检查权威DNS解析是否生效 执行以下命令检查域名在权威DNS的解析是否生效。 nslookup -qt=类型 域名 权威DNS地址 示例：测试域名example.com在权威DNS的解析是否生效，已使用“ns1.huaweicloud-dns.cn”为例执行如下命令， nslookup -qt=a example123.com ns1.huaweicloud-dns.cn 回显信息如图8所示，example123.com使用权威DNS ns1.huaweicloud-dns.cn的解析已经生效。 如果测试权威DNS解析域名生效，但使用域名访问无法返回正常的IP地址，可能是本地DNS被劫持了，建议执行nslookup -qt=类型 域名 8.8.8.8或nslookup -qt=类型 域名 114.114.114.114命令检查公共DNS解析是否生效。 如果生效建议把本地DNS改成公共DNS，例如8.8.8.8或114.114.114.114。 图8 使用nslookup检查权威DNS的域名解析是否生效

排查步骤 检查故障是源站的问题还是CDN节点的问题，请参照排查访问异常是CDN节点问题还是源站问题排查。 检查域名是否接入CDN加速 如果您刚在控制台添加加速域名，正在进行配置CNAME解析前的测试，请忽略本步骤，参照快速入门流程配置即可。 您需要检查域名是否解析到CDN，以Windows操作系统为例，打开cmd程序，输入如下指令： nslookup -qt=cname 加速域名 如果返回结果显示CNAME，则表示CNAME配置已经生效，如下图： 如果返回结果没有.c.cdnhwc1.com，说明域名未解析到华为云CDN。建议您先执行本地测试加速域名，测试成功后，在DNS域名提供商修改解析记录，配置CDN提供的CNAME，配置步骤请参见配置CNAME 。 如果您确认已正确配置CNAME记录，请检查同一解析线路下该域名的上一记录类型的TTL时间，TTL时间决定了解析记录在本地DNS服务器的缓存时间，您新添加的CNAME记录在上一记录类型的本地TTL缓存时间过期后才会正式生效。 如果域名解析无异常，请进行下一步排查。 排查CDN状态码和域名配置 如果您的域名经过CDN加速后返回4xx、5xx、301/302状态码，请参照以下情况处理： 域名经过CDN加速后返回4xx，请参照访问CDN加速资源后返回4XX状态码。 域名经过CDN加速后返回5xx，请参照访问CDN加速资源后返回5XX状态码。 域名经过CDN加速后返回301/302，请参照访问CDN加速资源后无限循环301/302状态码。 检查源站配置是否正确，登录CDN控制台，在域名基本配置中检查源站的配置是否为该域名的源站服务器，若不是，请修改成对应的服务器IP或域名。 检查账户余额 当您的账户欠费进入保留期后，系统将停用加速域名，您将无法使用CDN。您可以前往费用中心查看账户的费用信息，并通过充值来核销欠款。 如果经过以上排查仍无法解决您的问题，请您联系客服或提交工单处理。并提供以下信息： 在客户端使用华为云CDN用户诊断系统，输入加速域名，单击检测，将结果截图。 无法访问的URL。 访问异常的时间。

安全检测 物联网平台提供安全检测能力，可持续检测设备的安全威胁。本文介绍具体的安全检测项，及如何查看并处理检测出的安全风险。 检测项说明 检测项 说明 设备侧使用非加密方式接入 设备与物联网平台之间，未使用加密协议建立安全连接，可能导致中间人劫持、重放攻击，会对业务造成影响。 使用不安全的TLS版本协议 不安全的TLS协议版本（TLS v1.0、v1.1）存在可被利用的安全漏洞，可能会造成设备数据泄露等安全风险。 使用不安全的加密算法套件 当前主要检测包含以下几种不安全的加密算法套件： TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA, TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA, TLS_PSK_WITH_AES_128_CBC_SHA, TLS_PSK_WITH_AES_256_CBC_SHA 不安全的加密算法套件存在可被利用的安全漏洞，可能会造成设备数据泄露等安全风险。 设备侧单位时间内多次建链 设备侧在1秒内与物联网平台进行多次建链，存在设备被暴力破解，导致身份信息泄露的可能，会造成正常设备被迫下线、业务数据被窃取等安全风险。 设备鉴权失败 设备身份认证信息错误，导致设备无法上线，可能会对业务造成影响。

步骤2：在云服务器上配置Nginx实现URL转发 以下步骤以访问测试域名www.example.cn跳转到华为云官网https://www.huaweicloud.com/xxx为例。 打开Nginx配置文件，修改server模块中的server_name和location参数配置。 执行以下命令编辑nginx.conf文件，请将命令中路径替换为安装nginx的实际路径。 vi /usr/local/nginx/conf/nginx.conf server_name：访问的域名 location：跳转的url地址。其中301是永久跳转，302是临时跳转，本例中使用的是302。具体差异请参考背景知识，并根据实际需求修改。 图1中域名和URL仅为示例，请根据实际需求替换域名和URL地址。 图1 修改Nginx配置前 图2 修改Nginx配置后 执行以下命令，重新加载配置文件并重启Nginx服务。 /usr/local/nginx/sbin/nginx -s reload /usr/local/nginx/sbin/nginx -s reopen

文件验证后，配置未生效 域名授权验证配置未生效，请从以下几方面进行排查： 如果界面回显的记录值与SSL证书管理控制台的域名验证页面或邮件中显示的记录值一致，则说明域名授权验证已生效。 如果界面回显信息不一致，则说明域名授权验证未生效。 如果配置未生效，请从以下几方面进行排查和处理： 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。 您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

sec-cfw-risk 云防火墙攻击事件日志的保留字段如表12所示。 表12 sec-cfw-risk 字段 类型 字段含义 event_time Date 检测到的攻击时间。 action String 云防火墙当前的响应动作。 permit：放行 deny：阻断 app String 应用类型。 attack_rule String 检测到攻击的防御规则。 attack_rule_id String 检测到攻击的防御规则ID号。 attack_type String 发生攻击的类型： Vulnerability Exploit Attack：漏洞攻击 Vulnerability Scan：漏洞扫描 Trojan：木马病毒 Worm：蠕虫病毒 Phishing：网络钓鱼攻击 Web Attack：Web攻击 Application DDoS：DDoS攻击 Buffer Overflow：缓冲区溢出攻击 Password Attack：密码攻击 Mail：邮件相关类型的攻击行为 Access Control：访问控制行为 Hacking Tool：黑客工具 Hijacking：劫持行为 Protocol Exception：存在异常协议 Spam：存在垃圾邮件 Spyware：存在间谍软件 DDoS Flood：DDoS泛洪攻击 Suspicious DNS Activity：可疑DNS活动 Other Suspicious Behavior：其他可疑行为 dst_ip String 目的IP地址。 dst_port String 目的端口号。 packet String 攻击日志的原始数据包。 protocol String 协议类型。 level String 表示检测到威胁的等级： CRITICAL：严重 HIGH：高 MIDDLE：中 LOW：低 source String 检测到攻击的防御模式： 0：基础防御 1：虚拟补丁 src_ip String 源IP地址。 src_port String 源端口号。 direction String 流量方向： out2in：入方向 in2out：出方向

步骤三：查看验证配置是否生效 打开浏览器，访问URL地址“https://yourdomain/.well-known/pki-validation/whois.txt”或“http://yourdomain/.well-known/pki-validation/whois.txt”。 请将URL地址中的yourdomain替换成您申请证书时绑定的域名。 如果您的域名是普通域名，则请参照以下方法进行操作： 例如，如果您的域名为example.com，则访问的URL地址为：https://example.com/.well-known/pki-validation/whois.txt或http://example.com/.well-known/pki-validation/whois.txt 如果您的域名为泛域名，则请参照以下方法进行操作： 例如，如果您的域名为*.domain.com，则访问的URL地址为：https://domain.com/.well-known/pki-validation/whois.txt或http://domain.com/.well-known/pki-validation/whois.txt 确认验证URL地址在浏览器中是否可正常访问，且页面中显示的内容和订单进度页面中的记录值是否内容一致。 如果界面回显的记录值与SSL证书管理控制台的域名验证页面中显示记录值中显示的记录值一致，则说明域名授权验证已生效。 如果界面回显信息不一致，则说明域名授权验证未生效。 如果配置未生效，请从以下几方面进行排查和处理： 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。 您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。

步骤三：查看验证配置是否生效 打开浏览器，访问URL地址“https://yourdomain/.well-known/pki-validation/whois.txt”或“http://yourdomain/.well-known/pki-validation/whois.txt”。 请将URL地址中的yourdomain替换成您申请证书时绑定的域名。 如果您的域名是普通域名，则请参照以下方法进行操作： 例如，如果您的域名为example.com，则访问的URL地址为：https://example.com/.well-known/pki-validation/whois.txt或http://example.com/.well-known/pki-validation/whois.txt 如果您的域名为泛域名，则请参照以下方法进行操作： 例如，如果您的域名为*.domain.com，则访问的URL地址为：https://domain.com/.well-known/pki-validation/whois.txt或http://domain.com/.well-known/pki-validation/whois.txt 确认验证URL地址在浏览器中是否可正常访问，且页面中显示的内容和订单进度页面中的记录值是否内容一致。 如果界面回显的记录值与SSL证书管理控制台的域名验证页面中显示记录值中显示的记录值一致，则说明域名授权验证已生效。 如果界面回显信息不一致，则说明域名授权验证未生效。 如果配置未生效，请从以下几方面进行排查和处理： 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。 您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。

如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly？ Cookie是后端web server插入的，可以通过框架配置或set-cookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 当前WAF暂时没有提供此类合规功能，需要网站管理员在后端做相关安全配置。

数据保护技术 华为云CDN通过多种数据保护手段和特性，保障客户数据在华为云CDN的安全性。 表1 CDN数据保护技术 数据保护技术 说明 传输加密 华为云CDN支持全网HTTPS、HTTP2.0安全协议，详情请参见HTTPS配置。 证书管理 华为云CDN支持批量配置SSL证书功能，详情请参见证书管理。 数据一致性保护 资源在CDN多节点内传输时，CDN支持对资源进行CRC校验，保证资源在CDN节点内传输过程中不会被劫持篡改。 数据一致性校验 CDN支持创建检查任务，检查CDN缓存的资源是否和源站一致。 同时，CDN服务充分尊重用户隐私，遵循法律法规。CDN仅为域名提供加速服务，不会采集和存储任何用户隐私数据。更多隐私数据使用和保护问题，请参考隐私政策声明。

攻击事件日志 字段 类型 描述 src_ip string 源IP地址。 src_port string 源端口号。 dst_ip string 目的IP地址。 dst_port string 目的端口号。 protocol string 协议类型。 app string 应用类型。 direction string 流量方向。 out2in：入方向 in2out：出方向 action string 云防火墙当前的响应动作。 permit：放行 deny：阻断 packet string 攻击日志的原始数据包。 说明： 编码方式为Base64格式。 attack_rule string 检测到攻击的防御规则。 attack_rule_id string 检测到攻击的防御规则ID号。 attack_type string 发生攻击的类型。 Vulnerability Exploit Attack：漏洞攻击 Vulnerability Scan：漏洞扫描 Trojan：木马病毒 Worm：蠕虫病毒 Phishing：网络钓鱼攻击 Web Attack：Web攻击 Application DDoS：DDoS攻击 Buffer Overflow：缓冲区溢出攻击 Password Attack：密码攻击 Mail：邮件相关类型的攻击行为 Access Control：访问控制行为 Hacking Tool：黑客工具 Hijacking：劫持行为 Protocol Exception：存在异常协议 Spam：存在垃圾邮件 Spyware：存在间谍软件 DDoS Flood：DDoS泛洪攻击 Suspicious DNS Activity：可疑DNS活动 Other Suspicious Behavior：其他可疑行为 level string 表示检测到威胁的等级。 CRITICAL：严重 HIGH：高 MIDDLE：中 LOW：低 source string 检测到攻击的防御模式。 0：基础防御 1：虚拟补丁 event_time long 检测到的攻击时间。

前提条件 已开通企业微信公众号或个人微信测试号，并已获得公众号的appid、appsecret等信息。 NetEco用户已具备“远程通知”的操作权限。 已从微信公众号平台的网站(https://mp.weixin.qq.com/)上获取到有效的微信证书，并导入到“NetEcoNBIService-Wechat 证书列表”中。导入微信证书，具体操作请参见管理服务证书。 NetEco与微信公众号平台(api.weixin.qq.com)网络连接正常。 对接微信公众号使用公众号平台通用域名(api.weixin.qq.com)，需要确保NetEco服务器做为客户端可正常访问该域名。NetEco不需要支持做为服务端被该域名访问。 使用企业微信公众号时，需要将NetEco的公网IP添加到该公众号的IP白名单。 腾讯公司微信公众号提供的HTTPS接口协议中，用于对接使用的接口中，将appid和appsecret定义为URL参数，该参数在HTTPS协议中为明文传输参数，存在泄漏风险。若需使用微信通知功能，建议您定期更换appsecret，以免该密钥泄露后微信公众号API接口被攻击者劫持并滥用。

功能总览 功能总览 全部 威胁检测服务 日志检测 威胁情报管理 白名单管理 数据同步 告警详情 查看检测结果 威胁检测服务 威胁检测服务（Managed Threat Detection，简称MTD），通过接入目标区域中您在华为云操作所涉及到的IAM日志、DNS日志、CTS日志、OBS日志、VPC日志，持续实时监控日志中访问者的IP或域名是否存在潜在的恶意活动和未经授权行为并进行告警。此服务集成了AI智能引擎、威胁情报、规则基线三种检测方式，智能检测来自多个云服务（包含IAM服务、DNS服务、CTS服务、OBS服务、VPC服务）日志数据中的访问行为，去发现是否存在潜在威胁，对可能存在威胁的访问行为生成告警信息，输出告警结果。您可通过告警描述对告警信息进行核查、处理，在未造成信息泄露等重大损失之前，及时对潜在威胁进行处理，对服务安全进行升级加固，从而保护您的帐户安全、保障服务稳定运行。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 什么是威胁检测服务？ 威胁检测服务快速使用流程 应用场景 功能特性 日志检测 通过对日志源的开启或关闭，实现对服务新产生的日志数据的检测控制，开启或关闭后不影响历史已检测的数据及结果。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 关闭日志检测 开启日志检测 查看日志检测信息 威胁情报管理 您可对威胁情报信息进行导入、删除，通过导入Plaintext格式的第三方威胁情报数据源及可信IP列表，导入后服务将优先关联检测您导入的情报内的IP地址或域名进行威胁检测，删除后将取消情报数据的优先检测规则。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 导入威胁情报 删除威胁情报 查看威胁情报信息 白名单管理 您可对白名单信息进行导入、删除，通过导入Plaintext格式的可信IP列表，导入后服务将优先对白名单内的IP地址或域名进行忽略，删除后将取消白名单信息的忽略规则。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 导入白名单 删除白名单 查看白名单信息 数据同步 威胁检测服务告警结果默认保存30天，按照等保合规要求数据至少需要存储180天，为了满足等保合规要求对于MTD数据的存储要求，需将MTD数据转存至OBS桶满足等保合规要求。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 告警详情 威胁检测服务目前支持3种检测方式，分别是威胁情报、规则基线、AI引擎，涵盖71种告警类型。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 查看告警类型详情 查看检测结果 查看检测结果 创建威胁检测服务后，产生告警时可查看检测的告警详情。 支持区域：“华南-广州”、“华东-上海一”、“华北-北京四”。 查看检测结果

WAF支持云模式、独享模式和ELB模式三种部署模式，其中云模式支持“入门版”、“标准版（原专业版）”、“专业版（原企业版）”和“铂金版（原旗舰版）”四种服务版本。各模式和各版本支持的功能有差异。例如，仅“专业版（原企业版）”和“铂金版（原旗舰版）”支持IPv6。 功能模板 云模式 独享模式 ELB模式 入门版 标准版（原专业版） 专业版（原企业版） 铂金版（原旗舰版） 域名备案检查 √ √ √ √ × × 域名/带宽/规则扩展包 × √ √ √ × × 支持添加泛域名 × √ √ √ √ √ 非80、443标准端口防护 × √ √ √ √ √ 非80、443标准端口定制 × × √ √ × - 批量灵活配置防护策略 √（仅支持批量配置误报屏蔽策略） × √ √ √ √ 为防护策略批量配置适用的防护域名 × × √ √ √ √ 支持IPv6防护 × × √ √ × × 常见的Web应用攻击防护，包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等 √（只检测，不支持拦截） √ √ √ √ √ 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 × √ √ √ √ √ Webshell检测 √ √ √ √ √ √ 深度检测，同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测 √ √ √ √ √ √ header全检测，对请求里header中所有字段进行攻击检测 √ √ √ √ √ √ CC攻击防护 × √ √ √ √ √ 精准访问防护 × √（不支持全检测） √ √ √ √ 引用表管理 × × √ √ √ √ IP黑白名单设置 × √ √ √ √ √ 支持对指定国家、省份的IP自定义访问控制 × × √ √ √ √ 网页防篡改 × √ √ √ √ × 检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为 × × √ √ √ √ 检测并拦截JS脚本反爬虫检测行为 × × √ √ √ × 防敏感信息泄露 × × √ √ √ × 误报屏蔽 √ √ √ √ √ √ 隐私屏蔽 × √ √ √ √ √

背景信息 如果您的源站地址因业务需求做了301/302 重定向，CDN的回源请求会返回301/302状态码，当您开启回源跟随后，CDN节点会先跳转到301/302对应地址获取资源，缓存后再返回给用户。开启或未开启回源跟随CDN的处理如下： 未开启：CDN会将301/302对应跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。如果该跳转地址域名未加入CDN，则该请求过程不会有加速效果。 已开启：CDN会先跳转到301/302对应地址获取用户所需资源后缓存至节点并返回给用户，当其他用户再次请求同样资源时会直接命中节点缓存。

配置示例 域名www.example.com开启回源跟随，配置如下： 用户请求www.example.com/cdn.jpg文件，未命中缓存，节点回源请求资源。若源站返回HTTP Response状态码301/302，重定向跳转地址为www.example.com/test/cdn.jpg。 节点收到301/302状态码后，直接向需要跳转的地址发起请求。 节点获取到资源后，返回给用户，并缓存到节点。 如果用户B再请求www.example.com/cdn.jpg文件，直接命中缓存，节点将资源返回给用户。 域名www.example.com未开启回源跟随，配置如下： 用户请求www.example.com/cdn.jpg文件，未命中缓存，节点回源请求资源。若源站返回HTTP Response状态码301/302，重定向跳转地址为www.example.com/test/cdn.jpg。 节点直接将HTTP Response状态码301/302返回给用户，由客户端向重定向跳转地址发起请求。 如果重定向跳转地址的域名未接入CDN，则节点不能缓存该资源，不会有加速效果。 如果用户B请求www.example.com/cdn.jpg文件，重复以上流程。

升级PC客户端时，提示“检测到您下载的安装包异常，是否继续安装”？ 收到华为云会议PC客户端的升级提醒后，升级时提示“检测到您下载的安装包异常，是否继续安装”。 解决方法： 如果您的操作系统已长时间未更新补丁，建议更新安全补丁后再运行华为云会议并进行升级。 如果您连接的网络是不信任的网络，比如公共场所的不知名网络，可能存在被劫持的风险，建议切换到可信任网络重新升级。 如果您的操作系统为Windows 7、未升级到最新版本和补丁的Windows 10，并且不想升级系统；或者您的操作系统已是Windows 10、Windows 11，并安装了最新的系统安全补丁，可通过以下步骤检查客户端安装包的正确性。 打开目录：%appdata%\HuaweiMeeting\update，右键点击升级包（exe文件）的属性。 如果确认显示的证书信息中“颁发给、颁发者、有效期”均与上图一致，说明升级包的来源可靠，请放心使用。如果不一致，建议点击“取消”中断升级。 如果步骤3中证书信息与图示不一致，请通过华为云会议官网链接下载最新客户端安装包：https://www.huaweicloud.com/product/meeting/download.html。

各版本支持的功能特性 云模式各个版本、独享模式适用的安全功能特性如表3所示，请您根据业务需求选择对应的服务版本。其中，云模式支持入门版、标准版、专业版和铂金版四种版本，您可以通过升级云模式版本和规格从较低版本升级到任一更高版本，以满足更多防护功能需求。 云模式的专业版和铂金版支持定制非标准端口，您可以提交工单申请开通定制的非标准端口。 标识说明： √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 表3 安全功能特性 功能模板 入门版 标准版 专业版 铂金版 独享版 域名/带宽/规则扩展包 × √ √ √ × 域名备案检查 √ √ √ √ × 支持添加泛域名 × √ √ √ √ 非80、443标准端口防护 × √ √ √ √ 非80、443标准端口定制 × × √ √ × 批量灵活配置防护策略 √（仅支持批量配置全局白名单（原误报屏蔽）规则） × √ √ √ 为防护策略批量配置适用的防护域名 × × √ √ √ 支持IPv6防护 须知： 支持IPv6防护的版本/Region，请参考哪些版本/Region支持IPv6防护？ × × √ √ × 常见的Web应用攻击防护，包括SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等 √ √ √ √ √ 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 × √ √ √ √ Webshell检测 √ √ √ √ √ 深度检测，同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸检测 √ √ √ √ √ header全检测，对请求里header中所有字段进行攻击检测 √ √ √ √ √ CC攻击防护 × √ √ √ √ 精准访问防护 × √（不支持全检测） √ √ √ 引用表管理 × × √ √ √ IP黑白名单设置，支持批量导入IP地址/IP地址段 × √ √ √ √ 支持对指定国家、省份的IP自定义访问控制 × √ √ √ √ 网页防篡改 × √ √ √ √ 检测并拦截搜索引擎、扫描器、脚本工具、其它爬虫等爬虫行为 × × √ √ √ 检测并拦截JS脚本反爬虫检测行为 × × √ √ √ 防敏感信息泄露 × × √ √ √ 全局白名单（原误报屏蔽）规则 √ √ √ √ √ 隐私屏蔽 × √ √ √ √

基于AI智能引擎的威胁检测 威胁检测服务在基于威胁情报和规则基线检测的基础之上，融入了AI智能检测引擎。通过弹性画像模型、无监督学习模型、有监督学习模型实现对风险口令、凭证泄露、Token利用、异常委托、异地登录、未知威胁、暴力破解七大IAM高危场景进行智能检测。通过SVM、随机森林、神经网络等算法实现对隧道域名、DGA域名以及异常行为的智能检测。 AI引擎检测保持模型对真实数据的学习，保证数据对模型的反复验证和人工审查，精准制定预过滤和后处理逻辑，结合先验知识，模型达成零误报。同时，以阶段性检测结果为输入，通过模型重训练和依赖文件定期更新持续优化模型，提升模型告警准确率。

了解内网域名解析 内网域名解析是基于VPC网络的域名解析过程，通过华为云内网DNS把域名（如ecs.com）转换成私网IP地址（192.168.1.1）。内网域名解析实现云服务器在VPC内直接通过内网域名互相访问。同时，还支持不经公网，直接通过内网DNS访问云上服务，如OBS、SMN等。 云解析服务的内网DNS为华为云服务提供基于VPC网络的域名解析服务，解析过程如图1所示。 图1 内网域名解析过程 当VPC内云服务器访问内网域名时，内网DNS直接对内网域名进行解析，向云服务器返回对应被访问的云服务器的私网IP地址。 云解析服务提供的VPC内的内网域名解析服务，具有以下特点： 支持基于VPC任意定制内网域名，灵活自由。 一个域名可以关联多个VPC，方便统一管理部署。 提供VPC子网专用的内网DNS，直接响应内网域名，以及OBS、SMN等云服务的解析请求，快速高效，有效防护劫持。

功能总览 功能总览 全部 三要素人证核身 二要素人证核身 活体人证核身 OBS 2.0支持 三要素人证核身 使用姓名、身份证号码、人脸图片三要素进行身份审核。 身份验证时，传入的数据为人脸图片、身份证信息。 提取身份证信息时，可以使用身份证正反面图片，也可以直接输入姓名、身份证号文本。 发布区域：华北-北京四、华北-北京一 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 OBS 2.0支持 二要素人证核身 使用姓名、身份证号码二要素进行身份核验。 身份验证时，传入的数据为身份证信息。提取身份证信息时，可以使用身份证正反面图片，也可以直接输入姓名、身份证号文本。 发布区域：华北-北京四、华北-北京一 如何创建虚拟私有云？ OBS 2.0支持 活体人证核身 实现活体认证核身，需要使用人脸识别服务（活体检测API）+人证核身服务（三要素API）。 活体检测API分为动作活体检测、静默活体检测，分别可以对视频人脸、图片人脸是否为真人进行验证。被检测人验证为活体后，调用三要素API实现身份核验。 发布区域：动作活体检测（华北-北京四、华北-北京一、华南-广州），静默活体检测（华北-北京四），三要素API（华北-北京四、华北北京一） 动作活体检测 静默活体检测 人证核身三要素

边界防护与响应 表1 规格清单 一级分类 二级分类 规格名称 规格描述 管理 安全态势大屏 资产失陷态势 资产失陷态势，包括：失陷主机趋势、失陷主机分布、失陷事件阻断率、最新失陷事件、top失陷主机、top失陷类型、top失陷事件。 基础安全事件态势 基础安全事件态势，包括：攻击位置、威胁判定平均时长、阻断率、top攻击类型展示，最近威胁事件，专项事件数量。 外部攻击源态势 外部攻击源态势，包括：外部攻击源趋势、攻击源分布、外部攻击阻断率、最新外部攻击、top攻击源、攻击资产、攻击类型。 定期安全报告 定期安全报告 按周、按月为用户提供安全服务报告，安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告，客户可清晰了解以下信息： 安全服务概况。 威胁防护次数及趋势。 失陷主机数量及详情。 外部攻击源数量及趋势。 恶意文件数量及趋势。 支持应用访问行为统计，支持基于源IP、时间和应用分布等维度的统计，按周月提供统计分析报表 支持历史安全报告的查看和预览功能。 支持报告下载。 安全域管理 安全域状态管理 支持安全域状态监测，检查安全域物理连线是否接反。 支持针对安全域设置信任标签。 手机APP 手机APP 支持手机APP方式进行边界防护的威胁事件、黑白名单、安全报表等功能管理。 MSSP MSSP代维 可在用户运维平台对安全服务建立委托关系，给指定被委托方建立不同操作权限角色（管理员、审计员等）的代维委托。委托建立后，被委托方可查看、处置安全威胁事件。 MSSP安全大屏 支持针对MSSP管辖的租户进行安全大屏呈现。 MSSP工单流转 支持租户的工单流转到MSSP进行分析和处置。 防护 天关/防火墙威胁防护 恶意软件防护 支持多级防护技术，支持多种恶意代码载体类型检测，实时更新病毒库，覆盖流行高危恶意软件。注：1U款型支持500万病毒库，桌面型款型支持300万病毒库。 僵木蠕防护 支持基于僵尸网络拓扑分析技术的精准角色识别，支持500+僵尸网络识别，支持1000+蠕虫和木马识别。 业务感知 支持识别6000+应用，支持主流应用协议全覆盖。 WEB分类 支持Web分类库超1.2亿，对访问行为进行管理，防范恶意网站对企业网络的侵害。 入侵防御 支持基于漏洞与行为分析的攻击检测技术，支持上下文语义还原的防躲避技术，最大支持12000+特征库，支持自动更新 。1U款型支持12000特征库，桌面型款型支持5000特征库，支持僵尸网络检测及应用服务器防护 。 响应 手动封禁 手动封禁 可以通过检测到的外部攻击源事件，进行手动封禁攻击源的操作。 EDR联动处置 EDR联动处置 支持失陷主机、恶意文件进行EDR联动处置能力，支持进程隔离、病毒查杀等操作。 EDR资产和设备自动关联 通过EDR资产发送探测报文方式，实现EDR资产、边界防护与响应服务、资产管理服务、EDR服务等服务联动，进行EDR资产与天关设备自动关联。 威胁自动阻断 外部攻击源自动阻断 支持对外部高危攻击源精准识别，自动下发黑名单，阻拦其后续的攻击行为。 恶意域名自动阻断 支持基于DNS过滤实现恶意域名自动阻断，拦截用户网络内主机对恶意域名的访问行为。 紧急安全通知 短信通知 支持短信紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 手机APP通知 支持手机APP紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 邮件通知 支持邮件紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 告警模板 对于需要发送给用户的紧急告警，提供对应的告警模板自定义能力。 黑白名单功能 域名黑名单 支持配置域名黑名单，拦截用户网络内主机对恶意域名的访问行为。 设备黑名单 支持设备黑名单设置能力，快速阻断威胁攻击源。 支持设备历史黑名单的查看。 支持一键清除。 设备保护网段 支持设备保护网段联动能力，保护已知业务，防止黑名单误阻断。 租户全局白名单 支持租户全局白名单设置能力，保护已知业务，防止黑名单误阻断。 设备白名单 支持设备白名单设置能力，保护已知业务，加入设备白名单的地址不会再进行内容安全检测。 分析 专项事件分析 失陷主机 支持按失陷主机维度自动聚合，基于失陷主机进行快速分析和处置。 外部攻击源 支持按外部攻击源维度自动聚合，基于外部攻击源进行快速分析和处置。 支持外部攻击源导出能力。 恶意文件 支持按恶意文件维度自动聚合，基于恶意文件进行快速分析和处置 检测 云蜜罐 事件检测 支持联动云蜜罐进行威胁检测、分析研判与处置 云端DNS自动化威胁检测 DNS恶意域名检测 恶意域名检测支持基于DNS过滤日志和恶意域名库，针对内网主机请求外网恶意域名的检测 云端Metadata威胁检测 明文口令检测 检测网站交互流量中是否存在明文口令传输行为。 弱密码检测 检测网站交互流量中是否存在弱密码传输行为。 反序列化攻击检测 反序列化是指把字节序列恢复为对象的过程, 如果Web应用在进行反序列化时接收用户输入的数据，且缺少对输入数据必要的验证，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，导致任意代码执行。算法基于反序列化攻击中的恶意流量特征进行检测，并支持攻击成功判定。 暴力破解检测 暴力破解攻击是通过使用某一账号、密码字典（通常为网络社工收集），尝试枚举登录，如果登录成功，则可获取用户账号密码。算法基于流量检测针对SSH、RDP协议的暴力破解，包括常规爆破以及密码喷洒式爆破、慢速爆破。 SQL注入检测 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句中添加额外的SQL语句，实现欺骗数据库服务器执行非授权的任意查询，达到获取数据信息的目的。算法基于HTTP交互行为特征识别SQL注入，并支持SQL注入的攻击成功判定。 DNS Tunnel检测 DNS通道指攻击者通过将攻击报文封装在DNS协议中，利用DNS递归查询机制，与远程恶意DNS服务器实现C&C（命令和控制）通信、数据窃取操作。算法利用DNS流量中的交互行为特征，检测DNS隐蔽通道。 OGNL注入检测 OGNL注入指web应用程序对用户输入数据的合法性没有判断，攻击者通过构造带有攻击性的OGNL表达式，以此实现命令执行的目的。算法基于HTTP交互行为特征识别OGNL注入，并支持攻击成功判定。 WebShell检测 基于流量行为特征检测未经加密和部分加密（如冰蝎、weevely、jweevely等）的WebShell，包括WebShell文件上传和与WebShell交互的场景。 RCE攻击检测 远程命令注入RCE是一种由于服务器应用漏洞导致黑客可以在服务器上执行任意命令的攻击。算法基于Web流量，通过攻击交互的行为特征识别命令注入，并支持攻击成功判定。 XXE攻击检测 XXE即XML外部实体攻击，是一种针对解析XML格式应用程序的攻击类型之一。此类攻击发生在当配置不当的XML解析器处理指向外部实体的文档时，可能会导致敏感文件泄露、拒绝服务攻击、系统命令执行等危害。算法基于XXE页面攻击特征识别注入行为，并支持攻击成功判定。

怎样检查域名解析是否生效？ 方法一：使用查询命令检测是否生效 ping 域名 nslookup -qt=类型 域名 dig -t 类型 域名 具体的操作方法请参考： 使用Ping命令检查域名解析是否生效（适用于Windows、Linux操作系统主机） 使用nslookup命令检查域名解析是否生效（适用于Windows、Linux操作系统主机） 使用dig命令检查域名解析是否生效（适用于Linux操作系统主机） 方法二：使用自助域名检测工具 如图1所示，在域名检测工具中输入域名进行查询，如果返回信息和设计的解析记录集一致，则表示该域名解析已经生效。 华为云暂未提供自助域名检测工具，您可以自行搜索公开的自助域名检测工具使用，或使用•方法一：使用查询命令检测是否生效。 图1 自助域名检测工具

产品规格差异 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 VSS各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 表1 VSS各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 配额内的服务免费 按需计费 基础版配额内仅支持Web网站漏洞扫描（域名个数：5个，扫描次数：5个域名每日总共可以扫描5次）是免费的。 基础版提供的以下功能按需计费： 可以将Web漏洞扫描或主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 主机扫描一次最多支持20台主机。 产品价格详情 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 高级版 包年/包月 企业版 包年/包月 表2 VSS各服务版本功能说明 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 扫描完毕短信通知 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √ 表3 VSS各服务版本支持的扫描配额说明 版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明： 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明： 更高并发需要，请提交工单联系专业工程师为您服务。 一级域名指用户通过华为云或者第三方域名注册商，购买注册的域名。 二级域名指无需购买注册，可直接在一级域名下添加的子域名。 例如：一级域名：example.com, example.com.cn，二级域名：test.example.com, test.example.com.cn，详细请参考域名注册。

Q：SDC硬件支持目标、周界，APP上为什么无法配置使用？ A：当前SDC版本不支持。 SDC8.1.1支持过线、热度图、人群密度、排队长队配置。暂不支持目标、周界和告警布防，设备侧在8.2.0版本才做的上报手机APP。 版本节奏： 8.2.0版本支持：越线检测、入侵检测、徘徊检测、区域进入检测、区域离开检测、快速移动检测、过线计数、排队长度、人群密度、口罩告警、目标识别、快速移动、移动侦测、三方算法。 9.0.0版本新增：电瓶车、离岗检测、遗留物品、移走物品。

背景知识 URL转发分为URL显性转发和URL隐性转发。 URL显性转发 显性URL转发采用的是301（也称之为永久性转移）或302重定向技术（也称之为暂时性转移）。将域名解析到一个云服务器IP，在云服务器上配置了此域名和URL的跳转，本节介绍的Nginx实现URL转发即URL显性转发。 301永久性转移和302暂时性转移的状态码都表示重定向，当浏览器得到服务器返回的301或302状态码后会跳转到一个新的URL地址。但301表示旧地址的资源已经被永久地移除了（这个资源不可访问了），搜索引擎在抓取新内容的同时也将旧的网址交换为重定向之后的网址；302表示旧地址的资源还在（仍然可以访问），这个重定向只是临时地从旧地址跳转到新地址，搜索引擎会抓取新的内容而保存旧的网址。 URL隐性转发 隐性URL转发是用的是iframe框架技术。

24. 占道经营检测 图片压缩比：取值范围[20, 100]，默认为90，表示图片压缩比为90%。 占道经营检测开关：默认为1表示检测。0表示不检测。 出店经营检测开关：默认为0表示不检测。1表示检测。 目标框渲染开关：输出图像是否绘制告警目标边框，默认为0，表示不绘制。1表示用红色绘制告警目标边框。 检测区域渲染开关：输出图像是否绘制检测区域，默认为0，表示不绘制。1表示用黄色绘制用户设定区域。 检测区域设置：表示检测区域。该字段为JSON格式的字符串，例如：{"polygons":[{"data":[[84,389],[1840,349],[1824,526],[78,526]],"name":"polygon"}]}可为每个区域设置名称，后续输出结果时会连带输出区域名称。参数没有携带时，默认区域为整个视频帧，默认区域名称为空字符串。

24. 占道经营检测 图片压缩比：取值范围[20, 100]，默认为90，表示图片压缩比为90%。 占道经营检测开关：默认为1表示检测。0表示不检测。 出店经营检测开关：默认为0表示不检测。1表示检测。 目标框渲染开关：输出图像是否绘制告警目标边框，默认为0，表示不绘制。1表示用红色绘制告警目标边框。 检测区域渲染开关：输出图像是否绘制检测区域，默认为0，表示不绘制。1表示用黄色绘制用户设定区域。 检测区域设置：表示检测区域。该字段为JSON格式的字符串，例如：{"polygons":[{"data":[[84,389],[1840,349],[1824,526],[78,526]],"name":"polygon"}]}可为每个区域设置名称，后续输出结果时会连带输出区域名称。参数没有携带时，默认区域为整个视频帧，默认区域名称为空字符串。

智能配置 摄像机目标智能应用场景如表1所示，操作指导参见目标智能。 表1 目标智能应用场景 功能 说明 目标抓拍 对设定区域中目标进行抓拍，实时显示目标信息。以及发送目标图片。 口罩告警 对设定区域中目标是否佩戴口罩进行检测并告警。 目标统计 统计设定区域内越线的人流量，超过阈值时生成告警。 摄像机智能行为分析应用场景如表2所示，操作指导参见行为分析智能配置。 表2 行为分析应用场景 功能 说明 越线检测 检测人员从某个设定方向越过设定边界的事件并告警。 入侵检测 检测人员在设定区域内出现的事件并告警。 区域进入 检测人员进入设定区域内的事件并告警。 区域离开 检测人员离开设定区域内的事件并告警。 快速移动 检测目标奔跑追逐事件，达到设定条件（通过配置灵敏度来设定条件）后立即告警。 徘徊检测 检测人员在设定区域内徘徊、滞留超过设定时间的事件并告警。 遗留检测 检测到设定区域内有物品遗留的事件并告警。 移走检测 检测到设定区域内有物品移走的事件并告警。 周界全局配置 支持配置周界所有算法的元数据处理、告警处理 、目标尺寸设置、最大目标数设置、检测灵敏度等基础能力。 备注 ： 需要开启周界全局开关才可支持算法配置； 单个设备最多支持画10个框，单个告警最多支持画4个框 ；最多支持10点成框； 单个设备最多支持画5条； 布防计划支持自定义计划与四种通用计划（全天候、工作日、周末、工作时间），算法仅在计划时间范围内生； 告警联动中，仅告警策略的联动状态为生效时，告警才会通过该策略上报。 摄像机智能态势分析应用场景如表3所示，操作指导参见态势分析智能配置。 表3 态势分析应用场景 功能 说明 过线统计 统计设定区域内越线的人流量，超过阈值时生成告警。 人群密度 统计设定区域内人数，超过阈值时生成告警。 排队长度 统计设定区域内排队人数，总排队时长超过阈值时生成告警。 离岗检测 统计设定区域内在岗人数，少于设定人数且离岗时间超过阈值时生成告警。 热区分析 统计设定区域内驻足人次、驻足均时；人员进出时间、驻足时间。 热度图 统计设定区域内一定时间内的人群分布，生成报告。

商用套餐购买说明 终端防护与响应服务商用套餐目前仅支持线下购买方式，提供PC标准版、PC专业版、Windows Server服务器版等套餐规格。用户在配置器SCT上购买时通过选择产品数量来确定套餐实际规格（如：购买10份套餐，实际规格对应为10资产/1年），单用户购买的产品数量上限为3000（实际规格对应为3000资产/1年）。 表1 商用套餐规格介绍 套餐名称 操作系统支持 套餐规格 PC标准版 Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10（32位/64位） Windows 11（64位） 资产数：1 服务年数：1 PC专业版 Windows Server服务器版 Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10（32位/64位） Windows 11（64位） Windows Server 2012 R2及以上（64位） 表2 商用套餐产品功能介绍 功能分类 一级功能 二级功能 功能描述 PC标准版 PC专业版 Windows Server版 终端管理 资产管理 识别终端资产 支持收集主机列表、进程、端口、组件等终端资产信息，并对终端资产进行集中管理。 √ √ √ 关联历史IP 支持查询终端的历史IP和历史IP的关联终端。 √ √ √ 终端安全可视化管理 管理终端威胁事件 支持按终端维度统计威胁事件，查看威胁事件趋势风险和批量一键处置。 √ √ √ 管理终端隔离区 在线管理终端隔离文件，支持人工以远程的方式恢复或清理隔离文件。 √ √ √ 管理终端进程 实时查看在线终端运行中的进程信息，支持联动威胁信誉引擎，在线查看各进程威胁信息。 √ √ √ 终端安全通知 提供安全月报 按月为用户提供安全服务报告，并以邮件形式发送至用户订阅邮箱。通过安全服务报告，客户可清晰了解安全服务概况、终端风险影响评估、终端威胁事件分类和统计、终端威胁事件数量及趋势和安全风险加固建议。 √ √ √ 提供紧急安全通知 检测到高危害威胁事件后，立即通过短信方式及时通知预警。 √ √ √ 威胁检测 病毒检测 在线查杀 使用华为第三代智能检测引擎，拥有亿级海量病毒的检测能力，支持勒索、挖矿、僵尸、后门、木马、蠕虫、间谍、黑客工具、恶意广告等各类病毒家族的检测。支持管理员远程指定在线终端执行病毒扫描，支持快速查杀、全盘查杀和自定义查杀。 √ √ √ 实时防御 支持文件共享、文件下载、软件安装等场景下的病毒实时检测。 √ √ √ 周期查杀 支持定时执行病毒扫描任务。 √ √ √ 云查杀 云端集成威胁情报后，基于亿级病毒文件特征库引擎能力，实时更新特征库，即时进行病毒查杀。 √ √ √ 挖矿木马检测 检测挖矿木马特征 基于DNS过滤日志和恶意域名库，根据终端主机是否请求矿池域名识别挖矿木马。 √ √ √ 检测挖矿木马行为 拥有未知挖矿变种检测能力，基于挖矿运行时上下文的攻击行为识别挖矿木马。 √ √ √ 异常登录检测 检测异常登录 基于用户配置的登录策略，检测规则外的异常登录事件。 √ √ √ 暴力破解检测 检测暴力破解 支持基于日志的暴力破解检测，支持常规暴力破解和慢速分布式暴力破解检测，支持内网横移暴力破解检测，支持暴力破解攻击成功判定。 √ √ √ 勒索软件检测 检测勒索软件特征 基于DNS过滤日志和恶意域名库，检测终端主机是否请求勒索域名。 √ √ √ 检测勒索软件行为 基于四层检测和响应框架，支持精准检出活跃勒索样本及其变种样本。 X √ √ 无文件攻击检测 检测非可执行文件攻击 支持检测非可执行的间接类文件攻击，包括基于文件、基于Office宏、基于powershell/vbs/bat等脚本、利用良性攻击等无文件攻击方式。 X √ √ 检测内存型无文件攻击 通过识别漏洞利用、进程注入等恶意行为，检测无需在磁盘上写入文件、仅驻留在内存中的恶意软件。 X √ √ 威胁响应和处置 威胁事件一键处置 隔离病毒文件 检测恶意文件并进行隔离，阻止终端加载运行恶意文件。 √ √ √ 终止恶意进程 检测恶意进程并立即终止，阻止进程恶意行为。 √ √ √ 清理计划任务 检测恶意持久化计划任务，支持自动或人工清理。 √ √ √ 查杀病毒 支持一键快速查杀、全盘查杀功能，检测在线终端的文件系统是否存在潜在病毒文件风险，检出的高风险病毒将自动隔离。 √ √ √ 多服务联动处置 封禁攻击源 与边界防护与响应服务联动，支持联动黑名单功能，快速阻断威胁攻击源。 √ √ √ 清理恶意文件 支持边界防护与响应服务与终端防护与响应服务联动，检测到主机下载恶意文件行为时，溯源查找恶意文件下载位置，进行一键清理。 √ √ √ 终止恶意外联 支持边界防护与响应服务与终端防护与响应服务联动，检测到主机发送恶意外联行为，如挖矿域名请求、远控木马外联等时，溯源查找恶意外联进程，支持一键终止恶意进程。 √ √ √ 威胁事件自动处置 自动处置挖矿事件 支持挖矿木马事件自动处置，基于智能化模型，溯源事件攻击路径，自动匹配处置方案，下发处置动作。 √ √ √ 自动处置勒索事件 支持恶意域名访问、恶意软件类的勒索事件自动处置，基于智能化模型，溯源事件攻击路径，自动匹配处置方案，下发处置动作。 √ √ √ 威胁事件溯源 主动溯源挖矿事件 基于DNS检测挖矿进程，主动溯源挖矿进程相关联的攻击，支持一键处置攻击链上多个异常进程和文件。 √ √ √ 主动溯源勒索事件 检测到勒索软件入侵时，支持进程调用链，文件创建和篡改关系，网络、注册表、服务等元素主动溯源，支撑风险全面加固，威胁事件深度清理。 X √ √ 主动防御 黑白名单 进程黑名单 支持客户按进程特征（SHA256）、进程名称自定义创建进程黑名单列表，拦截不希望在终端上运行的进程。 √ √ √ 文件白名单 支持客户按文件目录、文件完整路径、文件特征（SHA256）自定义创建文件白名单列表。针对白名单列表中的文件，终端防护与响应服务将忽略其可能触发的风险，不会对其进行处置。 √ √ √ 诱饵捕获 诱饵捕获 基于勒索样本攻击路径分析，在勒索必经路径放置诱饵文件，让勒索软件优先命中诱饵文件，并触发告警事件。 X √ √ 文件防篡改 文件防篡改 支持用户自定义数据存储位置、数据类型、可访问进程等属性，创建自定义数据资产防篡改策略，实时拦截恶意加密、删除等篡改行为。 X X √