网络安全威胁类型

展示数量TOP5的失陷主机类型。 安全事件 展示各类安全事件数量 原始告警：云端根据天关提供的威胁日志识别的原始事件。 威胁事件：云端利用自动化模型分析和安全服务人员人工处置后，将原始事件聚合为威胁事件。 攻击来源：云端进一步智能处置后，将威胁事件分为外部攻击源、失陷主机和恶意文件三种类型，您可以在此处查看尚未处理的事件数量。

查看更多 →

态势感知安全概览呈现云上整体资产评估状况，并联动其他云安全服务，集中展示云上安全风险状况，核心特性包括有“安全评分、安全监控、安全防御、安全趋势、威胁检测”等模块。 安全评分 结合云上ECS、VPC等核心资产安全状况做统计，扣分项分为“安全服务启用、威胁告警、基线异常、漏洞”四大维度

查看更多 →

管理控制台 帮助文档 什么是威胁检测服务？ 准确识别威胁 基于AI智能引擎，实现70+的威胁智能检测模型，检测准确率达99%以上 告警详情查看 支持59种告警类型（持续迭代上线），并提供详情查询能力 威胁名单汇聚 结合华为威胁黑白名单与第三方威胁源，持续增加威胁黑白名单库的健壮性 跨云服务联动

查看更多 →

原始告警：云端根据天关提供的威胁日志识别的原始事件。 威胁事件：云端利用自动化模型分析和安全服务人员人工处置后，将原始事件聚合为威胁事件。 攻击来源：云端进一步智能处置后，将威胁事件分为外部攻击源、失陷主机和恶意文件三种类型，您可以在此处查看尚未处理的事件数量。 威胁事件 展示近30天威胁事件数量的变化趋势。

查看更多 →

在搜索框中输入文件哈希值，单击图标。 图1 文件类威胁情报详情界面 表1 文件类威胁情报详情界面介绍 模块名称 模块说明 风险值 由系统判定，按风险程度从低到高分为恶意、风险、安全。 文件信息 展示该文件的详细属性，如文件大小、文件类型、首次发现时间、哈希值等。 情报标签 系统对该文件行威胁检测和分析后，会提供该文件的风险威胁标签。

查看更多 →

CTS告警类型详情 NetworkPermissions 发现与历史情报相似的恶意IP尝试调用一个API，该API通常用于更改您的帐户中的安全组、路由和ACL的网络访问权限 默认严重级别：中危 数据源： CTS 日志 此调查结果通知您，发现与历史情报相似的恶意IP尝试调用一个AP

查看更多 →

UnusualTrafficFlow 在租户侧网络场景下，检测到某些ECS生成大量的网络出口流量，此网络出口流量偏离了正常基线值，并全部流向到远程主机。 默认严重等级：中危 数据源：VPC流日志 此调查结果通知您，检测到某些ECS生成大量的网络出口流量，此网络出口流量偏离了正常基线值，并全部流向到远程主机。

查看更多 →

背景信息 云端根据天关提供的威胁日志识别出原始事件，利用自动化模型分析和安全服务人员人工处置后，将原始事件聚合为威胁事件。云端进一步智能处置后，将威胁事件分为外部攻击源、失陷主机和恶意文件三种类型。 威胁事件页面默认显示近30天的数据。租户可以单击右上角的威胁周期页签，指定页面显示某

查看更多 →

发现与历史情报相似的洋葱网络IP访问 默认严重级别：中危 数据源： IAM 日志 此调查结果通知您，有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议： 如果此IP为您正常使用IP，请添加到MTD的白名单中。 Zombie 发现与历史情报相似的恶意网站、僵尸网络IP访问 默认严重级别：中危

查看更多 →

威胁告警简介 背景信息 态势感知威胁告警功能汇集了华为云多个安全服务的告警能力，按照告警类型和等级统一维度呈现，可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。 同时，通过威胁分析，从攻击源和受攻击资产两个维度，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

查看更多 →

到日常业务运营，因此网络安全建设也成为此类型企业必须面对的课题。 此类型企业安全建设的主要诉求包括： 由于没有人力投入安全运维，因此不想购买多种安全设备。 安全预算非常有限，买不起驻场服务，希望将“网络安全建设”外包出去，获得基本的安全能力，在保证内网与外网能够互通的同时，不影响日常业务运营。

查看更多 →

威胁告警简介 背景信息 态势感知威胁告警功能汇集了华为云多个安全服务的告警能力，按照告警类型和等级统一维度呈现，可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。 同时，通过威胁分析，从攻击源和受攻击资产两个维度，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

查看更多 →

查看重保威胁信息 前提条件 已开通重保威胁信息套餐。 背景信息 重保服务，即重要敏感时期从网络层面、服务器层面、数据层面为用户构建全方面安全保障服务。 在网络安全演练期间，攻击方使用的攻击主机多数是非恶意IP，在威胁情报库中收录较少甚至没有。针对此类IP，运维人员仅凭现有的威胁情报，

查看更多 →

UnusualTrafficFlow 在租户侧网络场景下，检测到某些ECS生成大量的网络出口流量，此网络出口流量偏离了正常基线值，并全部流向到远程主机。 默认严重等级：中危 数据源：VPC流日志 此调查结果通知您，检测到某些ECS生成大量的网络出口流量，此网络出口流量偏离了正常基线值，并全部流向到远程主机。

查看更多 →

CTS告警类型详情 NetworkPermissions 发现与历史情报相似的恶意IP尝试调用一个API，该API通常用于更改您的帐户中的安全组、路由和ACL的网络访问权限 默认严重级别：中危 数据源： CTS 日志 此调查结果通知您，发现与历史情报相似的恶意IP尝试调用一个AP

查看更多 →

威胁分析 当告警列表中积累了较多威胁告警信息时，您可以使用“威胁分析”功能，从“攻击源”或“被攻击资产”的维度分析网络攻击情况。 前提条件 已购买态势感知标准版或专业版，且在有效使用期内。 操作步骤 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。

查看更多 →

威胁分析 当告警列表中积累了较多威胁告警信息时，您可以使用“威胁分析”功能，从“攻击源”或“被攻击资产”的维度分析网络攻击情况。 前提条件 已购买态势感知标准版或专业版，且在有效使用期内。 操作步骤 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。

查看更多 →

发现与历史情报相似的洋葱网络IP访问 默认严重级别：中危 数据源： IAM 日志 此调查结果通知您，有发现与历史情报相似的恶意攻击IP访问IAM账号。 修复建议： 如果此IP为您正常使用IP，请添加到MTD的白名单中。 Zombie 发现与历史情报相似的恶意网站、僵尸网络IP访问 默认严重级别：中危

查看更多 →

标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。 DDoS威胁父类型约有100多种子类型，态势感知基础版、标准版和专业版支持全部DDoS的子类型威胁告警。 处理建议 当检测到应用系统受到DDoS类威胁时，代表应用系统受到DDoS类攻击，属

查看更多 →

0要求完成安全建设，但下级单位由于技术能力储备不足、安全预算有限等问题较难实现完善的网络安全建设，安全防护效果不理想，同时上级主管部门无法有效监管网络安全要求是否落到实处，也无法督促下级单位针对不满足项及时进行整改。 此类型单位安全建设的主要诉求包括： 下级单位在安全预算有限的前提下，完成等保2

查看更多 →

采集、分析、分类与关联，描述了已经存在或即将出现的针对企业资产的威胁信息。 威胁信息服务中的威胁信息数据主要对IP、域名、文件、漏洞、URL等威胁载体进行全方位威胁描述，对攻击者进行精准画像。同时威胁信息数据会进行实时更新，保证威胁信息数据的鲜活性和有效性。 威胁信息服务主要为客

查看更多 →

登录华为乾坤云服务控制台，选择“ > 我的服务 > 威胁信息服务”。 在右上角菜单栏选择“威胁信息检索”。 在搜索框中输入域名，单击图标。 图1 域名类威胁情报详情界面 表1 域名类威胁情报详情界面介绍 模块名称 模块说明 风险值 由系统判定，按风险程度从低到高分为恶意、风险、安全。 域名信息 展示该域名的

查看更多 →

itelist 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 instance_id 是 String 实例ID。 请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 enable_whitelist 是 Boolean

查看更多 →

，攻击者也开始利用僵尸主机进行挖矿和牟利。 态势感知支持检测7种子类型的僵尸主机威胁，基础版不支持检测僵尸主机类威胁，标准版支持检测5种子类型威胁，专业版支持检测全部子类型威胁。 处理建议 当检测到僵尸主机类威胁时，检测到ECS实例存在挖矿特性行为（如访问矿池地址等）、对外发起D

查看更多 →

标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。 DDoS威胁父类型约有100多种子类型，态势感知基础版、标准版和专业版支持全部DDoS的子类型威胁告警。 处理建议 当检测到应用系统受到DDoS类威胁时，代表应用系统受到DDoS类攻击，属

查看更多 →

，攻击者也开始利用僵尸主机进行挖矿和牟利。 态势感知支持检测7种子类型的僵尸主机威胁，基础版不支持检测僵尸主机类威胁，标准版支持检测5种子类型威胁，专业版支持检测全部子类型威胁。 处理建议 当检测到僵尸主机类威胁时，检测到ECS实例存在挖矿特性行为（如访问矿池地址等）、对外发起D

查看更多 →

用，为进一步的攻击打下基础。 态势感知支持检测5种子类型的后门木马威胁，基础版不支持检测后门木马类威胁，标准版支持检测1种子类型威胁，专业版支持检测全部子类型威胁。 处理建议 当检测到后门木马类威胁时，ECS实例存在木马程序网络请求，代表ECS实例已经存在被植入木马的特征，如尝试

查看更多 →

t 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 instance_id 是 String 实例ID。 请求参数 无 响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 enable_whitelist Boolean

查看更多 →

用，为进一步的攻击打下基础。 态势感知支持检测5种子类型的后门木马威胁，基础版不支持检测后门木马类威胁，标准版支持检测1种子类型威胁，专业版支持检测全部子类型威胁。 处理建议 当检测到后门木马类威胁时，ECS实例存在木马程序网络请求，代表ECS实例已经存在被植入木马的特征，如尝试

查看更多 →

意域名连接至C&C服务器，攻击者即可远程操控主机。 态势感知支持检测3种子类型的命令与控制类威胁，基础版和标准版不支持检测命令与控制类威胁，专业版支持检测全部子类型威胁。 处理建议 当检测到命令与控制类威胁时，ECS实例存在访问DGA域名、访问远程C&C服务器或建立了连接C&C的

查看更多 →

Ngioweb僵尸网络、SystemdMiner挖矿木马、WatchBog挖矿木马、BadRabbit勒索病毒进行有效检测、捕获。 威胁事件告警 面对云上各类安全威胁，以及不断涌出的新型威胁类型，MTD可以通过联动态势感知服务（SA）对接消息通知服务（SMN），在发现威胁的情况下，迅速

查看更多 →

意域名连接至C&C服务器，攻击者即可远程操控主机。 态势感知支持检测3种子类型的命令与控制类威胁，基础版和标准版不支持检测命令与控制类威胁，专业版支持检测全部子类型威胁。 处理建议 当检测到命令与控制类威胁时，ECS实例存在访问DGA域名、访问远程C&C服务器或建立了连接C&C的

查看更多 →

和处置提供一站式安全防护的闭环处理能力。此外，针对整体网络安全状况，可将当前安全态势尽收眼底，实时呈现云上整体安全评估状况，并联动主机安全，容器安全服务，集中展示云上安全，实现客户云上安全态势一览与风险统一管控。 面对云上各类安全威胁，以及不断涌出的新型威胁类型，华为云态势感知通

查看更多 →

查看安全报表 前提条件 已通过订阅管理绑定邮箱。 背景信息 云端为帮助租户了解某个时段内网络安全状态的变化趋势，提供查阅安全报表的功能。租户可以在安全报表页面预览，或通过“订阅”设置邮箱定期查收。如果租户没有设置接收安全报表的邮箱，安全报表“发送状态”会显示“发送失败”。待租户设

查看更多 →

“所有任务”，单击“导入”。 单击“下一步”。 单击“浏览”，将文件类型更改为“所有文件 (*.*)”。 找到下载的根证书ca.pem文件，单击“打开”，然后在向导中单击“下一步”。 您必须在浏览窗口中将文件类型更改为“所有文件 (*.*)”才能执行此操作，因为“.pem”不是标准证书扩展名。

查看更多 →

“所有任务”，单击“导入”。 单击“下一步”。 单击“浏览”，将文件类型更改为“所有文件 (*.*)”。 找到下载的根证书ca.pem文件，单击“打开”，然后在向导中单击“下一步”。 您必须在浏览窗口中将文件类型更改为“所有文件 (*.*)”才能执行此操作，因为“.pem”不是标准证书扩展名。

查看更多 →

云安全产品合集 了解云安全相关产品，快速选择适合自己业务的安全产品。网络安全类：DDoS高防、Anti-DDoS流量清洗；主机安全类：企业主机安全、容器安全；应用安全类：漏洞扫描、Web应用防火墙；数据安全类：数据库安全、数据加密、云证书管理、数据安全中心；安全管理类：管理检测与

查看更多 →

查看更多 →