型枚举值 释义 1 轿车 19 轻客 2 货车 20 小型SUV 3 面包车 21 紧凑型SUV 4 客车 22 中型SUV 5 小货车 23 中大型SUV 6 SUV 24 大型SUV 7 中型客车 25 微型面包车 8 摩托车-非机动车 26 MPV 9 行人 27 轿跑 10 校车 28 微卡 11 泥头车-渣土车 29 皮卡 12 高危车 30 中卡 13 骑行人 31 轻卡 14 微型轿车 32 重卡 15 小型轿车 33 出租车 16 紧凑型轿车 34 油罐车 17 两厢轿车 35 吊车 18 三厢轿车 36 海外摩托车 表3 车辆颜色枚举值 释义 车辆颜色枚举值 释义 1 白色 8 棕色 2 灰色（银色） 9 黑色 3 黄色 10 紫色 4 粉色 11 桔色 5 红色 12 青色 6 绿色 13 金色 7 蓝色 14 银色 表4 车款枚举值 释义 车款枚举值 释义 车款枚举值 释义 车款枚举值 释义 1 GMC 2 Jeep 3 MG 4 MINI 5 smart 6 一汽 7 三菱(东南) 8 三菱 9 上汽大通 10 东南 11 东风 12 东风小康 13 东风风度 14 东风风神 15 东风风神 16 中兴 17 中华 18 中顺 19 丰田 20 五十铃 21 五菱汽车 22 众泰 23 依维柯 24 保时捷 25 克莱斯勒 26 兰博基尼 27 凯迪拉克 28 别克 29 力帆 30 北京汽车 31 北汽制造 32 北汽威旺 33 华普 34 华泰 35 华泰（现代） 36 双环 37 双龙 38 吉利 39 启晨 40 哈飞 41 大众 42 大发 43 奇瑞 44 开瑞 45 奔驰 46 奥迪 47 威麟 48 宝马 49 宝骏 50 中通 51 北方 52 华西 53 友谊 54 四川现代 55 宇通 56 安凯 57 少林 58 扬子江 59 江淮 60 梅洛 61 福田 62 穗通 63 金旅 64 金龙 65 长安 66 青年 67 黄海 68 宾利 69 广汽传祺 70 广汽吉奥 71 悍马 72 捷豹 73 斯巴鲁 74 斯柯达 75 日产 76 昌河 77 本田 78 林肯 79 标志 80 欧宝 81 比亚迪 82 永源 83 汇众 84 江铃 85 沃尔沃 86 法拉利 87 海马 88 斯特拉 89 猎豹汽车 90 玛莎拉蒂 91 现代 92 现代或黄海 93 理念 94 瑞麒 95 福特 96 福迪 97 纳智捷 98 英菲尼迪 99 荣威 100 莲花 101 菲亚特 102 讴歌 103 三一重工 104 东风或者南郡或者大运 105 东风柳汽 106 中国重汽 107 五征或者飞碟 108 凯马 109 北京 110 北京威龙 111 北奔 112 北奔重卡 113 北汽 114 华棱 115 南郡或者东风 116 唐骏 117 大运 118 广汽田野 119 精工重卡 120 红岩 121 解放 122 跃进 123 金杯 124 陕汽 125 霸龙重卡 126 飞碟 127 起亚 128 路虎 129 道奇 130 铃木 131 长城 132 长安商用 133 陆风 134 雪佛兰 135 雪铁龙 136 雷克萨斯 137 雷诺 138 风驰 139 马自达 140 黄海（北京） 141 三轮车 142 五菱 143 华泰（现代） 144 吉利金球鹰 145 吉利帝豪 146 奔腾 147 广汽 148 猎豹 149 红旗 150 金杯或福田 151 重汽豪沃 152 北汽绅宝 153 广汽日野 154 黑豹 155 东风客车 156 哈弗 157 黄海客车 158 时代汽车 159 DS 160 欧曼 161 驭胜 162 成功汽车 163 北汽幻速 164 启辰 165 莲花汽车 166 东风风光 167 重汽王牌 168 联合卡车 169 衡山 170 福汽启腾 171 陕汽重卡 172 思铭 173 安源客车 174 申龙客车 175 中车时代 176 北汽新能源 177 齐鲁客车 178 南骏汽车 179 东风超车客车 180 奥驰汽车 181 庆铃 182 斯堪尼亚 183 重汽HOWO轻卡 184 九龙 185 搅拌车 186 厢式车 187 栏板车 188 其他 189 油罐车 190 大运重卡 191 上汽依维柯红岩 192 一汽通用 193 五洲龙客车 194 知豆 195 扬子江汽车 196 申沃客车 197 宝沃 198 汉腾汽车 199 潍柴英致 200 凯翼 201 SWM斯威汽车 202 野马汽车 203 华硕 204 观致 205 大运轻卡 206 一汽柳特 207 重汽豪瀚 208 重汽重汽汕德卡 209 重汽斯太尔 210 WEY 211 腾势 212 比速汽车 213 阿斯顿马丁 214 萨博 215 陕汽通家 216 康迪全球鹰 217 长安跨越 218 卡威 219 南京金龙 220 广客 221 皮卡 222 迈凯伦 223 校车 224 领克 225 缔途 226 劳斯莱斯 227 公共巴士 228 未知 229 吊车 230 阿尔法罗密欧 231 GMC

开启Robot检测（识别User-Agent） 开启Robot检测后，WAF可以检测和拦截恶意爬虫、扫描器、网马等威胁。 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 在您需要防护的域名所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护配置”页面，确认“Web基础防护”的“状态”为，如图1所示。 图1 Web基础防护配置框 单击“高级设置”，在“防护配置”页面，开启“常规检测”和“Webshell”检测开关。 在“网站反爬虫”配置框中，用户可根据自己的需要参照图2更改网站反爬虫的“状态”，单击“网站反爬虫设置”，进入网站反爬虫规则配置页面。 图2 网站反爬虫配置框 在“特征反爬虫”页面，开启Robot检测开关，如图3所示。 图3 开启特征反爬虫 当WAF检测到恶意爬虫、扫描器等对网站进行爬取时，将立即拦截并记录该事件，您可以在“防护事件”页面查看爬虫防护日志。

为什么选择弹性云服务器 丰富的规格类型：提供多种类型的弹性云服务器，可满足不同的使用场景，每种类型的弹性云服务器包含多种规格，同时支持规格变更。 丰富的镜像类型：可以灵活便捷的使用公共镜像、私有镜像或共享镜像申请弹性云服务器。 丰富的磁盘种类：提供普通IO、高IO、通用型SSD、超高IO、极速型SSD性能的硬盘，满足不同业务场景需求。 灵活的计费模式：支持包年/包月、按需计费以及竞价计费等模式购买云服务器，满足不同应用场景，根据业务波动随时购买和释放资源。 数据可靠：基于分布式架构的，可弹性扩展的虚拟块存储服务；具有高数据可靠性，高I/O吞吐能力。 安全防护：支持网络隔离，安全组规则保护，远离病毒攻击和木马威胁；Anti-DDoS流量清洗、Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。 弹性易用：根据业务需求和策略，自动调整弹性计算资源，高效匹配业务要求。 高效运维：提供控制台、远程终端和API等多种管理方式，给您完全管理权限。 云端监控：实时采样监控指标，提供及时有效的资源信息监控告警，通知随时触发随时响应。 负载均衡：弹性负载均衡将访问流量自动分发到多台云服务器，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 更多选择理由，请参见弹性云服务器的优势和弹性云服务器应用场景。

Web攻击事件 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。

产品规格差异 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 VSS各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 表1 VSS各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 配额内的服务免费 按需计费 基础版配额内仅支持Web网站漏洞扫描（域名个数：5个，扫描次数：5个域名每日总共可以扫描5次）是免费的。 基础版提供的以下功能按需计费： 可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 主机扫描一次最多支持20台主机。 产品价格详情 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 高级版 企业版 表2 VSS各服务版本功能说明 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ CVE漏洞扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 扫描完毕短信通知 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √ 表3 VSS各服务版本支持的扫描配额说明 版本 域名/IP个数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次。 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明： 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明： 更高并发需要，请提交工单联系专业工程师为您服务。

Web攻击事件 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。

隐私保护遵从包 当前可选择的安全遵从包如表1所示，租户依据判定指引选择并订阅安全遵从包。 表2 遵从包名称 描述 适用区域 分类 领域 判定指引 马来西亚隐私保护遵从包 该遵从包依据《马来西亚个人数据保护法》2010年（Personal Data Protection Act，2010，简称“PDPA”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 马来西亚 法律法规 隐私保护 您是否涉及在马来西亚境内设立组织处理或授权处理商业交易有关的任何个人数据？ 您是否涉及使用马来西亚的设备收集处理商业交易有关的任何个人数据？ 您是否期望对您在马来西亚PDPA下的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 印度尼西亚隐私保护遵从包 该遵从包依据2008年第11号《电子信息和交易法》（EIT）、2019年第71号政府条例（GR71/2019）、 2016年第20号关于《电子系统中个人数据保护》的条例（MOCI 20/2016），提供检查项和评测指引供云计算客户（在本遵从包中也称作“企业”）自评遵从情况，并为您的企业处理个人数据的有关活动提供指引。 印度尼西亚 法律法规 隐私保护 您是否涉及在印度尼西亚境内或境外从事与印尼国民个人数据有关的活动？包括使用电子设备或程序收集、处理、分析、储存、显示、发送或分发个人数据。 您是否期望对您在印度尼西亚的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 巴基斯坦隐私保护遵从包 该遵从包依据《巴基斯坦个人数据保护法案》2020年（Personal Data Protection Act, 2020.），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 巴基斯坦 法律法规 隐私保护 您是否涉及处理、控制或被授权处理个人数据？此类个人数据由在巴基斯坦境内的任何数据主体、数据控制者或处理者（本国或外国）提供。 您是否期望对您在巴基斯坦的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 阿根廷隐私保护遵从包 该遵从包依据《阿根廷第25,326号个人数据保护法》2000年（Argentina Personal Data Protection Act 25,326，2000，简称“PDPL”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，指导您的企业对收集、存储的客户个人数据进行适当地保护。 阿根廷 法律法规 隐私保护 您是否涉及在阿根廷境内对个人或法律实体（位于阿根廷或在阿根廷设有办事处、分支机构）个人数据的处理行为，包括通过文件、录音录像、数据库或其他数据处理技术手段记录个人数据？ 您是否期望对您在阿根廷PDPL下的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 智利隐私保护遵从包 该遵从包依据《智利个人数据保护法》2020年（Law No.19,628），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 智利 法律法规 隐私保护 您是否涉及公共机构或私人对登记册或数据库中的个人数据的处理？ 说明： 智利个人数据保护法没有对适用的“地域范围”进行规定。是否适用智利个人数据保护法或者是否受智利法律的管辖，在上述场景涉及的情况，建议考虑以下两点： 数据处理活动是否在智利领土范围有关联，例如在智利境内进行的搜集、储存数据。 数据处理活动是否与智利居民（包括法人、自然人）有关联。 您是否期望对您在智利的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 菲律宾隐私保护遵从包 该遵从包依据《菲律宾数据隐私法案》2012年（Data privacy Act of 2012,简称“DPA”）、《菲律宾数据隐私法案实施细则》（Implementing Rules and Regulations of the Data privacy Act of 2012,简称“DPA实施细则”）、以及《关于个人数据泄露管理的通知》（NPC Circular 16-03-Personal Data Breach Management），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 菲律宾 法律法规 隐私保护 您是否涉及在菲律宾境内通过办公室、分支机构或代理进行的个人数据处理行为？ 您是否涉及使用位于菲律宾境内的设备进行的个人数据处理行为？ 您是否涉及发生在菲律宾境外但针对菲律宾居民或公民进行的个人数据处理行为？ 您是否期望对您在菲律宾DPA、DPA实施细则下的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 中国-澳门隐私保护遵从包 该遵从包依据《澳门个人资料保护法》2005年（Personal Data Protection Act，2005，简称“PDPA”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 中国-澳门 法律法规 隐私保护 您或者您的企业是否涉及如下场景之一： 以全部或部分自动化方式进行个人资料（在本遵从包中也称作“个人数据”）处理活动； 以非自动化方式进行的，构成或拟构成人工存档系统的一部分的个人资料的处理活动； 使用监控录像或其它设备来捕捉、处理和传播可用以识别某一特定个人的声音和图像。 说明： 澳门个人资料保护法没有对适用的“地域范围”进行规定。是否适用澳门PDPA或者是否受澳门法律的管辖，在上述3个场景涉及的情况，建议考虑以下两点： 资料处理活动是否在澳门特区领土范围有关联，例如在澳门特区内进行的个人资料搜集、储存的行为； 资料处理活动是否与澳门居民（包括法人、自然人）有关联。 您是否期望对您在澳门的个人资料处理方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 中国-大陆隐私保护遵从包 该遵从包依据《中国个人信息安全规范》2020年的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，为企业提供开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的安全要求，并给出了隐私保护方面的改进建议，帮助您的企业提升个人信息保护水平。 中国大陆 法律法规 隐私保护 您是否涉及在中国大陆境内进行个人数据的收集、使用或披露等个人信息处理活动？ 您是否期望对您在中国个人信息安全规范下的个人信息安全风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 中国-香港隐私保护遵从包 该遵从包依据《香港个人资料（私隐）条例》1995年（Personal Data （Privacy ）Ordinance，1995，简称PDPO）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，指导您的企业如何收集、存储、传输、处理和使用收集到的个人数据，并给出了隐私保护方面的改进建议，帮助您的企业提升隐私保护及信息安全水平。 中国香港 法律法规 隐私保护 您是否涉及对一名在世人士有关及可确定个人身份的资料，以可供查阅及处理的方式记录下来？ 说明： 香港PDPO没有对适用的“地域范围”进行规定，是否适用中国香港PDPO，建议结合以下条件考虑：您是否涉及作为香港境内的资料使用者（在本遵从包中也称作“数据控制者”）收集、使用、或处理个人资料（在本遵从包中也称作“个人数据”）？ 您是否期望对您在香港PDPO下的个人资料处理相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 新加坡隐私保护遵从包 该遵从包依据《新加坡个人数据保护法》2012年（Personal Data Protection Act，2012，简称PDPA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您的企业规范个人数据的收集、使用或披露，以及提升个人保护其个人信息数据各项权利的意识。 新加坡 法律法规 隐私保护 您是否涉及在新加坡境内进行个人数据的收集、使用或披露等个人信息处理活动？ 您是否期望对您在新加坡个人数据保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 泰国隐私保护遵从包 该遵从包依据《泰国个人数据保护法 B.E.2562》 2019年（Personal Data Protection Act B.E.2562 2019, 简称PDPA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助企业全面管理数据保护以及个人数据的收集、保护、使用、存储、披露、传输。 泰国 法律法规 隐私保护 您是否涉及在泰国境内收集、保护、使用、披露、传输和其他处理个人数据的情形？ 您是否涉及对位于泰国境内的个人数据主体从事以下活动： 您向泰国境内的数据主体提供服务，无论是否由该数据主体支付费用 监控数据主体的行为，且该监控发生在泰国境内 您是否期望对您在泰国个人数据保护法下的个人数据保护风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 南非隐私保护遵从包 该遵从包依据《南非个人信息保护法》2013年（Protection of Personal Information Act，2013，简称POPIA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，保护企业处理的个人信息。 南非 法律法规 隐私保护 您的企业是否设立在南非境内，并涉及处理个人信息？ 若您的企业不设立在南非境内，是否涉及在南非境内通过自动或非自动手段处理个人信息？ 您是否期望对您在南非个人信息保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 墨西哥隐私保护遵从包 该遵从包根据《墨西哥保护私人实体持有的个人数据联邦法》2010年（The Federal Law on the Protection of Personal Data held by Private Parties，2010，简称PPDPP）、《墨西哥保护私人实体持有的个人数据联邦法实施细则》2011年（Regulations to the Federal Law on the Protection of Personal Data held by Private Parties，2011）、《墨西哥联邦消费者保护法》2004年（Federal Consumer Protection Law，2004）、《墨西哥保护义务主体持有的个人数据联邦法》2017年（The General Law for the Protection of Personal Data in Possession of Obligated Subjects，2017）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，为您的企业提供了处理个人数据时可参照的安全保护要求。 墨西哥 法律法规 隐私保护 您或者您的企业是否涉及在物理或电子媒体中的个人数据的处理？ 说明： 墨西哥PPDPP没有对适用的“地域范围”进行规定，根据该法的相关条例中对于该条例的处理所发生的“领土范围”的补充，是否适用墨西哥PPDPP，在上述场景涉及的情况下，建议考虑以下几点： 该处理是在您作为数据控制者的位于墨西哥的机构中进行的。 该处理是由您作为数据处理者代表在墨西哥设立的数据控制者进行的，无论其位置。 您的企业未在墨西哥设立机构，但由于提供服务/产品签订了合同或根据国际条约而受墨西哥法律的约束。 您的企业未在墨西哥设立机构，但使用位于墨西哥的媒介，除非这些媒介仅用于不涉及处理的过境目的。 您是否期望对您在墨西哥的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 巴西隐私保护遵从包 该遵从包根据《巴西2020年通用数据保护法》（in Portuguese，LGPD, Lei Geral de Proteção de Dados，2020，简称LGPD）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您在进行个人数据的收集、使用、处理和存储时提供安全遵从要求。 巴西 法律法规 隐私保护 您是否在巴西境内进行个人信息处理的操作？ 若您的企业不设立在巴西境内，但以提供货物或服务为目的处理位于巴西境内的个人数据？ 若您的企业不设立在巴西境内，但所处理的个人数据在巴西境内收集？ 您是否期望对您在巴西通用数据保护法下的个人数据保护风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 秘鲁隐私保护遵从包 该遵从包根据《秘鲁个人数据保护法》2011年（Personal Data Protection Law，2011，简称PDPL）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您在进行个人数据的收集、使用、处理和存储时提供安全遵从要求。 秘鲁 法律法规 隐私保护 您是否涉及在秘鲁国家领土内进行的个人数据处理活动？ 若您的企业不设立在秘鲁境内，但是根据合同规定、秘鲁的特定法律或者国际法相关规定，个人数据处理活动仍受秘鲁个人数据保护法的适用？ 若您的企业不设立在秘鲁境内，但是数据处理活动使用的工具或手段位于秘鲁境内，除非使用该工具仅出于传输数据的目的？ 您是否期望对您在秘鲁个人数据保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。

跨云备份涉及到的主要云服务与软件 跨云备份涉及到的主要云服务与软件如表1所示。 表1 跨云备份涉及到的主要云服务与软件 云服务/软件名称 作用 主要能力 ECS 备份服务器和介质服务器， 主要用于管理备份和连接OBS存储。 故障自动迁移，服务可用性达99.95%；数据多副本，数据持久性达99.9999999%；支持云服务器和云硬盘的备份及恢复。 100%网络隔离，安全组规则保护，远离病毒攻击和木马威胁；Anti-DDos流量清洗、Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。 DES 大量备份文件首次上云的传输。 TB至PB级的数据搬运上云。 OBS 备份存储的载体。 99.9999999999%（12个9）数据持久性，并支持跨AZ存储。 爱数 提供备份软件Anybackup。 备份。

防护类型简介 提升云服务器的安全性，分为云服务器“外部安全防护”和“内部安全防护”两方面。 表1 提升云服务器安全的方法 类型 说明 防护方法 外部安全防护 常见的DDoS攻击、木马或病毒的入侵都是常见的外部安全问题。针对这类问题有多种常见的防护方案，例如开启主机安全防护、DDoS原生基础防护您可以根据您的实际业务选择合适的防护方案。 开启主机安全防护 监控云服务器 开启防DDoS攻击 定期备份数据 内部安全防护 弱密码、开放错误的端口都可能引起内部安全防护问题，不提升云服务器的内部安全防护，外部安全防护方案就无法有效的拦截和阻断各种外部攻击。 增加登录密码的强度 提升云服务器的端口安全 定期升级操作系统

回调方法参数说明： (ret: SDKERR, reason: string, confListInfo: ConfListInfo) => void 表2 入参说明 参数名称 参数类型 参数说明 ret SDKERR请参考错误码参考 错误码 reason string 错误描述 confListInfo ConfListInfo 会议列表信息 表3 ConfListInfo 参数名称 参数类型 参数说明 confListSize number 会议列表参数信息的长度。 confListItem ConfListItem 会议列表参数信息。 表4 ConfListItem 参数名称 参数类型 参数说明 confId string 会议ID。 subject string 会议主题。 hostPwd string 主席密码。 guestPwd string 来宾密码。 audiencePwd string 观众密码。(仅对win平台生效) startTime number 会议开始时间(utc时间)，单位秒。 endTime number 会议结束时间(utc时间)，单位秒。 timezone Timezone 时区码(仅对win平台生效) mediaType MediaType 媒体类型 schedulerName string 会议预定者名称。 vmrConfId string 用于云会议显示的ID。 hostJoinUri string 主持人加入会议uri链接 guestJoinUri string 来宾加入会议uri链接 audienceJoinUri string 观众加入会议的链接(仅对win平台生效) confStateType ConfState 会议状态(仅对win平台生效) isWebinar boolean 是否是网络研讨会(仅对win平台生效) selfConfRole ConfRole 本人在会议中的角色 conferenceType ConferenceType 会议类型 cycleParam CycleConfParam 周期会议的参数 subConfSize number 周期子会议数量 subConfParam SubCycleConfParam 周期子会议参数 表5 Timezone枚举说明 枚举名称 枚举值 枚举说明 HWM_TIMEZONE_DEFAULT 0 Mediax默认时区值 HWM_TIMEZONE_INTERDATE_LINE 1 日界线西 HWM_TIMEZONE_MIDWAY_ISLAND 2 中途岛，萨摩亚群岛 HWM_TIMEZONE_HAWAII 3 夏威夷 HWM_TIMEZONE_ALASKA 4 阿拉斯加 HWM_TIMEZONE_PACIFIC_TIME 5 太平洋时间(美国和加拿大);蒂华纳 HWM_TIMEZONE_ARIZONA 6 亚利桑那 HWM_TIMEZONE_MOUNTAIN_TIME 7 山地时间(美国和加拿大) HWM_TIMEZONE_CENTRAL_AMERICA 8 中美洲 HWM_TIMEZONE_CENTRAL_TIME 9 中间时间(美国和加拿大) HWM_TIMEZONE_MEXICO_CITY 10 墨西哥城 HWM_TIMEZONE_SASKATCHEWAN 11 萨斯喀彻温 HWM_TIMEZONE_BOGOTA 12 波哥大，利马，基多 HWM_TIMEZONE_EASTERN_TIME 13 东部时间(美国和加拿大) HWM_TIMEZONE_INDIANA 14 印第安纳(东部) HWM_TIMEZONE_ATLANTIC_TIME 15 大西洋时间(加拿大) HWM_TIMEZONE_CARACAS 16 加拉加斯，拉巴斯 HWM_TIMEZONE_SANTIAGO 17 圣地亚哥 HWM_TIMEZONE_NEWFOUNDLAND 18 纽芬兰 HWM_TIMEZONE_BRASILIA 19 巴西利亚 HWM_TIMEZONE_BUENOS_AIRES 20 布宜诺斯艾利斯，乔治敦 HWM_TIMEZONE_GREENLAND 21 格陵兰 HWM_TIMEZONE_MID_ATLANTIC 22 中大西洋 HWM_TIMEZONE_AZORES 23 亚速尔群岛 HWM_TIMEZONE_CAPEVERDE 24 佛得角群岛 HWM_TIMEZONE_MONROVIA 25 蒙罗维亚 HWM_TIMEZONE_GREENWICH_MEANTIME 26 格林威治标准时：都柏林，爱丁堡，里斯本，伦敦 HWM_TIMEZONE_AMSTERDAM 27 阿姆斯特丹，柏林，伯尔尼，罗马，斯德哥尔摩，维也纳 HWM_TIMEZONE_BELGRADE 28 贝尔格莱德，布拉迪斯拉发，布达佩斯，卢布尔亚纳，布拉格 HWM_TIMEZONE_BRUSSELS 29 布鲁塞尔，哥本哈根，马德里，巴黎 HWM_TIMEZONE_SARAJEVO 30 萨拉热窝，斯科普里，维尔纽斯，索非亚，华沙，萨格勒布 HWM_TIMEZONE_WESTCENTRAL_AFRICA 31 中非西部 HWM_TIMEZONE_ATHENS 32 雅典，伊斯坦布尔，明斯克 HWM_TIMEZONE_BUCHAREST 33 布加勒斯特 HWM_TIMEZONE_CAIRO 34 开罗 HWM_TIMEZONE_HARARE 35 哈拉雷，比勒陀利亚 HWM_TIMEZONE_HELSINKI 36 赫尔辛基，里加，塔林 HWM_TIMEZONE_JERUSALEM 37 耶路撒冷 HWM_TIMEZONE_BAGHDAD 38 巴格达 HWM_TIMEZONE_KUWAIT 39 科威特，利雅得 HWM_TIMEZONE_MOSCOW 40 莫斯科，圣彼得堡，喀山，伏尔加格勒 HWM_TIMEZONE_NAIROBI 41 内罗毕 HWM_TIMEZONE_TEHRAN 42 德黑兰 HWM_TIMEZONE_ABU_DHABI 43 阿布扎比，马斯喀特 HWM_TIMEZONE_TBILISI 44 第比利斯，埃里温 HWM_TIMEZONE_KABUL 45 喀布尔 HWM_TIMEZONE_EKATERINBURG 46 叶卡捷琳堡 HWM_TIMEZONE_ISLAMABAD 47 伊斯兰堡，卡拉奇，塔什干 HWM_TIMEZONE_CALCUTTA 48 加尔各答，马德拉斯，孟买，新德里 HWM_TIMEZONE_KATHMANDU 49 加德满都 HWM_TIMEZONE_ALMATY 50 阿拉木图 HWM_TIMEZONE_ASTANA 51 阿斯塔纳，达卡 HWM_TIMEZONE_SRIJAYA 52 斯里哈亚华登尼普拉 HWM_TIMEZONE_RANGOON 53 仰光 HWM_TIMEZONE_BANGKOK 54 曼谷，雅加达，河内 HWM_TIMEZONE_NOVOSIBIRSK 55 新西伯利亚 HWM_TIMEZONE_BEIJING 56 北京，重庆，香港，乌鲁木齐，台北 HWM_TIMEZONE_KRASNOYARSK 57 克拉斯诺亚尔斯克，乌兰巴托 HWM_TIMEZONE_KUALA_LUMPUR 58 吉隆坡，新加坡 HWM_TIMEZONE_PERTH 59 珀斯 HWM_TIMEZONE_OSAKA 60 东京，大阪，札幌 HWM_TIMEZONE_SEOUL 61 汉城 HWM_TIMEZONE_YAKUTSK 62 雅库茨克 HWM_TIMEZONE_ADELAIDE 63 阿德莱德 HWM_TIMEZONE_DARWIN 64 达尔文 HWM_TIMEZONE_BRISBANE 65 布里斯班 HWM_TIMEZONE_CANBERRA 66 堪培拉，墨尔本，悉尼 HWM_TIMEZONE_GUAM 67 关岛，莫尔兹比港 HWM_TIMEZONE_HOBART 68 霍巴特 HWM_TIMEZONE_VLADIVOSTOK 69 符拉迪沃斯托克 HWM_TIMEZONE_SOLOMON 70 所罗门群岛，新喀里多尼亚 HWM_TIMEZONE_AUCKLAND 71 奥克兰，惠灵顿 HWM_TIMEZONE_FIJI 72 富士，堪察加半岛，马绍尔群岛 HWM_TIMEZONE_NUKUALOFA 73 努库阿洛法 HWM_TIMEZONE_IRKUTSK 74 伊尔库茨克 HWM_TIMEZONE_CASABLANCA 75 卡萨布兰卡 HWM_TIMEZONE_BAKU 76 巴库 HWM_TIMEZONE_MAGADAN 77 马加丹 表6 MediaType枚举说明 枚举名称 枚举值 枚举说明 HWM_MEDIA_TYPE_AUDIO 0 音频类型 HWM_MEDIA_TYPE_VIDEO 1 视频类型 表7 ConfState枚举说明 枚举名称 枚举值 枚举说明 HWM_CONF_STATE_SCHEDULE 0 预定状态。 HWM_CONF_STATE_CREATING 1 正在创建状态。 HWM_CONF_STATE_GOING 2 会议已经开始。 HWM_CONF_STATE_DESTROYED 3 会议已经关闭。 表8 ConfRole枚举说明 枚举名称 枚举值 枚举说明 HWM_CONF_ROLE_ATTENDEE 0 普通与会者 HWM_CONF_ROLE_HOST 1 主席 HWM_CONF_ROLE_AUDIENCE 2 观众 HWM_CONF_ROLE_COHOST 3 联席主持人 HWM_CONF_ROLE_WAITING 4 等候室成员(仅对win平台生效) 表9 ConferenceType枚举说明 枚举名称 枚举值 枚举说明 HWM_CONF_TYPE_COMMON 0 普通会议 HWM_CONF_TYPE_CYCLE 1 周期会议 表10 CycleConfParam 参数名称 参数类型 参数说明 startDate number 开始日期-时间戳，精度秒(0时区) endDate number 结束日期-时间戳，精度秒(0时区) cycleType CycleType 周期类型 interval number 周期区间 1、周期类型选择了按天，表示每几天召开一次，取值范围 listPoints string 周期内的会议召开点。仅当按周和月时有效。数据格式(中间用逗号隔开):1,3,5,7 preRemindDays number 周期子会议提前通知天数。 表11 CycleType枚举说明 枚举名称 枚举值 枚举说明 CYCLE_TYPE_DAY 0 以天为周期 CYCLE_TYPE_WEEK 1 以周为周期 CYCLE_TYPE_MONTH 2 以月为周期 表12 SubCycleConfParam 参数名称 参数类型 参数说明 subConfID string 子会议唯一标识UUID startTime number 会议起始时间 endTime number 会议结束时间 isAutoRecord boolean 会议开始后是否自动开启录制 recordAuthType RecordAuthType 录播鉴权方式 confAllowJoinUser ConfAllowJoinUserType 允许入会范围限制。默认所有用户。 allowGuestStartConf boolean 允许来宾启动会议 表13 RecordAuthType枚举说明 枚举名称 枚举值 枚举说明 REOCRD_AUTH_TYPE_ANYONE 0 可通过连接观看/下载（不拼接nonce） REOCRD_AUTH_TYPE_IN_COMPANY_USER 1 企业用户可观看/下载 REOCRD_AUTH_TYPE_ATTENDEE 2 与会者可观看/下载 表14 ConfAllowJoinUserType枚举说明 枚举名称 枚举值 枚举说明 CONF_ALLOW_JOIN_ANYONE 0 所有用户。 CONF_ALLOW_JOIN_LOGINED_USER 1 已登录用户。 CONF_ALLOW_JOIN_IN_COMPANY_USER 2 企业内用户。 CONF_ALLOW_JOIN_INVITED_USER 3 被邀请用户。

使用必读 开发环境要求： 操作系统 工具链 当前支持的系统： ARM Linux (Embedded Linux) MIPS Linux (Embedded Linux) x86 Linux x86_64 Linux x86 Windows x86_64 Windows 需要支持以下工具链之一： gcc-linaro-arm-linux-gnueabihf-raspbian arm-none-linux-gnueabi arm-linux-uclibceabi Demo工程目录结构及文件说明： 目录结构 目录 说明 Demo │ ├─demo.c ├─demo.h ├─*.h ├─libcrypto.so/libssl.so ├─libuspsdk.so └─conf demo.c demo源文件 demo.h demo头文件 *.h Agent Lite头文件 libcrypto.so/libssl.so openssl库文件 libuspsdk.so Agent Lite编译后的库文件 conf 存放TLS证书文件 如果开发者没有设备，可以直接在X86 Linux系统进行开发。 交叉编译环境检测： 准备网关或设备。本文档将以树莓派为例，说明如何集成网关。 将Agent Lite SDK (Linux)解压到本地。 用sftp工具把mytest测试工具上传到树莓派上。 因为使用的设备是树莓派，所以使用RaspberryPi目录下的mytest测试工具。开发者可以选择根据实际情况选择不同目录下的mytest测试工具进行测试，尽量选择与自己的系统信息相近的目录下的测试工具进行测试。 修改所有文件的权限，进入mytest所在目录，运行“mytest”。 123 cd /opt/agentLitechmod -R 777 *./mytest 如果最后出现“AUTO TEST END SUCC”字样，说明通过检测。

功能总览 功能总览 全部 企业主机安全 资产管理 基线检查 漏洞管理 13大类入侵检测能力 账户暴力破解防护 恶意程序隔离查杀 勒索病毒防护 程序运行认证 文件完整性管理 自定义安全策略 动静态网页防篡改 特权进程可修改防篡改文件 双因子认证 SSH登录IP白名单 常用登录地/IP 告警白名单管理 告警通知 主机分类管理 订阅安全报告 企业主机安全 企业主机安全（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，可全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 发布区域：全部。 HSS服务版本差异 功能特性 应用场景 资产管理 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动服务，并对账号信息和软件信息的变动情况进行记录。 通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 发布区域：全部。 账号信息管理 开放端口检测 软件信息管理 基线检查 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 发布区域：全部。 告警策略 导出配置检测报告 基线检查风险修复建议 漏洞管理 HSS提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 在“漏洞管理”界面，您可以查看漏洞的信息和状态，根据“修复紧急度”排查主机中的漏洞。 发布区域：全部。 检测原理 漏洞修复与验证 13大类入侵检测能力 HSS支持账户暴力破解、进程异常、网站后门、异常登录、恶意进程等13大类入侵检测能力，用户可通过事件管理全面了解入侵检测告警事件，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况，包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，对告警进行“手动处理”、“忽略”、”加入告警白名单”或者“隔离查杀”，自行判断并处理告警，快速清除资产中的安全威胁。 发布区域：全部。 告警事件列表说明 查看告警事件 处理告警事件 账户暴力破解防护 HSS可拦截的攻击类型包括：mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。 暴力破解是一种常见的入侵攻击行为，通过暴力破解或猜解主机密码，从而获得主机的控制权限，会严重危害主机的安全。 通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 若被拦截的IP在超过默认拦截时间后，没有再被继续攻击，系统自动解除拦截。 发布区域：全部。 账户暴力破解防护 账户被暴力破解，怎么办？ 如何避免账户破解攻击？ 恶意程序隔离查杀 HSS采用先进的AI、机器学习等技术，并集成多种杀毒引擎，深度查杀主机中的恶意程序。 开启“恶意程序隔离查杀”后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 若未开启“恶意程序隔离查杀”功能，则HSS检测到恶意程序时，不会自动隔离查杀，仅会触发告警。您可以在“入侵检测”的“事件管理”中，查看“恶意程序（云查杀）”中的告警信息，并对恶意程序手动执行“隔离查杀”。 发布区域：全部。 开启恶意程序隔离查杀 仅旗舰版支持 勒索病毒防护 HSS支持勒索病毒防护功能，可有效监控您云主机上存储的重要文件，防止未经过认证或授权的进程文件对监控文件的加密或修改操作，保障您的主机不被勒索病毒侵害。 您可以通过创建勒索病毒防护策略，并为策略配置防护状态、监控的文件路径与关联服务器。策略通过机器学习引擎学习服务器上的进程修改文件的行为。策略学习完成后，自动应用于关联服务器。 策略通过对服务器运行状态的自动学习和管理端智能分析，完成可信程序的判定，在防护阶段对非可信程序的操作进行告警。 发布区域：全部。 查看防护策略列表 创建防护策略 查看和处理防护事件 仅旗舰版支持 程序运行认证 程序运行认证功能支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。 在创建白名单策略之后，您可以通过在需要重点防御的主机中应用该白名单策略，企业主机安全将检测服务器中是否存在可疑或恶意进程，并对不在白名单中的进程进行告警提示或者隔离。 发布区域：全部。 查看白名单策略列表 应用白名单策略 查看和处理应用进程事件 仅旗舰版支持 文件完整性管理 文件完整性管理可以检查操作系统、应用程序软件和其他组件的文件，确定它们是否发生了可能遭受攻击的更改，同时，能够帮助用户通过PCI-DSS等安全认证。文件完整性管理功能是使用对比的方法来确定当前文件状态是否不同于上次扫描该文件时的状态，利用这种对比来确定文件是否发生了有效或可疑的修改。 文件完整性管理会验证Linux文件的完整性，并管理针对文件执行的活动，包括： 1、文件的创建与删除。 2、文件的修改（文件大小、访问控制列表和内容哈希的更改）。 发布区域：全部。 添加管理文件 查看变更统计 仅旗舰版支持 自定义安全策略 HSS旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 发布区域：全部。 查看和创建策略组 修改策略内容 仅网页防篡改版支持 动静态网页防篡改 静态网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 支持对Windows和Linux进程添加白名单。网页防篡改功能将不对加入白名单的进程进行拦截。 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为。 发布区域：全部。 添加防护目录/文件系统 添加特权进程修改防护文件 开启动态网页防篡改 仅网页防篡改版支持 特权进程可修改防篡改文件 开启网页防篡改防护后，防护目录中的内容是只读状态，如果您需要修改防护目录中的文件或更新网站，可以添加特权进程。 通过这个特权进程去修改防护目录里的文件或者更新网站，修改才会生效。若没有添加特权进程 ，网页防篡改仅防护原来的文件或者网站，即使修改了内容，文件或者网站也会恢复到原来的状态，修改不会生效。 特权进程可以访问被防护的目录，请确保特权进程安全可靠。 发布区域：全部。 添加特权进程 双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次认证，极大地增强云服务器账户安全性。 开启双因子认证功能后，登录弹性云服务器时，主机安全服务将根据绑定的“消息通知服务主题”验证登录者的身份信息。 发布区域：全部。 开启双因子认证 SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP： 1、启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。 若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 2、IP加入白名单后，账户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 发布区域：全部。 配置SSH登录IP白名单 常用登录地/IP 配置常用登录地/IP后，企业主机安全服务将对非常用地/IP登录主机的行为进行告警。每个主机可被添加在多个登录地中。 发布区域：全部。 配置常用登录地 配置常用登录IP 告警白名单管理 告警白名单管理提供告警白名单的展示与批量导入/导出功能，用户可以通过导入/导出告警白名单避免大量告警误报的发生，提升安全事件告警质量。 发布区域：全部。 添加告警白名单 添加登录告警白名单 告警通知 开启告警通知功能后，您能接收到企业主机安全服务发送的告警通知，及时了解主机/网页内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 告警通知设置仅在当前区域生效，若需要接收其他区域的告警通知，请切换到对应区域后进行设置。 发布区域：全部。 开启基础版/企业版/旗舰版告警通知 开启网页防篡改版告警通知 主机分类管理 用户可以创建服务器组，并将主机分配到服务器组，对主机进行分类管理。用户可以根据创建的服务器组，查看该服务器组内的服务器数量、有风险服务器的数量、以及未防护的服务器数量。 发布区域：全部。 创建服务器组 分配服务器到组 订阅安全报告 HSS支持订阅周报和月报，展现每周或每月的主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 勾选“订阅报告”后，第二天即可查看、下载。 发布区域：全部。 订阅主机安全报告

时序数据标注 标注是KPI异常检测非常重要的数据，可以提升监督学习训练过程中KPI检测准确率，在无监督学习中做算法验证评估： 监督学习：使用标注工具对原始数据进行标注，并将标注数据用于训练。用户基于训练结果进行确认和重新标注，并将标注数据重新用于训练，提升KPI检测准确率。 无监督学习：使用标注工具对原始数据进行标注，对模型进行算法验证和评估。用户基于训练结果进行确认和重新标注，对模型进行算法验证和评估。 数据标注是为数据工程师、数据科学家等提供的辅助标注工具。

产品规格差异 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 VSS各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 表1 VSS各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 配额内的服务免费 按需计费 基础版配额内仅支持Web网站漏洞扫描（域名个数：5个，扫描次数：5个域名每日总共可以扫描5次）是免费的。 基础版提供的以下功能按需计费： 可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 主机扫描一次最多支持20台主机。 产品价格详情 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 高级版 包年/包月 企业版 包年/包月 表2 VSS各服务版本功能说明 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 扫描完毕短信通知 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √ 表3 VSS各服务版本支持的扫描配额说明 版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明： 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明： 更高并发需要，请提交工单联系专业工程师为您服务。 一级域名指用户通过华为云或者第三方域名注册商，购买注册的域名。 二级域名指无需购买注册，可直接在一级域名下添加的子域名。 例如：一级域名：example.com, example.com.cn，二级域名：test.example.com, test.example.com.cn，详细请参考域名注册。

审核消息体说明 表1 ReviewInfo结构定义 参数 说明 asset_id 媒资ID status 事件状态。 SUCCEED：审核成功 FAILED：审核失败 suggestion 检测结果是否通过。 block：包含敏感信息，不通过。 pass：不包含敏感信息，通过。 review：需要人工复检。 说明 当同时检测多个场景时，suggestion的值以最可能包含敏感信息的场景为准。即任一场景出现了block则总的suggestion为block，所有场景都pass时suggestion为pass，这两种情况之外则一定有场景需要review，此时suggestion为review。状态为成功时才有此值。 text 文本检测结果。状态为成功时才有此值。 suggestion：检测结果是否通过。 block：包含敏感信息，不通过。 pass：不包含敏感信息，通过。 review：需要人工复查。 politics：涉政敏感词列表。 porn：涉黄敏感词列表。 abuse：辱骂敏感词列表。 cover 封面检测结果。状态为成功时才有此值。 具体结构参考表2。 video 视频检测结果。状态为成功时才有此值。 具体结构参考表2。 error_code 错误码。状态为失败时才有此值。 error_msg 错误描述。状态为失败时才有此值。 表2 PictureReviewRet结构定义 参数 说明 suggestion 检测结果是否通过。 block：包含敏感信息，不通过。 pass：不包含敏感信息，通过。 review：需要人工复查。 url 对应截图/封面的访问url。 offset 截图在视频中的时间偏移值，单位为秒。封面不涉及此字段。 politics 政治因素审核结果。 confidence：置信度，取值介于0与1之间。 label：每个检测结果的标签化说明，在politics场景中label为对应的政治人物信息，在terrorism场景中label为对应的暴恐元素（枪支、刀具、火灾等） 信息，在porn场景中label为对应的涉黄元素（涉黄、性感等）信息。 terrorism 暴恐元素审核结果。 confidence：置信度，取值介于0与1之间。 label：每个检测结果的标签化说明，在politics场景中label为对应的政治人物信息，在terrorism场景中label为对应的暴恐元素（枪支、刀具、火灾等） 信息，在porn场景中label为对应的涉黄元素（涉黄、性感等）信息。 porn 涉黄内容审核结果。 confidence：置信度，取值介于0与1之间。 label：每个检测结果的标签化说明，在politics场景中label为对应的政治人物信息，在terrorism场景中label为对应的暴恐元素（枪支、刀具、火灾等） 信息，在porn场景中label为对应的涉黄元素（涉黄、性感等）信息。

修改hosts文件来优化访问速度 选择访问速度最快的服务器，并将其IP地址和域名写入hosts文件来优化访问速度。 我们有以下两种方法来判断访问速度最快的服务器IP地址： 使用ping命令判断访问速度最快的服务器IP地址。 具体操作请参考方法一：使用ping命令判断访问速度最快的服务器IP地址。 使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。 具体操作请参考方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。

Apache Log4j2漏洞检测相关问题 网站漏洞扫描和主机扫描是否支持Apache Log4j2漏洞检测？检测原理有何不同？ 答：网站漏洞扫描和主机扫描支持Apache Log4j2漏洞检测，但检测原理不同。网站漏洞扫描的检测原理是基于漏洞POC验证，如果没有攻击入口或路径，或已经开启了Web应用防火墙等防护措施，则无法扫出来；主机扫描的检测原理是登录操作系统之后探测JAR包版本，匹配是否在受影响的版本范围之内，相对高效。 建议有条件的话，使用网站漏洞扫描和主机扫描远程扫描，若发现问题请尽快按处置办法进行操作。 Apache Log4j2漏洞之前能扫出来，后来扫不出来，不稳定是什么原因？ 答：只要扫出来过Apache Log4j2漏洞，建议马上排查相应网站或主机，尽快按处置办法进行操作。 后面扫不出来的原因，可能是网站已修复，或已通过Web应用防火墙等防护措施解决，另外由于该漏洞POC验证相对复杂，涉及较多网络交互，网络环境因素如安全组策略加固等变动，也可能导致漏洞不能稳定扫出来，但建议客户还是尽快排查处置，彻底规避风险。 哪些版本支持Apache Log4j2漏洞检测？ 答：当前包括基础版（可免费开通）在内的所有版本均支持，但由于基础版规格有较多限制，如不支持主机漏洞扫描、Web漏洞扫描的扫描时长和次数受限，可能存在扫描不全面的问题。建议有条件的话，根据业务需求购买专业版及以上版本进行全面扫描。 不同版本规格说明请参见服务版本。

Web应用防火墙-成长地图 | 华为云 Web应用防火墙 Web应用防火墙（Web Application Firewall， WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 产品介绍 图说WAF 立即使用 成长地图 由浅入深，带您玩转WAF 01 了解 了解华为云Web应用防火墙的功能特性和应用场景，有助于您更准确地匹配实际业务，更快速地完成域名接入，让您的业务高效上云。 产品介绍 什么是WAF 功能特性 产品优势 应用场景 03 入门 购买WAF后，您可以将您的网站业务接入WAF即开启WAF防护，并根据您的业务场景配置适用的防护策略。 开启WAF防护 开启WAF防护 配置防护规则 配置CC攻击防护策略 配置精准访问防护策略 05 实践 基于业务场景及客户需求的最佳实践，助您快速使用WAF防护您的网站。 防护Web业务 单独使用WAF的配置指导 同时部署DDoS高防和WAF的配置指导 同时部署CDN和WAF的配置指导 Web基础防护功能最佳实践 误报屏蔽最佳实践 TLS协议最佳实践 源站保护最佳实践 获取访问者真实IP 02 购买 针对不同的应用场景，您可以灵活选择WAF的服务版本、域名扩展包、带宽扩展包。 服务规格 服务版本 域名扩展包 带宽扩展包 购买方式 如何收费 如何续费 快速购买 购买Web应用防火墙 升级服务版本 04 使用 根据业务发展需要，您可以随时变更规格、添加防护域名、修改服务器配置、变更防护规则。除此之外，您还可以实时查看防护日志，分析防护事件数据，以便及时调整防护策略，更好的防护您的网站业务。 常用操作 添加防护域名 开启告警通知 修改服务器信息 更新证书 处理误报事件 下载防护事件数据 配置规则 配置Web基础防护规则 配置CC攻击防护规则 配置黑白名单规则 配置误报屏蔽规则 策略管理 添加防护策略 批量添加防护规则 添加策略适用的防护域名 常见问题 了解更多常见问题、案例和解决方案 热门案例 如何排查404/502/504问题？ 如何接入WAF？ Web应用防火墙如何配置CC防护规则? 如何配置对外协议与源站协议？ 如何在启用Web应用防火墙后获取访问者真实IP？ 如何在本地测试Web应用防火墙？ 未配置子域名和TXT记录的影响？ Web应用防火墙如何对误报进行处理？ Web应用防火墙支持哪些非标准端口？ 如何放行WAF回源IP段？ 更多 域名接入 如何接入WAF？ 如何在添加防护域名中配置防护域名？ 后端服务器配置多个IP时的注意事项？ 如何配置对外协议与源站协议？ 如何更新证书？ 如何切换工作模式？ 如何开启告警通知？ 更多 防护配置 如何配置Web基础防护规则？ 如何配置CC攻击防护规则？ 如何配置精准访问防护规则？ 如何配置黑白名单规则？ 如何配置网页防篡改规则？ 如何配置误报屏蔽规则？ 更多 产品咨询 如何购买Web应用防火墙？ 如何升级WAF的服务版本？ 新旧CNAME的区别？ Web应用防火墙支持哪些版本和功能规格？ 如何查看网站请求和攻击情况？ Web应用防火墙支持哪些防护策略？ Web应用防火墙防护网站后主机的上传请求限制？ Web应用防火墙服务到期后还能防护域名吗？ 更多 故障排查 如何放行WAF回源IP段？ 如何排查404/502/504错误？ 如何在启用Web应用防火墙后获取访问者真实IP？ 如何解决重定向次数过多？ 如何解决HTTPS请求在部分手机访问异常？ 如何解决证书链不完整？ 更多 技术专题 技术、观点、课程专题呈现 详谈WAF与静态统计分析 介绍虚拟补丁利用静态应用程序过滤WAF上的HTTP请求 一键防护WebLogic漏洞 介绍WAF如何防护WebLogic反序列化漏洞 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自Web应用防火墙的技术牛人，为您解决技术难题。

通知方法参数说明： (confListInfo: ConfListInfo) => void 表2 入参说明 参数名称 参数类型 参数说明 confListInfo ConfListInfo 会议列表信息 表3 ConfListInfo 参数名称 参数类型 参数说明 confListSize number 会议列表参数信息的长度。 confListItem ConfListItem 会议列表参数信息。 表4 ConfListItem 参数名称 参数类型 参数说明 confId string 会议ID。 subject string 会议主题。 hostPwd string 主席密码。 guestPwd string 来宾密码。 audiencePwd string 观众密码。(仅对win平台生效) startTime number 会议开始时间(utc时间)，单位秒。 endTime number 会议结束时间(utc时间)，单位秒。 timezone Timezone 时区码(仅对win平台生效) mediaType MediaType 媒体类型 schedulerName string 会议预定者名称。 vmrConfId string 用于云会议显示的ID。 hostJoinUri string 主持人加入会议uri链接 guestJoinUri string 来宾加入会议uri链接 audienceJoinUri string 观众加入会议的链接(仅对win平台生效) confStateType ConfState 会议状态(仅对win平台生效) isWebinar boolean 是否是网络研讨会(仅对win平台生效) selfConfRole ConfRole 本人在会议中的角色 conferenceType ConferenceType 会议类型 cycleParam CycleConfParam 周期会议的参数 subConfSize number 周期子会议数量 subConfParam SubCycleConfParam 周期子会议参数 表5 Timezone枚举说明 枚举名称 枚举值 枚举说明 HWM_TIMEZONE_DEFAULT 0 Mediax默认时区值 HWM_TIMEZONE_INTERDATE_LINE 1 日界线西 HWM_TIMEZONE_MIDWAY_ISLAND 2 中途岛，萨摩亚群岛 HWM_TIMEZONE_HAWAII 3 夏威夷 HWM_TIMEZONE_ALASKA 4 阿拉斯加 HWM_TIMEZONE_PACIFIC_TIME 5 太平洋时间(美国和加拿大);蒂华纳 HWM_TIMEZONE_ARIZONA 6 亚利桑那 HWM_TIMEZONE_MOUNTAIN_TIME 7 山地时间(美国和加拿大) HWM_TIMEZONE_CENTRAL_AMERICA 8 中美洲 HWM_TIMEZONE_CENTRAL_TIME 9 中间时间(美国和加拿大) HWM_TIMEZONE_MEXICO_CITY 10 墨西哥城 HWM_TIMEZONE_SASKATCHEWAN 11 萨斯喀彻温 HWM_TIMEZONE_BOGOTA 12 波哥大，利马，基多 HWM_TIMEZONE_EASTERN_TIME 13 东部时间(美国和加拿大) HWM_TIMEZONE_INDIANA 14 印第安纳(东部) HWM_TIMEZONE_ATLANTIC_TIME 15 大西洋时间(加拿大) HWM_TIMEZONE_CARACAS 16 加拉加斯，拉巴斯 HWM_TIMEZONE_SANTIAGO 17 圣地亚哥 HWM_TIMEZONE_NEWFOUNDLAND 18 纽芬兰 HWM_TIMEZONE_BRASILIA 19 巴西利亚 HWM_TIMEZONE_BUENOS_AIRES 20 布宜诺斯艾利斯，乔治敦 HWM_TIMEZONE_GREENLAND 21 格陵兰 HWM_TIMEZONE_MID_ATLANTIC 22 中大西洋 HWM_TIMEZONE_AZORES 23 亚速尔群岛 HWM_TIMEZONE_CAPEVERDE 24 佛得角群岛 HWM_TIMEZONE_MONROVIA 25 蒙罗维亚 HWM_TIMEZONE_GREENWICH_MEANTIME 26 格林威治标准时：都柏林，爱丁堡，里斯本，伦敦 HWM_TIMEZONE_AMSTERDAM 27 阿姆斯特丹，柏林，伯尔尼，罗马，斯德哥尔摩，维也纳 HWM_TIMEZONE_BELGRADE 28 贝尔格莱德，布拉迪斯拉发，布达佩斯，卢布尔亚纳，布拉格 HWM_TIMEZONE_BRUSSELS 29 布鲁塞尔，哥本哈根，马德里，巴黎 HWM_TIMEZONE_SARAJEVO 30 萨拉热窝，斯科普里，维尔纽斯，索非亚，华沙，萨格勒布 HWM_TIMEZONE_WESTCENTRAL_AFRICA 31 中非西部 HWM_TIMEZONE_ATHENS 32 雅典，伊斯坦布尔，明斯克 HWM_TIMEZONE_BUCHAREST 33 布加勒斯特 HWM_TIMEZONE_CAIRO 34 开罗 HWM_TIMEZONE_HARARE 35 哈拉雷，比勒陀利亚 HWM_TIMEZONE_HELSINKI 36 赫尔辛基，里加，塔林 HWM_TIMEZONE_JERUSALEM 37 耶路撒冷 HWM_TIMEZONE_BAGHDAD 38 巴格达 HWM_TIMEZONE_KUWAIT 39 科威特，利雅得 HWM_TIMEZONE_MOSCOW 40 莫斯科，圣彼得堡，喀山，伏尔加格勒 HWM_TIMEZONE_NAIROBI 41 内罗毕 HWM_TIMEZONE_TEHRAN 42 德黑兰 HWM_TIMEZONE_ABU_DHABI 43 阿布扎比，马斯喀特 HWM_TIMEZONE_TBILISI 44 第比利斯，埃里温 HWM_TIMEZONE_KABUL 45 喀布尔 HWM_TIMEZONE_EKATERINBURG 46 叶卡捷琳堡 HWM_TIMEZONE_ISLAMABAD 47 伊斯兰堡，卡拉奇，塔什干 HWM_TIMEZONE_CALCUTTA 48 加尔各答，马德拉斯，孟买，新德里 HWM_TIMEZONE_KATHMANDU 49 加德满都 HWM_TIMEZONE_ALMATY 50 阿拉木图 HWM_TIMEZONE_ASTANA 51 阿斯塔纳，达卡 HWM_TIMEZONE_SRIJAYA 52 斯里哈亚华登尼普拉 HWM_TIMEZONE_RANGOON 53 仰光 HWM_TIMEZONE_BANGKOK 54 曼谷，雅加达，河内 HWM_TIMEZONE_NOVOSIBIRSK 55 新西伯利亚 HWM_TIMEZONE_BEIJING 56 北京，重庆，香港，乌鲁木齐，台北 HWM_TIMEZONE_KRASNOYARSK 57 克拉斯诺亚尔斯克，乌兰巴托 HWM_TIMEZONE_KUALA_LUMPUR 58 吉隆坡，新加坡 HWM_TIMEZONE_PERTH 59 珀斯 HWM_TIMEZONE_OSAKA 60 东京，大阪，札幌 HWM_TIMEZONE_SEOUL 61 汉城 HWM_TIMEZONE_YAKUTSK 62 雅库茨克 HWM_TIMEZONE_ADELAIDE 63 阿德莱德 HWM_TIMEZONE_DARWIN 64 达尔文 HWM_TIMEZONE_BRISBANE 65 布里斯班 HWM_TIMEZONE_CANBERRA 66 堪培拉，墨尔本，悉尼 HWM_TIMEZONE_GUAM 67 关岛，莫尔兹比港 HWM_TIMEZONE_HOBART 68 霍巴特 HWM_TIMEZONE_VLADIVOSTOK 69 符拉迪沃斯托克 HWM_TIMEZONE_SOLOMON 70 所罗门群岛，新喀里多尼亚 HWM_TIMEZONE_AUCKLAND 71 奥克兰，惠灵顿 HWM_TIMEZONE_FIJI 72 富士，堪察加半岛，马绍尔群岛 HWM_TIMEZONE_NUKUALOFA 73 努库阿洛法 HWM_TIMEZONE_IRKUTSK 74 伊尔库茨克 HWM_TIMEZONE_CASABLANCA 75 卡萨布兰卡 HWM_TIMEZONE_BAKU 76 巴库 HWM_TIMEZONE_MAGADAN 77 马加丹 表6 MediaType枚举说明 枚举名称 枚举值 枚举说明 HWM_MEDIA_TYPE_AUDIO 0 音频类型 HWM_MEDIA_TYPE_VIDEO 1 视频类型 表7 ConfState枚举说明 枚举名称 枚举值 枚举说明 HWM_CONF_STATE_SCHEDULE 0 预定状态。 HWM_CONF_STATE_CREATING 1 正在创建状态。 HWM_CONF_STATE_GOING 2 会议已经开始。 HWM_CONF_STATE_DESTROYED 3 会议已经关闭。 表8 ConfRole枚举说明 枚举名称 枚举值 枚举说明 HWM_CONF_ROLE_ATTENDEE 0 普通与会者 HWM_CONF_ROLE_HOST 1 主席 HWM_CONF_ROLE_AUDIENCE 2 观众 HWM_CONF_ROLE_COHOST 3 联席主持人 HWM_CONF_ROLE_WAITING 4 等候室成员(仅对win平台生效) 表9 ConferenceType枚举说明 枚举名称 枚举值 枚举说明 HWM_CONF_TYPE_COMMON 0 普通会议 HWM_CONF_TYPE_CYCLE 1 周期会议 表10 CycleConfParam 参数名称 参数类型 参数说明 startDate number 开始日期-时间戳，精度秒(0时区) endDate number 结束日期-时间戳，精度秒(0时区) cycleType CycleType 周期类型 interval number 周期区间 1、周期类型选择了按天，表示每几天召开一次，取值范围 listPoints string 周期内的会议召开点。仅当按周和月时有效。数据格式(中间用逗号隔开):1,3,5,7 preRemindDays number 周期子会议提前通知天数。 表11 CycleType枚举说明 枚举名称 枚举值 枚举说明 CYCLE_TYPE_DAY 0 以天为周期 CYCLE_TYPE_WEEK 1 以周为周期 CYCLE_TYPE_MONTH 2 以月为周期 表12 SubCycleConfParam 参数名称 参数类型 参数说明 subConfID string 子会议唯一标识UUID mediaType MediaType 媒体类型 startTime number 会议起始时间 endTime number 会议结束时间 isAutoRecord boolean 会议开始后是否自动开启录制 recordAuthType RecordAuthType 录播鉴权方式 confAllowJoinUser ConfAllowJoinUserType 允许入会范围限制。默认所有用户。 allowGuestStartConf boolean 允许来宾启动会议 allowGuestStartConfTime number 允许来宾提前入会时间范围(单位：分钟) 0-随时，n-提前n分钟启动会议 表13 RecordAuthType枚举说明 枚举名称 枚举值 枚举说明 REOCRD_AUTH_TYPE_ANYONE 0 可通过连接观看/下载（不拼接nonce） REOCRD_AUTH_TYPE_IN_COMPANY_USER 1 企业用户可观看/下载 REOCRD_AUTH_TYPE_ATTENDEE 2 与会者可观看/下载 表14 ConfAllowJoinUserType枚举说明 枚举名称 枚举值 枚举说明 CONF_ALLOW_JOIN_ANYONE 0 所有用户。 CONF_ALLOW_JOIN_LOGINED_USER 1 已登录用户。 CONF_ALLOW_JOIN_IN_COMPANY_USER 2 企业内用户。 CONF_ALLOW_JOIN_INVITED_USER 3 被邀请用户。

修改hosts文件来优化访问速度 选择访问速度最快的服务器，并将其IP地址和域名写入hosts文件来优化访问速度。 我们有以下两种方法来判断访问速度最快的服务器IP地址： 使用ping命令判断访问速度最快的服务器IP地址。 具体操作请参考方法一：使用ping命令判断访问速度最快的服务器IP地址。 使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。 具体操作请参考方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。

修改hosts文件来优化访问速度 选择访问速度最快的服务器，并将其IP地址和域名写入host文件来优化访问速度。 我们有以下两种方法来判断访问速度最快的服务器IP地址： 使用ping命令判断访问速度最快的服务器IP地址。 具体操作请参考方法一：使用ping命令判断访问速度最快的服务器IP地址。 使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。 具体操作请参考方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址。

最新动态 本文介绍了Haydn解决方案工厂各特性版本的功能发布和对应的文档动态，欢迎体验。 表1 2022年2月 序号 所属中心 功能名称 功能描述 阶段 相关文档 1 设计中心 方案设计流程管理 方案设计支持选择标准流程和快捷流程 公测 新建解决方案 2 设计中心 方案架构智能推荐 集成架构支持基于NLP的用户场景描述为用户推荐参考架构模板 公测 新建集成架构 3 设计中心 架构设计规则引擎 支持集成路径的实时检查 公测 新建集成架构 4 验证中心 方案验证流程管理 方案验证支持标准流程、快捷流程、自定义流程 公测 新建测试需求 6 验证中心 测试报告一键生成 一键生成测试报告并预览 公测 评审测试报告 7 验证中心 功能自动化测试 支持基于Cloud Test的功能自动化 公测（白名单） 设计测试用例 8 验证中心 验证资产共享 支持历史用例资产的快速查询 公测 验证用例检索 9 解决方案加速场 架构模版 支持按照行业、场景快速查询参考架构 公测 架构模板 10 解决方案加速场 工具&示例代码 支持按照工具属性、工具类型、发布企业快速查询工具&示例代码 公测 工具&示例代码共享 11 解决方案加速场 用例模版 支持按照行业、场景快速查询用例模板 公测 用例模板 12 运营中心 企业报表 支持解决方案、测试需求统计看板 公测 企业报表

可能原因四：注册者证件不清晰/被遮挡 当返回的实名认证失败原因为“注册者证件不清晰/被遮挡”时，您需要对照域名实名认证填写规范检查上传的实名认证材料是否符合要求，主要检查如下内容： 检查实名认证材料是否完整，要求必须包含边框。 检查实名认证材料是否包含水印，包括相机系统自带水印，或者自定义的水印。 检查实名认证材料是否包含公章（颁证机关的章），公章是否清晰、完整、为红色。 检查实名认证材料是否为彩色照片，不允许使用黑白照片。 检查实名认证材料是否是证件原件的照片，不允许使用复印件。 检查实名认证材料照片是否是手持证件拍照，请将证件放置在干净的背景中拍照。 检查实名认证材料是否反光，请将证件放置在明亮、不反光的环境中拍照，避免信息不清晰。 检查实名认证材料是否有涂抹或马赛克，不允许对实名认证材料中的信息进行涂抹或打马赛克。 检查上传的实名认证材料是否上述问题，如有问题请按照规范要求重新扫描或拍照，然后再提交实名认证。 如果经过上述排查后，仍然实名认证失败，请提交工单寻求更多帮助。

可能原因四：注册者证件不清晰/被遮挡 当返回的实名认证失败原因为“注册者证件不清晰/被遮挡”时，您需要对照域名实名认证填写规范检查上传的实名认证材料是否符合要求，主要检查如下内容： 检查实名认证材料是否完整，要求必须包含边框。 检查实名认证材料是否包含水印，包括相机系统自带水印，或者自定义的水印。 检查实名认证材料是否包含公章（颁证机关的章），公章是否清晰、完整、为红色。 检查实名认证材料是否为彩色照片，不允许使用黑白照片。 检查实名认证材料是否是证件原件的照片，不允许使用复印件。 检查实名认证材料照片是否是手持证件拍照，请将证件放置在干净的背景中拍照。 检查实名认证材料是否反光，请将证件放置在明亮、不反光的环境中拍照，避免信息不清晰。 检查实名认证材料是否有涂抹或马赛克，不允许对实名认证材料中的信息进行涂抹或打马赛克。 检查上传的实名认证材料是否上述问题，如有问题请按照规范要求重新扫描或拍照，然后再提交实名认证。 如果经过上述排查后，仍然实名认证失败，请提交工单寻求更多帮助。

工作流简介 车牌检测与识别技术对于交通管理智能化、提高交通执法的稳定性具有重要意义。ModelArts Pro提供无监督车牌检测工作流，基于高精度的无监督车牌检测算法，无需用户标注数据，大大降低标注成本和提高车牌检测场景上线效率。 功能介绍 无需标注数据，构建无监督车牌检测模型，用于识别不同场景下的车牌。 适用场景 停车管理、交警执法、车辆保险等交通管理场景。 优势 模型精度高，识别速度快；更新模型简便。

为什么CDN的缓存命中率较低？ CDN缓存命中率低的可能原因如下： HTTP Header设置不当导致无法缓存，请检查源站Cache-Control是否设置为不缓存。当源站上设置了cache-control：no-cache/no-store/max-age=0/private或者Pragma：no-cache时，源站不缓存。 您设置的CDN缓存过期时间不合适。如果设置的CDN缓存过期时间过短，CDN节点上的数据会经常失效，导致频繁回源，因此降低CDN缓存命中率。缓存配置具体内容请参考：缓存配置。 您的源站动态内容居多，CDN主要加速对象为静态资源（如：css、js、html、图片、txt、视频等），对于动态资源（如：asp、jsp、php、API接口和动态交互请求等）CDN会回源请求资源。 缓存刷新操作频繁，提交缓存刷新请求后，CDN节点的缓存内容将会被强制过期。下次访问同样的URL时，CDN会回源请求资源，从而导致命中率下降。 网站的访问量低，节点缓存的资源，可能会由于热度较低而被提前从CDN节点删除，导致频繁回源，因此降低CDN缓存命中率。 您的源站出现异常，导致缓存命中率下降，请检查您的源站能否正常访问。 cdn默认head请求是不缓存的，即使预热，请求方式是head请求也是不缓存的。

操作步骤 参考创建数据标注任务选择待标注数据。系统会在KPI数据标注图表中显示数据列的数据曲线。 数据信息图说明如下： 横轴代表时间戳。拖动横轴游标，可以查看指定时间内的数据。通过改变游标长短，页面内数据可以进行缩放。 纵轴代表数值。 不同的数据列使用不同的颜色区分。 数据点使用打点的形式显示。 若设置了指标分组，则每个指标分组对应一个图表，同一组内指标在同一个图表内展现。 数据信息图界面参数及操作说明如表1所示。 表1 数据信息图界面操作 区域 参数 参数说明 左上方 已选文件 当前待标注数据对应的数据文件。 X轴联动 在进行“选择数据”时，若设置了“指标分组”，得出的待标注数据曲线图会展示该参数。 若勾选，则在拖动一个分组图横轴游标时，所有分组的横轴游标联动拖动。 标注类型 当前待标注数据的标注类型。 右上方 查看详情 查看标注结果详情。 保存结果 单击“保存结果”，将当前界面的标注结果保存至结果文件。 如果在“选择文件”页面未指定结果文件，则系统生成默认结果文件，如果已指定结果文件，则将结果保存在指定文件中。 返回 返回到“任务管理”界面。 标注坐标图左上方 总数据点 当前待标注数据曲线图中的总数据点数量。 已标注点 已标注的数据点数量，单击“”可查看标注详情。 待标注数据点 未标注的数据点数量。 待确认数据点 使用自动标注工具后，计算出来的异常点，需用户确认标注结果是否正确。 标注坐标图右上方 横向选择工具，可横向选择连续时间戳的数据进行批量标注。 纵向选择工具，可纵向选择连续值区域内的数据进行批量标注。 矩形选择工具，可在坐标轴内选择任意连续区域内的数据进行批量标注。 自动标注工具，可按照系统定义的规则对当前数据进行自动检测，自动标注；也可自定义阈值规则对数据进行自动检测和标注；自定义概念漂移参数对数据进行概念漂移检测。 坐标轴修改工具，可修改主次坐标以及主次坐标的取值范围。如果一个图表内指标数量大于一个，可以设置指标对应的主次坐标。 清除标注工具，可以一键清除已标注的未保存数据内容。 保存对应分组图表内标注的标注结果。 切割工具，按某列特征数据将一个文件分类切割为多个文件后进行标注。 聚类工具，将不同列按共同特征数据进行聚合进行标注。分为自动聚类和手动聚类。 进行数据标注。 单击数据点，将正常值标注为指定数值。 单击数据信息图上的数据点，如果标注选用的标签值只有两个，选择其中一个标签值进行标注。 单击数据信息图上的数据点，如果标注选用的标签值大于两个，则在弹出的标注框内选择指标标注值，完成后单击“确定”。 使用横向选择工具，在曲线中选中连续时间戳的数据，统一进行标注。 单击。 待鼠标变成时，在坐标轴上单击鼠标左键并横向拖动选取待标注范围。 在弹出的“横向选择标注”弹框内确认数据时间范围、设置标注列的标注值。 单击“确定”。 使用纵向选择工具，在曲线中选择连续的值域范围，统一进行标注。 单击。 待鼠标变成时，在坐标轴上单击鼠标左键并纵向拖动选取待标注范围。 在弹出的“纵向选择标注”弹框内确认数据时间范围、设置标注列的标注值。 单击“确定”。 使用局部选择工具，在曲线中选择任意的连续范围，统一进行标注。 单击。 待鼠标变成时，在坐标轴上单击鼠标左键拖动，选取任意待标注范围。 在弹出的“局部选择标注”弹框内确认数据时间范围、设置标注列的标注值。 单击“确定”。 使用自动标注工具，使用系统默认规则，或者配置阈值规则，统一进行自动标注。 单击。 在弹出的“自动标注”对话框内选择“自动检测”页签，单击“确定”，进行默认规则自动检测及标注。 在弹出的“自动标注”对话框内选择“阈值规则标注”页签，设置“规则适用指标”以及增加“阈值规则列表”，单击“确定”，进行自定义阈值规则自动检测及标注。 在弹出的“自动标注”对话框内选择“概念漂移检测”页签，设置“概念漂移检测参数”和“任务执行环境”，单击“确定”，进行概念漂移检测。 使用切割工具，按某列特征数据将一个文件分类切割为多个文件后进行标注。 单击。 在“切割”界面，选择需要切割的列，单击“执行切割”。 再使用其他标注工具进行标注。 使用聚类工具，将不同列按共同特征数据进行聚合进行标注。 单击。 在“聚类”界面，选择聚类方式，选择需要聚类的列，单击“执行聚类”。 再使用其他标注工具进行标注。 标注后的异常值数据显示为红色。 标注完成后，单击，进行保存。 在“提示”对话框单击“确定”。 在“保存成功”对话框单击“确定”。 显示结果文件存储路径。 单击“返回”，返回任务管理界面。 （可选）在任务管理界面，支持如下操作。 支持按任务运行状态展示任务。例如，单击“成功”，任务列表仅展示“状态”值为“成功”的任务。 刷新任务列表：在任务列表右上方，单击。 查看或标注任务：在需要查看或标注的任务对应的“任务名称”列下，单击任务名称。 发布标注结果为数据集：在需要发布为数据集的任务对应的“操作”列下，单击。 发布聚类切割的单文件：当任务类型为“聚类切割”任务时，单击“任务名称>查看详情”，在切割文件右上角，单击，可以将切割后的文件进行发布。 删除任务：在需要删除的任务对应的“操作”列下，单击。

代码解析 Demo代码如下，具体实现的是模拟电机设备上报数据，SDK获取上报数据做进一步分析处理。如果遇到状态为error，则调用事先在产品模型定义好的设备命令。对于未指定MOTOR_PRODUCT_ID的产品上报的数据将继续上报给云端。 #include "edge.h"#include #include #include /* * 描述：设置总线消息回调，用于对设备上报的数据进行处理 * 参数： * input_name：消息总线输入点 * */EDGE_RETCODE set_bus_message_cb(const char* input_name){ edge_set_bus_message_cb(input_name); printf("set bus message callback with input name: %s\n", input_name); return EDGE_SUCCESS;}/* * 描述：收到设备上报数据的回调处理，样例代码在马达设备状态错误时对马达进行重启 * 参数： * device_id：设备ID * product_id: 产品ID * body: 上报的数据 * body_len: 上报数据的大小 * */EDGE_RETCODE on_message_received_cb(const char* device_id, const char* product_id, const char* body, unsigned int body_len){ // 设置发送设备数据的消息总线输出点，取值需在创建应用版本的outputs参数中定义 char* output_name = "output"; printf("start send message to output topic: %s\n", output_name); printf("body is: %s\nbody len is: %d\n", body, body_len); printf("product_id is: %s\n", product_id); printf("start processing device.\n"); // 设置电机设备产品ID char* MOTOR_PRODUCT_ID = "product_123"; if (strcmp(product_id, MOTOR_PRODUCT_ID) == 0) { //马达设备状态错误时对马达进行重启 char* error = "error"; char* is_error = strstr(body, error); // 设置默认超时时间 unsigned int timeout = 5; ST_COMMAND command = {0}; command.object_device_id = device_id; command.service_id = "power"; command.command_name = "restart"; // 调用设备命令重启 if (is_error != NULL) edge_call_device_command(&command, timeout); } else { //其他设备数据发送到消息总线 edge_send_bus_message(output_name, body, body_len); } printf("process ended.\n"); return EDGE_SUCCESS;}/* * 监控APP，检视设备上报的数据，并对设备进行相应的控制 */void monitor_app(){ // 禁用缓冲区 setvbuf(stdout, NULL, _IONBF, 0); printf("start monitor app\n"); //初始化sdk，工作路径设置（工作路径下需要含有 /conf 目录（该目录下包含证书等信息）） edge_init("../code/api_test/workdir"); ST_MODULE_CBS module_cbs = {0}; ST_DEVICE_CBS device_cbs = {0}; module_cbs.pfn_on_message_received_cb = on_message_received_cb; // 设置回调函数 edge_set_callbacks(&module_cbs, &device_cbs); printf("SDK start running!\n"); sleep(1); edge_login(); sleep(1); // 接受设备数据的消息总线输入点，取值需在创建应用版本的inputs参数中定义 char* input_name = "input"; set_bus_message_cb(input_name); // 这里是为了使应用能够长时间运行 while(1) { sleep(1000); } edge_logout(); sleep(1000); edge_destroy();}int main(){ // 监控app demo monitor_app(); return 0;} Demo实现的流程如下： 通过edge_init初始化工作目录。 通过edge_set_callbacks设置回调函数。 Demo中只是用到on_message_received_cb回调函数，只需修改on_message_received_cb即可。 通过edge_login初始化SDK，包括连接环境变量，连接Hub，订阅Topic，设置回调。 通过set_bus_message_cb调用edge_set_bus_message_cb，SDK会根据input_name订阅Topic(比如/modules/user_monitor_app/messages/inputs/input，这里user_monitor_app是SDK应用对应的模块id，最后的“input“就是Demo代码里的input_name)，这个函数会将on_message_received_cb作为回调函数。 回调函数on_message_received_cb里调用edge_send_bus_message，将未处理的数据发送回消息总线，设置该函数里的output_name，边缘Hub会订阅类似/modules/user_monitor_app/messages/outputs/output的Topic（这里user_monitor_app是SDK应用对应的模块id，最后的“output“就是Demo代码里的output_name）。 调用设备命令，只有当设置的MOTOR_PRODUCT_ID的当前上报数据的设备的产品ID吻合，并且显示状态为error时，通过edge_call_device_command调用设备命令将设备重启。 处理过程结束。 修改Demo里的参数可参考修改代码。

操作步骤 在华为云市场搜索“OpenCart电子商城（LAMP）”。 单击搜索到的镜像，进入镜像购买界面。 设置要购买弹性云服务器实例的地域、规格、推荐配置和购买方式等信息，并单击“立即购买”。 图1 规格设置 确认订单详情，并设置云主机的登录密码，勾选并同意《华为云市场服务协议》。 图2 设置云主机登录密码 单击“提交订单”。 当弹性云服务器处于“运行中”后，通过浏览器访问“http://服务器的公网IP/9panel”，正常会出现如图3所示界面，单击“马上安装”。 图3 安装界面 阅读并同意许可协议，单击“CONTINUE”，进入安装环境检查界面。 图4 许可协议 检查通过后，单击“CONTINUE”，进入数据库和用户信息配置界面。 填写数据库和用户信息，并单击“CONTINUE”。 默认数据库账号为“root”，密码为“123456”，数据库名为“opencart”。 图5 填写数据库和用户信息 安装成功，可以分别体验商城前台和后台。 电商前台测试。 打开客户端的计算机，使用浏览器访问“http://服务器IP地址/”，显示如图6所示的默认界面。 图6 前台界面 可选择“My Account > Register”进行新用户注册。 电商后台测试。 打开客户端的计算机，使用浏览器访问“http://服务器IP地址/admin/”，显示如图7所示的默认界面。 图7 用户登录 输入9中设置的用户名和密码进行登录。 登录成功后显示如图8所示的界面。 图8 后台界面 购买域名。 为了便于网站的访问和使用，可以给网站设置一个单独的域名，使用域名访问网站。首先，需要在域名注册商处获得授权的域名。 进行备案。 如果网站未进行备案，且需要使用华为云进行托管，则需要通过华为云备案系统进行备案。具体操作请参见如何进行备案。 配置域名解析。 配置域名解析后才能使用注册的域名访问网站。具体操作请参见配置域名解析。 例如，配置的域名为“www.example.com”，配置成功后，可在浏览器地址栏中输入“http://www.example.com”访问部署的网站。

视觉套件旨在帮助各行业客户快速开发满足业务诉求的视觉AI应用，快速实现AI应用的开发和部署，提升视觉AI开发效率。 零售商品识别工作流 超市、零售商店等场景下，商品种类更新速度快，商品识别技术会大大提升商品优化和运营效率。零售商品识别工作流为您提供高精度的商品识别算法，提高零售商品新品上线效率。 热轧钢板表面缺陷检测工作流 在钢铁厂中，钢板的材质、热处理工艺以及使用环境等外界因素均会影响钢板的使用寿命，而这些外界因素导致钢板缺陷。研究钢板表面的缺陷类型对钢板的使用寿命至关重要，热轧钢板表面缺陷检测工作流提供高精度钢板表面缺陷识别算法，提高钢板表面缺陷检测场景上线效率。 云状识别工作流 观察云的外部形状，即云的外形特征、结构特点和云底高度，对预测天气变化有重要的影响。云状识别工作流为您提供高精度的云状识别算法，通过云的外部形状预测天气变化。 刹车盘识别工作流 刹车盘识别工作流通过构建刹车盘识别模型，快速、准确的识别刹车盘类别。 无监督车牌检测工作流 车牌检测与识别技术对于交通管理智能化、提高交通执法的稳定性具有重要意义。ModelArts Pro提供无监督车牌检测工作流，基于高精度的无监督车牌检测算法，无需用户标注数据，大大降低标注成本和提高车牌检测场景上线效率。 视觉套件介绍

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token，通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 最小长度：1 最大长度：102400 表4 请求Body参数 参数 是否必选 参数类型 描述 task_name 是 String 任务名称 最小长度：1 最大长度：16 url 是 String 待扫描的目标网址 最小长度：1 最大长度：256 task_type 否 String 扫描任务类型: normal - 普通任务 monitor - 监测任务 缺省值：normal 枚举值： normal monitor timer 否 String 普通任务的定时启动时间 最小长度：0 最大长度：19 trigger_time 否 String 监测任务的定时触发时间 最小长度：0 最大长度：19 task_period 否 String 监测任务的定时触发周期: everyday - 每日 threedays - 每三天 everyweek - 每星期 everymonth - 每月 枚举值： everyday threedays everyweek everymonth task_config 否 task_config object 扫描任务配置 表5 task_config 参数 是否必选 参数类型 描述 scan_mode 否 String 扫描模式: fast - 快速扫描 normal - 标准扫描 deep - 深度扫描 缺省值：normal 枚举值： fast normal deep port_scan 否 Boolean 是否进行端口扫描 缺省值：true weak_pwd_scan 否 Boolean 是否进行弱密码扫描 缺省值：true cve_check 否 Boolean 是否进行CVE漏洞扫描 缺省值：true text_check 否 Boolean 是否进行网站内容合规文字检测 缺省值：true picture_check 否 Boolean 是否进行网站内容合规图片检测 缺省值：false malicious_code 否 Boolean 是否进行网站挂马检测 缺省值：false malicious_link 否 Boolean 是否进行链接健康检测（死链、暗链、恶意外链） 缺省值：false

无监督车牌检测工作流 车牌检测与识别技术对于交通管理智能化、提高交通执法的稳定性具有重要意义。ModelArts Pro提供无监督车牌检测工作流，基于高精度的无监督车牌检测算法，无需用户标注数据，大大降低标注成本和提高车牌检测场景上线效率。 功能介绍 无需标注数据，构建无监督车牌检测模型，用于识别不同场景下的车牌。 适用场景 停车管理、交警执法、车辆保险等交通管理场景。 优势 模型精度高，识别速度快；更新模型简便。

操作步骤 在华为云市场搜索“PHPWind 论坛社区系统（LAMP）”。 单击搜索到的镜像，进入镜像购买界面。 设置要购买弹性云服务器实例的地域、规格、推荐配置和购买方式等信息，并单击“立即购买”。 设置云主机的登录密码，阅读并勾选同意《华为云市场服务协议》 。 单击“提交订单”。 当弹性云服务器处于“运行中”后，通过浏览器访问 “http://服务器IP地址/9panel”，正常会出现如下界面： 单击“马上修改”，通过PhpMyAdmin修改数据库默认的root帐户的密码。 MySQL数据库默认账号为“root”，默认密码为“123456”。 输入root帐户和默认的密码，单击“执行”，登录PhpMyAdmin。 在“常规设置”区域框，单击“修改密码”。 在弹出的“修改密码”对话框中，输入新的root用户的密码，然后单击“执行”。 修改成功后，系统会提示配置文件已更新。 通过本地浏览器访问“http://域名”或“http://服务器公网IP地址”，进入PHPWind安装向导。 阅读软件使用协议，并单击“接受”。 接受协议之后系统自动进行环境检测。 待环境检测完成后，单击“下一步”，进入配置数据库和设置管理员账号界面。 设置数据的信息和管理员的信息，单击“创建数据” 数据库的密码为前面步骤修改的密码，管理员的密码在此处进行设置。 安装完成后，根据提示进入系统后台，体验系统的完整功能。 购买域名。 为了便于网站的访问和使用，可以给网站设置一个单独的域名，使用域名访问网站。首先，需要在域名注册商处获得授权的域名。 进行备案。 如果网站未进行备案，且需要使用华为云进行托管，则需要通过华为云备案系统进行备案。具体操作请参见如何进行备案。 配置域名解析。 配置域名解析后才能使用注册的域名访问网站。具体操作请参见配置域名解析。 例如，配置的域名为“www.example.com”，配置成功后，可在浏览器地址栏中输入“http://www.example.com”访问部署的网站。

开发中心应用模拟器下发命令失败？ 在开发中心的“设备管理 > 设备日志”中检查日志信息，确认物联网平台是否找到对应的编解码插件，以及是否对命令编码成功。如果日志中存在编码错误信息，则说明编解码插件存在错误，需要使用编解码检测工具进行检测，并根据工具的报错提示修改。 检查命令的下发模式和设备的工作模式。如果命令是立即下发，则要求设备的工作模式为DRX。设备的工作模式可联系运营商获取。 将命令的下发模式改为缓存下发（在调用创建设备命令接口的时候expiretime参数设置为非0，即为缓存下发命令），检查在数据上报后，命令是否可以下发成功。 如果缓存命令下发成功，则说明命令下发失败原因为设备链路老化。如果设备工作模式为DRX，建议每25小时内上报一次心跳，但设备链路仍然老化，则需要物联网平台服务商检查TUP包的参数配置。

操作步骤 登录CPTS控制台，在左侧导航栏中选择“CPTS测试工程”。 在待编辑CPTS测试工程所在行，单击。 在“测试任务”页签中，选择待添加请求信息的用例，单击“添加请求”。 请求组成设置为“检查点”，参照表1设置基本信息。 表1 检查点参数 参数 参数说明 启动结果检查 启用检查点后，通过自定义校验信息来验证服务端的返回内容是否正确。 响应码 仅在“报文”页签中“协议类型”为“HTTP”或者“HTTPS”时，需要设置。 响应报文携带的HTTP/HTTPS协议响应状态码，通常包括1XX，2XX，3XX，4XX和5XX。具体含义详见各协议规范。 头域 仅在“报文”页签中“协议类型”为“HTTP”或者“HTTPS”时，需要设置。 HTTP/HTTPS协议的Header部分，具体可以支持的Header详见各协议规范。 单击“添加头域检查”。 设置“头域名”，详情请参见头域说明。 设置检查条件。 内容 HTTP/HTTPS/TCP/UDP/WEBSOCKET协议的Body部分，为HTTP/HTTPS/TCP/UDP/WEBSOCKET协议请求、响应的负载部分。 单击“添加内容检查”。 设置检查条件。 条件规则 AND：需要全部符合才能检查通过。 OR：只需一条符合即可检查通过。 配置完成后，单击“确定”。

修订记录 发布日期 修改记录 2022-09-07 第五十二次正式发布。 本次更新说明如下： 更新综合态势感知、主机安全态势章节内容，更新综合大屏数据更新时间说明。 2022-08-25 第五十一次正式发布。 本次更新说明如下： 刷新创建用户并授权使用SA章节内容，更新SA权限说明。 2022-08-01 第五十次正式发布。 本次更新说明如下： 新增配置基线检查功能所需的权限章节内容。 2022-07-04 第四十九次正式发布。 本次更新说明如下： 更新总览章节内容，新增了漏洞类型的描述。 新增处理基线检查结果章节内容，新增忽略和上报检查结果功能。 2022-06-20 第四十八次正式发布。 本次更新说明如下： 更新设置告警监控章节内容，更新图片及说明。 优化文档描述。 2022-03-18 第四十七次正式发布。 本次更新说明如下： 删除“资产管理”章节内容，资源信息统一在资源管理中呈现。 2022-02-28 第四十六次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-02-11 第四十五次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 删除了“安全编排”章节内容。 2022-01-27 第四十四次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-01-22 第四十三次正式发布。 本次更新说明如下： 新增资源管理章节，新增资源管理功能介绍。 2022-01-20 第四十二次正式发布。 本次更新说明如下： 刷新基线检查项目章节内容，新增基线检查项目。 2022-01-12 第四十一次正式发布。 本次更新说明如下： 刷新安全概览章节内容，“安全看板”改为“安全概览”，功能全新升级，更新安全概览相关描述。 刷新基线检查项目章节内容，新增基线检查项目。 2021-12-29 第四十次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，新增基线检查项目描述。 新增基线检查项目章节内容。 2021-12-22 第三十九次正式发布。 本次更新说明如下： 刷新了日志管理章节，删除存储SA日志至LTS服务的内容。 删除了“日志授权”章节内容。 2021-11-11 第三十八次正式发布。 本次更新说明如下： 新增购买标准版、业务分析章节内容。 新增了标准版相关描述。 2021-09-02 第三十七次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，更新云服务基线支持区域。 2021-08-13 第三十六次正式发布。 本次更新说明如下： 刷新了云服务基线简介章节，更新云服务基线子检查项。 2021-06-25 第三十五次正式发布。 本次更新说明如下： 刷新了基线检查章节，更新云服务基线子检查项。 新增检测设置章节，新增云服务基线检查的检查计划操作步骤。 2021-04-28 第三十四次正式发布。 本次更新说明如下： 修改了日志管理、“日志授权”章节，支持将态势感知日志存储至OBS桶。 2021-04-20 第三十三次正式发布。 本次更新说明如下： 修改了检测结果章节，支持查看威胁情报溯源信息； 修改了产品集成章节，升级产品集成功能，支持接入安天威胁情报综合分析平台数据。 2021-04-09 第三十二次正式发布。 本次更新说明如下： 新增了查看安全报告章节，介绍了态势感知安全月报相关内容。 2021-03-12 第三十一次正式发布。 本次更新说明如下： 修改了购买专业版章节，删除“网站最大配额数”说明； 修改了查看主机漏洞扫描详情章节，补充前提条件说明； 修改了查看网站漏洞扫描详情章节，补充前提条件说明。 2021-02-23 第三十次正式发布。 本次更新说明如下： 修改了检测结果章节，支持统筹管理合规检查、主机漏洞等检查结果； 修改了产品集成章节，升级产品集成功能，支持接入CGS和VSS产品数据。 2021-02-09 第二十九次正式发布。 本次更新说明如下： 新增了分析报告章节，支持自定义安全分析报告。 2020-12-24 第二十八次正式发布。 本次更新说明如下： 修改了检测结果章节，支持删除自定义过滤场景； 修改了产品集成章节，升级产品集成功能，支持接入云堡垒机数据，并支持查看数据上报的状态。 2020-10-21 第二十七次正式发布。 本次更新说明如下： 新增了检测结果章节，集中管理检测结果，支持自定义过滤场景； 新增了产品集成章节，集成安全产品，管理检测结果的数据来源。 2020-10-10 第二十六次正式发布。 本次更新说明如下： 修改了购买专业版章节，购买页改版； 修改了开通综合大屏章节，购买页改版； 修改了增加资产配额章节，购买页改版。 2020-09-29 第二十五次正式发布。 本次更新说明如下： 修改了告警概述章节，接入WAF告警事件，新增22种子告警项。 2020-08-28 第二十四次正式发布。 本次更新说明如下： 新增了专业版管理章节，Console新增专业版管理窗口，支持按需转包周期； 新增了开通综合大屏章节，介绍如何开通综合大屏功能； 修改了“安全编排”章节，补充背景介绍说明。 2020-08-13 第二十三次正式发布。 本次更新说明如下： 修改了应急漏洞公告章节，新增导出安全公告列表功能； 修改了日志管理章节，新增“查看日志”说明。 2020-07-23 第二十二次正式发布。 本次更新说明如下： 新增了漏洞管理概述章节，介绍漏洞管理主要功能范围； 修改了应急漏洞章节，应急漏洞功能改版，接入安全公告数据。 2020-07-10 第二十一次正式发布。 本次更新说明如下： 新增了“云服务基线概述”章节，新增17类云服务基线子检查项。 2020-07-09 第二十次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，新增“按需计费”模式和“自动续费”功能； 修改了告警概述章节，新增7种“异常行为”告警事件的子告警项。 2020-06-11 第十九次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，取消购买时长选择限制。 修改了“查看主机资产安全状态”章节，新增“旗舰版”主机防护版本。 2020-06-08 第十八次正式发布。 本次更新说明如下： 新增了权限管理章节，介绍授权使用SA、SA自定义策略、权限相关授权项等内容。 2020-05-09 第十七次正式发布。 本次更新说明如下： 修改了购买态势感知专业版章节，优化参数说明。 修改了告警概述章节，列表说明可检测的威胁攻击事件。 2020-04-08 第十六次正式发布。 本次更新说明如下： 修改了告警概述章节，新增导出近180天威胁告警功能。 2020-03-30 第十五次正式发布。 本次更新说明如下： 新增了安全概览章节，安全态势总览全新上线，原“总览”页面功能下线； Console切UI4.0，修改全量示例图。 2020-02-20 第十四次正式发布。 本次更新说明如下： 新增“实施编排策略”中“执行阶段说明”。 2019-12-16 第十三次正式发布。 本次更新说明如下： 新增日志管理章节； 新增“日志授权”章节。 2019-09-20 第十二次正式发布。 本次更新说明如下： 修改“综合态势感知”章节，增加示意地图说明； 修改“主机安全态势”章节，增加示意地图说明。 2019-08-30 第十一次正式发布。 本次更新说明如下： 新增服务操作入口插图，以及修改相关内容描述； 修改告警概述章节； 新增DDoS章节； 新增暴力破解章节； 新增Web攻击章节； 新增后门木马章节； 新增漏洞攻击章节； 新增僵尸主机章节； 新增异常行为章节； 新增命令与控制章节。 2019-08-23 第十次正式发布。 本次更新说明如下： 修改主机授权章节； 删除“Linux主机授权”章节； 删除“Windows主机授权”章节。 2019-08-09 第九次正式发布。 本次更新说明如下： 增加购买态势感知专业版章节。 2019-07-11 第八次正式发布。 本次更新说明如下： 增加“主机安全态势”章节； 增加告警监控设置章节； 增加深度专业的漏洞扫描章节。 2019-02-20 第七次正式发布。 本次更新说明如下： 增加“Windows主机授权”章节； 修改“网站资产安全”章节； 修改查看主机漏洞扫描详情章节； 修改“Linux主机授权”章节； 修改“云服务基线”章节。 2019-02-01 第六次正式发布。 本次更新说明如下： 增加“安全编排”章节； 修改查看主机漏洞扫描详情章节； 修改查看网站漏洞扫描详情章节； 修改应急漏洞章节。 2018-11-06 第五次正式发布。 2018-10-16 第四次正式发布。 2018-09-06 第三次正式发布。 2018-08-06 第二次正式发布。 2018-04-24 第一次正式发布。

方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址 您也可以通过修改hosts文件来优化访问速度，具体步骤如下： 使用管理员角色（Administrator）登录您的云服务器。 通过浏览器访问Ping检测工具。我们以http://ping.chinaz.com为例。 输入想要访问的网站，进行Ping检测。我们以访问www.example.com为例，记录检测结果列表中响应时间最低的IP 。 下载PingInfoView，无需安装，解压后运行PingInfoView.exe即可使用。 打开PingInfoView，将通过步骤3获取到的IP地址复制到对应的输入框中，并点击OK。 复制搜索结果中延迟最低的IP地址。 打开C:\Windows\System32\drivers\etc\，将之前复制的IP地址以如下方式写入hosts文件末行。 hosts文件是操作系统的核心文件之一，请根据需要谨慎修改，建议修改前备份hosts文件。 如果hosts文件里写明了DNS解析IP，那么只能使用这个IP解析网站地址。 修改host文件后如果再次出现卡顿想要重新替换IP，请先去掉host文件里关于网站的配置，然后重复执行本节的操作选取新的IP地址。 例如复制的ip地址为99.84.178.238，则将99.84.178.238 www.example.com写入到hosts文件的末行，保存后关闭。 重新访问中国大陆外网站，则卡顿或无法访问的问题会有所好转。 若问题仍未解决，我们建议您更换中国大陆外区域的云服务器。

方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址 您也可以通过修改hosts文件来优化访问速度，具体步骤如下： 使用管理员角色（Administrator）登录您的弹性云服务器。 通过浏览器访问Ping检测工具。我们以http://ping.chinaz.com为例。 输入想要访问的网站，进行Ping检测。我们以访问www.example.com为例，记录检测结果列表中响应时间最低的IP 。 下载PingInfoView，无需安装，解压后运行PingInfoView.exe即可使用。 打开PingInfoView，将通过步骤3获取到的IP地址复制到对应的输入框中，并点击OK。 复制搜索结果中延迟最低的IP地址。 打开C:\Windows\System32\drivers\etc\，将之前复制的IP地址以如下方式写入hosts文件末行。 hosts文件是操作系统的核心文件之一，请根据需要谨慎修改。 建议您备份hosts文件，您可以直接复制粘贴hosts文件生成一个副本。也可以复制hosts文件，将内容备份。 如果hosts文件里写明了DNS解析IP，那么只能使用这个IP解析网站地址。 修改hosts文件后如果再次出现卡顿想要重新替换IP，请先去掉hosts文件里关于网站的配置，然后重复执行本节的操作选取新的IP地址。 例如复制的ip地址为99.84.178.238，则将99.84.178.238 www.example.com写入到hosts文件的末行，保存后关闭。 重新访问中国大陆外网站，则卡顿或无法访问的问题会有所好转。 若问题仍未解决，我们建议您更换中国大陆外区域的弹性云服务器。

SDK获取和安装 1. 安装Java开发环境。 访问Java官网，下载并说明安装Java开发环境。 华为云Java SDK支持Java JDK 1.8 及其以上版本。 2. 使用eclipse/IDEA创建工程。 3. 下载ModuleSDK，并在工程中导入jar包。 4. 开发代码 开发数据处理的代码示例，详细说明请参考开发应用集成ModuleSDK进行数据处理。 /** * 监控APP，检视设备上报的数据，并对设备进行相应的控制 */public class MonitorApp implements BusMessageCallback { /** * 接受设备数据的消息总线输入点，取值需在创建应用版本的inputs参数中定义 */ private static final String INPUT = "input"; /** * 发送设备数据的消息总线输出点，取值需在创建应用版本的outputs参数中定义 */ public static final String OUTPUT = "output"; public static final int FIVE_SECOND = 5000; /** * 电机设备的产品ID */ public static final String MOTOR_PRODUCT_ID = "6b4843db3f0189e9c577"; /** * 与EdgeHub通信的客户端 */ private AppClient appClient; public MonitorApp() throws GeneraException { appClient = AppClient.createFromEnv(); } public void start() throws GeneraException { //设置回调，打开客户端 appClient.setBusMessageCallback(INPUT, this);//设置收到设备数据的回调 appClient.open(); } public void stop() throws GeneraException { appClient.close(); } /** * 收到设备上报数据的回调处理，样例代码在马达设备状态错误时对马达进行重启 * * @param busMessage */ @Override public void onMessageReceived(BusMessage busMessage) { try { if (busMessage.getProductId().equals(MOTOR_PRODUCT_ID)) { //马达设备状态错误时对马达进行重启 MotorData motorData = JsonUtil.fromJson( JsonUtil.toJson(busMessage.getServices().get(0).getProperties()), MotorData.class); if (motorData.getStatus().equals("error")) { Command command = new Command(busMessage.getDeviceId(), "power", "restart", null); appClient.callDeviceCommand(command, FIVE_SECOND); }else{ //其他设备数据发布到总线 appClient.sendBusMessage(OUTPUT, busMessage); } } else { //其他设备数据发布到总线 appClient.sendBusMessage(OUTPUT, busMessage); } } catch (Exception e) { System.out.println(e.getMessage()); } }}

方法二：使用Ping检测工具和PingInfoView工具查找访问速度最快的服务器IP地址 您也可以通过修改hosts文件来优化访问速度，具体步骤如下： 使用管理员角色（Administrator）登录您的弹性云服务器。 通过浏览器访问Ping检测工具。我们以http://ping.chinaz.com为例。 输入想要访问的网站，进行Ping检测。我们以访问www.example.com为例，记录检测结果列表中响应时间最低的IP 。 下载PingInfoView，无需安装，解压后运行PingInfoView.exe即可使用。 打开PingInfoView，将通过步骤3获取到的IP地址复制到对应的输入框中，并点击OK。 复制搜索结果中延迟最低的IP地址。 打开C:\Windows\System32\drivers\etc\，将之前复制的IP地址以如下方式写入hosts文件末行。 hosts文件是操作系统的核心文件之一，请根据需要谨慎修改。 建议您备份hosts文件，您可以直接复制粘贴hosts文件生成一个副本。也可以复制hosts文件，将内容备份。 如果hosts文件里写明了DNS解析IP，那么只能使用这个IP解析网站地址。 修改hosts文件后如果再次出现卡顿想要重新替换IP，请先去掉hosts文件里关于网站的配置，然后重复执行本节的操作选取新的IP地址。 例如复制的ip地址为99.84.178.238，则将99.84.178.238 www.example.com写入到hosts文件的末行，保存后关闭。 重新访问中国大陆外网站，则卡顿或无法访问的问题会有所好转。 若问题仍未解决，我们建议您更换中国大陆外区域的弹性云服务器。

培训内容 培训内容 说明 软件研发模式 介绍软件工程、软件研发的发展趋势和DevOps研发模式 敏捷项目管理 介绍敏捷项目管理及其理论方法，以及云上项目管理实践 配置管理/代码托管 介绍配置管理和版本控制，以及使用git工具进行代码托管 代码检查 介绍代码检查规则及方法，以及云上代码检查操作实践 编译建构 介绍如何编译构建和云端构建优势，以及云上构建操作实践 测试管理 介绍测试用例和软件测试的方法，以及云上测试操作实践 部署服务 介绍部署和部署工具，以及云上部署操作实践 发布服务 介绍发布和发布包文件管理，以及云上发布操作实践 软件开发流水线 介绍软件开发流水线并通过流水线实践对整个软件项目进行回顾 本培训为线下面授形式，培训标准时长为5天，每班人数不超过20人。

测试策略和方法描述 回顾测试策略和测试方案，如测试类型、测试场景、测试方法，策略性说明如何测试，介绍测试使用的方案，例如：集成步骤和顺序、测试步骤和顺序、测试方法、测试工具、测试用例设计和执行方法等。 描述测试环境，如测试所使用的硬件、软件、测试工具的名称、规格、数量、版本、帐号等信息。 总结测试周期和测试人员投入，即测试的计划开始和结束时间，测试总体进度，关键的阶段性进度检查点情况，测试人员数目、分工、投入工时等。

防护规则配置方式 为了简化您的配置过程，WAF提供了以下两种自定义防护规则的配置方式，请根据您的业务合理选择配置方式。 方式一：单个域名配置防护规则 此种方式适合域名业务较少或者域名业务适用的配置规则不相同的用户。 域名添加到WAF后，WAF会自动为该域名绑定一个防护策略，为域名配置的防护规则默认也添加到绑定该域名的防护策略。如果以后有适用于该防护策略的域名，可直接通过该策略添加防护域名，具体的操作请参见添加策略适用的防护域名。 入口 在左侧导航树中选择“网站设置”，进入“网站设置”页面。 （旧版）在目标域名所在行的“防护策略”栏中，单击“配置防护策略”。 （新版）在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 图3 域名列表 进入规则配置页面可配置的防护规则 表1 可配置的防护规则 防护规则 说明 参考文档 Web基础防护规则 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 配置Web基础防护规则 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 配置CC攻击防护规则 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 配置精准访问防护规则 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 配置IP黑白名单规则 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 配置地理位置访问控制规则 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 配置网页防篡改规则 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 配置网站反爬虫防护规则 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 配置防敏感信息泄露规则 全局白名单（原误报屏蔽）规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 配置全局白名单（原误报屏蔽）规则 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 配置隐私屏蔽规则 方式二：批量配置防护规则 此种方式适用于域名业务较多且多个域名需要防护的策略配置相同的用户。该方式可大大减少用户相同重复的配置工作，增强防护的效率性。 入口 图4 防护策略入口 操作步骤： 新建策略。具体的操作请参见添加防护策略。 配置防护规则。具体的操作请参见批量添加防护规则。 批量添加策略适用的防护域名。具体操作请参见添加策略适用的防护域名。

操作步骤 登录视频分析服务管理控制台。 根据业务需要购买算法包，云上入侵检测算法归属于“云上通用类算法包”。当购买视频路数超过50路时，需要您提交工单申请。 在“服务 > 园区智能体”页面，单击“云上通用类算法包”操作栏的“使用”。 在云上入侵检测算法的操作栏，单击“创建作业”，进入创建作业详情页面，设置作业参数。 作业的具体参数解释如表1所示。 表1 作业参数说明 作业参数 参数说明 配置示例 名称 自定义作业名称。 只能由中文、英文字母(a~z, A~Z)、数字(0~9)、中划线(-)、下划线(_)组成，长度范围为[1, 100]。 云上入侵检测 描述 自定义作业描述信息，以便记忆和区分。 云上入侵检测 服务类别 选择“园区智能体”。 园区智能体 视觉能力包 选择算法包。 云上通用类算法包 服务功能 选择要使用的具体算法功能名称。 云上入侵检测 功能版本 默认为3.0。 3.0 算法模板配置 算法参数配置请参见表2。 - 输入数据 选择接入视频数据的路径。 VIS 输出类型 选择作业分析结果的存放路径。 DIS 表2 算法模板配置 参数 说明 配置示例 过线检测开关 默认值为1，表示开启。0表示不开启。 1 徘徊检测开关 默认值为0，表示不开启。1表示开启。 0 区域检测开关 默认值为1，表示开启。0表示不开启。 1 车检测开关 默认值为0，表示不检测。1表示检测。 0 人脸检测开关 默认值为1，表示检测。0表示不检测。 1 检测目标最大像素值 检测目标的长宽最大像素，取值范围[1080，4000]，默认值为1080。 1080 检测目标最小像素值 检测目标的长宽的最小像素，取值范围[60，4000]，默认值为60。 60 检测区域设置 表示检测区域，该字段为JSON格式的字符串。 未设置检测区域时，默认全屏都是检测区域。 园区智能体（CampusGo）提供了工具用于生成检测区域字符串，详细指导请参见如何生成检测区域字符串。 {"lines":[{"data":[[560,680],[1185,506]],"properties":{"side1_name":"Side1","side2_name":"Side2"}}],"polygons":[{"data":[[0,0],[0,1080],[1920,1080],[1920,0]]}]} 图片压缩比 取值范围[20，100]，默认为90，表示图片压缩比为90%。 90 检测结果渲染开关 输出图像是否绘制告警目标边框，默认为0，表示不绘制。1表示用红色绘制告警目标框。 0 检测区域渲染开关 输出图像是否绘制检测区域，默认为0，表示不绘制。1表示用黄色绘制用户设定区域。 0 配置输入数据如图1所示。 图1 VIS类型输入数据 表3 VIS类型输入参数说明 参数 说明 配置示例 stream_name 是 String VIS视频流名称。 index 否 Int 当前输入的序号，从0开始依次递增，不可重复。 配置输出数据如图2所示。 图2 DIS输出类型 表4 DIS输出类型参数说明 参数 说明 配置示例 stream_name DIS通道名 dis-stream-test 配置完成后，单击“立即创建”。 在“作业”页面可以通过作业的创建时间、状态、名称和ID查找指定作业。根据作业状态来判断作业是否正常运行。 当创建的作业处于“运行中”时，按照创建作业时选择的输出类型和路径去查看作业结果。

时序数据标注介绍 目前为止，时序数据标注仅支持对OBS桶中的csv数据文件进行标注。时序数据标注仅提供数据打标签功能，不做OBS桶资源的管理以及OBS桶中数据的管理。对于OBS桶和数据的管理，由其他工具完成。 时序数据标注是为数据工程师、数据科学家等提供的辅助标注工具。提供界面化数据查看、单点数据标注、连续时间戳数据标注、保存标注结果等功能。 数据标注对于KPI异常检测非常重要，可以有效提升监督学习训练过程中KPI异常检测的准确率，在无监督学习中对模型做验证评估。 监督学习：使用标注工具对原始数据进行标注，并将标注数据用于训练。用户基于训练结果确认并更新数据标注，将标注数据重新用于训练，提升KPI检测准确率。 无监督学习：使用标注工具对原始数据进行标注，对模型进行验证和评估。用户基于训练结果确认并更新数据标注，对模型进行验证和评估。 如图1所示，数据标注支持选择租户OBS桶资源中的数据进行标注。标注后的数据存放在原存储空间中。用户可以使用“数据加载”工具，将数据从OBS空间迁移到数据服务MRS中，进而在“数据建模”和“数据处理”中对MRS中已标注数据进行数据处理，最后通过“运营中心>数据集发布”发布数据集。在“模型训练服务”中，可以订阅数据集进行模型训练。 图1 标注后的数据处理流程图

排查步骤 检查域名缓存规则配置 可能是缓存规则配置不正确，基本的缓存过期时间设置建议如下： 对于动态文件（如php、jsp、asp等），请设置成0秒，即不缓存，每次请求都回源获取。 对于不经常更新的静态文件（如.jpg、.zip等），建议将缓存过期时间设置成1个月以上。 对于频繁更新的静态文件（如js、css等），请根据实际业务情况设定。 可能是缓存优先级设置不正确，导致缓存设置未生效。优先级取值范围为1-100，数值越大优先级越高。 示例：您需要设置一条.jpg文件，缓存过期时间为2天的规则，设置如下： 图中两条缓存规则：所有文件缓存过期时间为30天，优先级为8，.jpg文件缓存过期时间2天，优先级为2。当用户请求访问某.jpg文件时，由于所有文件这条优先级较高，会自动匹配，文件在CDN节点的缓存时间为30天而不是您期望的缓存2天。 更多缓存设置请参考如何设置缓存过期时间。 确认是否是本地缓存问题 请清除浏览器缓存后再测试，确认是否是浏览器缓存的问题。 源站更新资源而CDN节点未刷新 如果您的源站内容更新，没有在CDN执行刷新操作，CDN节点缓存的旧内容还未过期，此时用户请求依然会返回旧资源。您可以通过以下两种方式进行手动刷新。 登录华为云控制台，在服务列表中选择“CDN”，左侧菜单栏选择“预热刷新”，在缓存刷新页签完成刷新操作。 通过CDN服务所提供的缓存刷新、缓存预热API接口，主动调用CDN API接口来更新CDN缓存，详见API参考。 如果只更新某个文件，建议使用URL刷新对更新的文件进行刷新。目录刷新会针对目录下所有文件进行刷新，生效时间比较慢。 排查是否是多个源站文件不一致导致 源站使用了负载均衡设备，后端存在多个服务器且它们存放的文件不一致。 CDN添加了备源站，主源站和备源站的文件不一致。 如果是以上两种情况导致，请您将源站侧资源统一，以免用户获得错误文件。 检查资源访问是否被劫持 请排查您的资源访问是否被劫持，如果资源被劫持，请您通过配置HTTPS等方式提高您的安全防护等级。常见的判断劫持的方法如下： 访问网站后响应302，但是location地址不是源站期望跳转的地址。可以通过在客户端浏览器Chrome上输入需要访问的URL，按F12，选择“Network”>“headers”>“Response Headers”>“location”查看。 访问网站后，页面显示的内容不是您的业务内容。 如果排除以上几点后问题仍然存在，请联系客服或提交工单处理。

功能 云搜索服务基于Elasticsearch的插件机制和自研的向量检索引擎，集成了高效的、可扩展的高维空间向量检索能力。自研引擎集成了暴力检索、图索引（HNSW）、乘积量化、IVF-HNSW等多种向量索引，支持欧式、内积、余弦、汉明等多种相似度计算方式，召回率和检索性能均优于开源引擎。能够满足高性能、高精度、低成本、多模态等多种应用场景及需求。 同时，支持原生Elasticsearch的所有能力，包括分布式、多副本、错误恢复、快照、权限控制等；兼容所有原生Elasticsearch生态，包括集群监测工具cerebro，可视化工具kibana，实时数据采集工具logstash等；提供Python/Java/Go/C++等多种客户端语言支持。

场景概述 华为云CDN为您提供4种业务类型，分别对应不同的应用场景： 业务类型 应用场景 网站加速 适用于有加速需求的网站，对网站中图片、小文件等静态资源提供加速服务，包括门户网站、电商平台、资讯APP、UGC应用（User Generated Content，用户原创内容）等。 文件下载加速 适用于使用HTTP/HTTPS文件下载业务的网站、下载工具、游戏客户端、APP商店等。 点播加速 适用于提供音视频点播服务的客户，例如：在线教育类网站、在线视频分享网站、互联网电视点播平台、音乐视频点播APP等。 全站加速 适用于各行业动静态内容混合，含较多动态资源请求（如asp、jsp、php等格式的文件）的网站。

请求示例 {"sceneName": "掘锚机日常电气检修标准作业流程","adminOrganization": "1001","sceneMode": 3,"taskSceneExtendFieldList": [{"fieldName": "流程编号","fieldDefaultValue": "SHPM-12-A02020201-0001"},{"fieldName": "配件","fieldDefaultValue": ""},{"fieldName": "材料","fieldDefaultValue": "棉纱(0.2Kg)、防锈油（1桶）、清洗剂（1瓶）。"},{"fieldName": "相关事故案例","fieldDefaultValue": ""},{"fieldName": "工具","fieldDefaultValue": "万用表（1块）、兆欧表（1块）、一字改锥6X200mm(1把)、十字改锥6X200mm(1把)，克丝钳（1把）、便携式甲烷检测报警仪（1部）、8寸活动扳手（1把）、公制内六角扳手（1套）、验电器（1部）、放电绳（1根）、接地线（1根）等。"},{"fieldName": "重要危险源","fieldDefaultValue": "1）顶、帮支护不完好，片帮，造成人员伤害。2）未检查瓦斯浓度或瓦斯浓度超限禁止送电。3）未检查瓦斯浓度或瓦斯浓度超限禁止送电。"},{"fieldName": "使用频率","fieldDefaultValue": "高"}],"taskSceneModeList": [{"sceneModeName": "停机、停电","description": "1）掘锚机停止运行；2）掘锚机控制开关手把打到零位。","templateName": "测试openApi导入模板"}],"templateInfoList": [{"templateName": "测试openApi导入模板","kcpList": [{"children": [{"name": "启动掘锚机","operationGuide": "【危险源及风险】1）启动前未预警，造成人员伤害；2）启动掘锚机前，未确认周围无人员作业，造成人员伤害。\n【风险值】12\n【风险等级】中等\n【管控措施】设备启动前需发出预警信号，确保设备周边无人时方可启动。","qualityStandard": "运行正常。","issueType": "掘锚工艺#工器具不完好或有缺陷，造成事故","severity": 1,"outputList": [{"outputType": "文本","outputName": "备注"},{"outputType": "图片","outputName": "图片"}]}]}]}]}

是否支持批量数据标注？ 数据标注支持连续时间戳内批量标注数据、连续时间戳内指定值域范围内批量标注、任意连续区域内批量标注、自动检测标注或自定义阈值规则的批量标注。多分类标注不支持自定义阈值规则标注。 连续时间戳内批量标注数据操作步骤如下： 单击，选择横向选择工具。 在图表区域需要标注的起始时间戳处单击，拖动鼠标到终止时间戳。 在弹出的“横向选择标注”对话框中进行标注。 单击“确认”，完成批量标注。用户确认保存后，结果会保存到租户OBS桶。 连续时间戳内指定值域范围内批量标注操作步骤如下： 单击，选择纵向选择工具。 在图表区域需要标注的起始纵坐标值处单击，上或下拖动鼠标到终止纵坐标值处。 在弹出的“纵向选择标注”对话框中进行标注。 单击“确认”，完成批量标注。用户确认保存后，结果会保存到租户OBS桶。 任意连续区域内批量标注操作步骤如下： 单击，选择局部选择工具。 在图表区域需要标注的区域位置处单击，拖动鼠标直到所选区域覆盖待标注的数据点。 在弹出的“局部选择标注”对话框中进行标注。 单击“确认”，完成批量标注。用户确认保存后，结果会保存到租户OBS桶。 自动检测批量标注操作步骤如下： 单击，打开自动标注页面，选择“自动检测”页签。 单击“确定”，系统按照检测规则完成检测以及自动标注。 自定义阈值规则的批量标注操作步骤如下： 单击，打开自动标注页面，选择“阈值规则标注”页签。 在“规则适用指标”栏确认阈值规则适用的指标。 在“阈值规则列表”栏单击“增加”，配置阈值规则具体内容，完成一条规则配置后，单击规则“操作”列的“确定”。 可以同时配置多条阈值规则，时间范围可以不连续，但是不同规则之间时间范围不能有重叠。大于最大值或小于最小值的数据将会被标注为异常点。如果不设置最大值和最小值，则该时间范围内所有点均会被标注为异常点。 单击“确定”，完成批量标注。

为什么云监控服务中的网络流量指标值与弹性云服务器系统内工具检测的指标不同？ 因为云监控服务与弹性云服务器系统内指标检测软件的采样周期不同。 云监控服务对弹性云服务器、云硬盘的采样周期是4分钟（云服务器类型为KVM的是5分钟），而系统内工具的采样周期一般为1秒，远远小于云监控服务的采样周期。 采样周期越大，短期内的数据失真越大。所以云监控服务更适合用于网站长期监测、长期监测运行在弹性云服务器内的应用趋势等。 同时，使用云监控服务用户可通过设置阈值对资源进行提前告警，保证资源稳定可靠。

健康检查配置有问题 镜像如果配置了健康检查，服务启动失败，从以下两个方面进行排查： 健康检查端口是否可以正常工作 自定义镜像中配置了健康检查，需要在测试镜像时，同步测试健康检查接口是否可以正常工作，具体参考从0-1制作自定义镜像并创建AI应用中的本地验证镜像方法。 创建AI应用界面上配置的健康检查地址与实际配置的是否一致 如果使用的是ModelArts提供的基础镜像创建AI应用，健康检查URL默认必须为/health。 图4 设置健康检查URL

选择加速类型 CDN为您提供四种加速业务类型，您可以根据自己网站的特点精准选择相应的业务类型，达到更好的加速效果。 业务类型 适用场景 文档链接 网站加速 有加速需求的网站，包括门户网站、电商平台、资讯APP、UGC应用（User Generated Content，用户原创内容）等。 了解详情请单击这里。 文件下载加速 使用HTTP/HTTPS文件下载业务的网站、下载工具、游戏客户端、APP商店等。 点播加速 提供音视频点播服务的客户。例如：在线教育类网站、在线视频分享网站、互联网电视点播平台、音乐视频点播APP等。 全站加速 各行业动静态内容混合，含较多动态资源请求（如asp、jsp、php等格式的文件）的网站。

应用场景 该解决方案有何用途？ 该解决方案，是基于华为云AI开发平台ModelArts的Workflow开发的一套端到端从标注、训练、部署一体的工作流。帮助客户延长加工设备使用寿命、有效提升产品质量，对产品零件和加工设备的全生命周期质量实现可追溯性管理。适用于以下需求场景： 1. 工业生产中加工设备的运行状态检测，如加工刀具、电机等，设备异常时自动报警，帮助延长设备使用寿命，提升产品质量。 2. 生产产品、加工零件质量检测，降低人工质量审核成本，控制客户索赔风险及提升客户美誉。

专项版业务流程 专项版服务内容包括业务信息收集、安全保障方案、安全自查与整改、安全防护加固、安全团队建设、现场+远程监控及响应、安全服务保障总结。 专项版业务流程如图4所示，各流程步骤说明如表4所示。 图4 专项版业务流程图 表4 专项版业务流程说明 步骤 操作 说明 1 购买专项版 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您。指导您进行安全服务的选型和部署，对网络、主机、数据库、安全管理制度等进行整改。 3 等保测评机构执行管理检测与响应 审核通过后，由权威等保测评机构执行等保测评工作。 4 提交管理检测与响应报告 管理检测与响应上传整改解决方案和差距分析报告。 说明： 等保测评报告由测评机构出具，因涉及您隐私，测评报告由测评机构按照您提供的地址直接邮寄给您。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。

密评建设助手业务流程 密评建设助手提供“密评”合规、国密改造、密码安全评估咨询服务，根据密码应用情况提供密码合规参考意见、相关技术建议书以及密评条款分析情况汇总。 密评建设助手业务流程如所示，各流程步骤说明如表5所示。 图5 密评建设助手业务流程图 表5 密评建设助手业务流程说明 步骤 操作 说明 1 购买密评建设助手 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您。指导您进行安全服务的选型和部署，对网络、主机、数据库、安全管理制度等进行整改。 3 等保测评机构执行管理检测与响应 审核通过后，由权威等保测评机构执行等保测评工作。 4 提交管理检测与响应报告 管理检测与响应上传整改解决方案和差距分析报告。 说明： 等保测评报告由测评机构出具，因涉及您隐私，测评报告由测评机构按照您提供的地址直接邮寄给您。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。