华为云用户手册

路由表 权限 对应API接口 授权项（Action） IAM 项目 (Project) 企业项目 (Enterprise Project) 创建路由表 POST /v3/{project_id}/enterprise-router/{er_id}/route-tables er:routeTables:create √ √ 更新路由表信息 PUT /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route_table_id} er:routeTables:update √ √ 查询路由表详情 GET /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route_table_id} er:routeTables:get √ √ 查询路由表列表 GET /v3/{project_id}/enterprise-router/{er_id}/route-tables er:routeTables:list √ √ 删除路由表 DELETE /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route_table_id} er:routeTables:delete √ √ 父主题： 权限和授权项

错误码 当您调用API时，如果遇到“APIGW”开头的错误码，请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 处理措施 400 ER.04001003 The enterprise router is unavailable or is being operated. 企业路由器实例不可用或正在操作中。 请检查企业路由器状态是否可用，并稍后尝试。 400 ER.04001104 The default route table association function is not enabled. 未使能默认关联开关。 请使能默认关联开关后尝试。 400 ER.04001105 The default route table propagation function is not enabled. 未使能默认传播开关。 请使能默认传播开关后尝试。 400 ER.04001106 Invalid ASN. ASN参数不合法。 请输入合法的ASN参数。 400 ER.04002002 The association already exists. 关联关系已存在。 已存在的关联关系，请检查后重试。 400 ER.04002003 An operation is being performed on this association. 关联正在操作中。 请等待关联状态变为可用后重试。 400 ER.04003002 The propagation already exists. 传播关系已存在。 已存在的传播关系，请检查后重试。 400 ER.04003003 An operation is being performed on this propagation. 传播正在操作中。 请等待传播状态变为可用后重试。 400 ER.04004002 This attachment is being used by other resources. 连接已被使用，无法删除。 请检查是否有其它资源在使用此连接，并在完全清理这些资源后进行重试。 400 ER.04004003 This attachment is unavailable or is being operated. 连接不可用或正在操作中。 请检查连接状态是否可用，并稍后重试。 400 ER.04004004 This resource is being used by another attachment. 资源已被其它连接占用。 请检查是否已经为该资源创建了连接。 400 ER.04004101 This route already exists in the VPC route table. 需要创建的路由已经存在VPC的路由表中。 请关闭配置连接侧路由开关后重试。 400 ER.04004102 Failed to add the route to the VPC route table. 向VPC添加固定网段路由失败。 请检查VPC路由表是否已经存在同网段路由。 400 ER.04005003 This route table is unavailable or is being operated. 路由表不可用或正在操作中。 请检查路由表状态是否可用，并稍后重试。 400 ER.04006002 The destination of the route already exists. 路由目的地址已存在。 请检查路由配置。 400 ER.04006103 The destination of the route is invalid. 路由目的地址不合法。 请检查目的地址的格式。 400 ER.04006104 The destination cannot be 127.0.0.0/8, 169.254.0.0/16, 224.0.0.0/4, or any of their subnets. 目的路由地址不能在127.0.0.0/8,169.254.0.0/16,224.0.0.0/4及其子网内。 不能配置该网段路由。 400 ER.04006105 The network instance type of the next hop is not supported. 路由下一跳的网络实例类型不支持。 请更换其它类型的网络实例 400 ER.04006106 A blackhole route cannot have a next hop. A non-blackhole route must have a next hop. 路由参数非法。 请检查路由请求Body体。 400 ER.04009005 Invalid parameters. 无效参数。 请检查参数。 400 ER.04009008 Insufficient quota. 资源配额不足。 请申请工单扩充配额。 400 ER.04009009 The quota type does not exist. 配额类型不存在。 请检查查询参数。 400 ER.04009011 The resource is frozen. 资源被冻结无法操作。 请将资源解冻后尝试。 400 ER.04009012 This account is frozen or restricted. 租户被冻结或受限，无法操作资源。 请联系客服处理。 400 ER.04009013 This enterprise router has frozen attachments. 实例内存在被冻结的连接，无法变更AZ。 请联系客服处理。 400 ER.04009019 This feature is not available yet. 特性暂未开放。 请咨询客服。 404 ER.04041001 This enterprise router does not exist. ER实例不存在 请检查参数是否正确。 404 ER.04042001 This association does not exist. 关联关系不存在。 请检查参数是否正确。 404 ER.04043001 This propagation does not exist. 传播关系不存在。 请检查参数是否正确。 404 ER.04044001 This attachment does not exist. 连接不存在。 请检查参数是否正确。 404 ER.04045001 This route table does not exist. 路由表不存在。 请检查参数是否正确。 404 ER.04046001 This route does not exist. 路由不存在。 请检查参数是否正确。 409 ER.04091002 This enterprise router is being used by other resources. ER实例被使用。 请先删除依赖资源后重试。 409 ER.04095002 This route table is being used by other resources. 路由表被使用。 请先删除依赖资源后重试。 409 ER.04095104 The default association route table cannot be deleted. 默认关联路由表无法被删除。 请禁用默认路由表关联功能。 409 ER.04095105 The default propagation route table cannot be deleted. 默认传播路由表无法被删除。 请禁用默认路由表传播功能。 503 ER.05039006 This service is temporarily unavailable. 服务暂时不可用。 请联系客服或稍后重试。 父主题： 附录

概述 欢迎使用企业路由器（Enterprise Router, ER）。企业路由器可以连接虚拟私有云（Virtual Private Cloud, VPC）或本地网络来构建中心辐射型组网，是云上大规格，高带宽，高性能的集中路由器。企业路由器使用边界网关协议（Border Gateway Protocol, BGP），支持路由学习、动态选路以及链路切换，极大的提升网络的可扩展性及运维效率，从而保证业务的连续性。 您可以使用本文档提供API对企业路由器进行相关操作，如创建企业路由器、在企业路由器中添加连接、创建路由表、添加路由等。支持的全部操作请参见API概览。 在调用企业路由器API之前，请确保已经充分了解企业路由器相关概念，详细信息请参见“什么是企业路由器”。 父主题： 使用前必读

状态码 表1 正常状态码 状态码 编码 说明 200 OK GET、PUT、POST操作正常返回。 201 Created POST操作正常返回。 202 Accepted 常用于需要很长时间才能处理的操作。 表示该请求已被接受处理，但处理尚未完成。 204 No Content DELETE操作正常返回。 表2 异常状态码 状态码 编码 说明 400 Bad Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。 406 Not Acceptable 服务器生成的响应无法被客户端所接受。 407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证，这样请求才会被处理。 408 Request Timeout 请求超出了服务器的等待时间。 409 Conflict 由于冲突，请求无法被完成。 500 Internal Server Error 请求未完成。服务异常。 501 Not Implemented 请求未完成。服务器不支持所请求的功能。 502 Bad Gateway 请求未完成。服务器从上游服务器收到一个无效的响应。 503 Service Unavailable 请求未完成。系统暂时异常。 504 Gateway Timeout 网关超时。 父主题： 附录

API概览 通过使用企业路由器服务所提供的接口，您可以完整的使用企业路由器服务的所有功能。 表1 接口说明 类型 说明 企业路由器 您可以通过企业路由器相关的API，执行查询企业路由器实例列表、创建企业路由器实例、更新企业路由器实例以及删除企业路由器实例等操作。 VPC连接 您可以通过VPC连接相关的API，执行查询VPC连接列表、创建VPC连接、更新VPC连接以及切换VPC连接的子网等操作 其他连接 您可以通过连接相关的API，针对VGW连接、Peering连接，执行更新连接信息、查询连接详情以及查询连接列表等操作 路由表 您可以通过路由表相关的API，执行查询路由表列表、创建路由表、更新路由表以及删除路由表等操作。 关联 您可以通过关联相关的API，执行查询路由表关联列表、在路由表创建以及删除关联等操作。 传播 您可以通过传播相关的API，执行查询路由传播列表、在路由表创建以及删除传播等操作。 路由 您可以通过路由相关的API，执行查询路由、修改路由、创建及删除静态路由等操作。 标签 您可以通过标签相关的API，执行通过标签查询项目标签、查询资源标签、创建以及删除资源标签等操作。 可用区 你可以通过可用区API，执行查询支持创建企业路由器实例的可用区列表操作。

企业路由器 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 创建企业路由器 POST /v3/{project_id}/enterprise-router/instances er:instances:create √ √ 更新企业路由器 PUT /v3/{project_id}/enterprise-router/instances/{enterprise_router_id} er:instances:update √ √ 查询企业路由器详情 GET /v3/{project_id}/enterprise-router/instances/{enterprise_router_id} er:instances:get √ √ 查询企业路由器列表 GET /v3/{project_id}/enterprise-router/instances er:instances:list √ √ 更新企业路由器的可用区 POST /v3/{project_id}/enterprise-router/instances/{enterprise_router_id}/change-availability-zone-ids er:instances:changeAZ √ √ 删除企业路由器 DELETE /v3/{project_id}/enterprise-router/instances/{enterprise_router_id} er:instances:delete √ √ 父主题： 权限和授权项

VPC连接 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 创建VPC连接 POST /v3/{project_id}/enterprise-router/{er_id}/vpc-attachments er:attachments:create √ √ 更新VPC连接基本信息 PUT /v3/{project_id}/enterprise-router/{er_id}/vpc-attachments/{vpc_attachment_id} er:attachments:update √ √ 查询VPC连接详情 GET /v3/{project_id}/enterprise-router/{er_id}/vpc-attachments/{vpc_attachment_id} er:attachments:get √ √ 查询VPC连接列表 GET /v3/{project_id}/enterprise-router/{er_id}/vpc-attachments er:attachments:list √ √ 删除VPC连接 DELETE /v3/{project_id}/enterprise-router/{er_id}/vpc-attachments/{vpc_attachment_id} er:attachments:delete √ √ 父主题： 权限和授权项

其他连接 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 更新连接基本信息 PUT /v3/{project_id}/enterprise-router/{er_id}/attachments/{attachment_id} er:attachments:update √ √ 查询连接详情 GET /v3/{project_id}/enterprise-router/{er_id}/attachments/{attachment_id} er:attachments:get √ √ 查询连接列表 GET /v3/{project_id}/enterprise-router/{er_id}/attachments er:attachments:list √ √ 父主题： 权限和授权项

关联 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 创建关联 POST /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route_table_id}/associate er:associations:associate √ √ 查询关联列表 GET /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route_table_id}/associations er:associations:list √ √ 删除关联 POST /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route_table_id}/disassociate er:associations:disassociate √ √ 父主题： 权限和授权项

路由 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 创建静态路由 POST /v3/{project_id}/enterprise-router/route-tables/{route_table_id}/static-routes er:routes:create √ √ 修改静态路由 PUT /v3/{project_id}/enterprise-router/route-tables/{route_table_id}/static-routes/{route_id} er:routes:update √ √ 查询静态路由详情 GET /v3/{project_id}/enterprise-router/route-tables/{route_table_id}/static-routes/{route_id} er:routes:get √ √ 查询静态路由列表 GET /v3/{project_id}/enterprise-router/route-tables/{route_table_id}/static-routes er:routes:list √ √ 查询有效路由列表 GET /v3/{project_id}/enterprise-router/route-tables/{route_table_id}/routes er:routes:list √ √ 删除静态路由 DELETE /v3/{project_id}/enterprise-router/route-tables/{route_table_id}/static-routes/{route_id} er:routes:delete √ √ 父主题： 权限和授权项

使用流程介绍 图1 使用流程图 表1 使用流程说明 流程 说明 操作指导 创建简单对话 技能是指完成某个特定功能的能力。如构建一个订机票、查询天气的机器人。 通过配置不同技能，可以让您的机器人进行多轮对话，或完成指定任务，如订票、查天气等。您还可以自定义技能，也可以将系统预置或其他用户共享的技能加到自己的机器人中，直接使用。 创建技能 配置意图 配置对话流程（可选） 在 智能问答机器人 中，配置一个灵活好用的多轮对话流程，需要投入大量的时间和人力。但是一个图形化对话流程图可以大大提高智能对话系统配置的效率，提升多轮对话的效果，降低开发者的配置成本。因此， 对话机器人服务 提供对话流程功能，用流程图的方式，模拟真实的对话场景，来完成灵活的多轮对话功能。 新建条件判断节点 新建信息收集节点 新建接口调用节点 新建对话回复节点 新建知识库回复节点 异常回复 检测对话流程 训练发布 进行数据标注前，需要先创建训练集。 训练集是对话语料的集合，类似文件夹的作用，可以将不同来源或者不同时段获取的对话语料放在不同的对话训练集中。 当您有大量的语料信息时，可通过创建训练集、导入语料并标注语料的方式配置训练集。 选择用户常用问法或训练集训练版本，配置合适的阈值，版本训练发布成功，技能变为“运行中”状态后，才可以进行对话体验。 数据标注（可选） 发布测试 对话体验 完成配置后，通过对话体验，检测配置是否可以让机器人准确的回答用户问题。 对话体验

智能 问答机器人 简介 问答机器人可提供智能对话引擎，通过对机器人知识的配置，可以让机器人回答不同的问题。配置后，您可以通过API接口的方式接入已有的对话应用，比如智能客服、通讯软件、公众号等，以实现智能对话的功能。 在使用智能问答机器人之前，需要您先购买智能问答机器人，目前提供的智能问答机器人的版本有基础版、高级版、专业版和旗舰版，您可根据自己业务的需求选择对应的版本。 图1 智能问答机器人使用流程图 表1 智能问答机器人使用流程说明 流程 说明 操作指导 创建问答机器人 选择购买基础版、高级版、专业版或旗舰版智能问答机器人。 问答接口调用默认按调用次数计费，也可以购买接口调用优惠套餐包。 购买问答机器人 购买问答接口调用套餐（可选） 管理问答语料 当您创建好智能问答机器人后，需要在知识库中创建问答数据。 创建问题类别 新建问答语料 实体管理（可选） 创建好问答数据后，您需要设置实体信息，方便管理标准词和同义词。 实体管理（可选） 问答模型训练（可选） 为了让问答机器人更加智能，回答更加准确，您可以通过训练模型来提升问答机器人的效果。 基础版机器人不支持问答模型训练。 新建模型 上线模型 调整阈值 调用问答机器人 在配置完问答数据后，您可以通过对话体验的方式直接调用 对话机器人 ，为客户提供问答服务。 您可以通过调用API接口进行二次开发，为您提供使用Postman和 API Explorer 调用API接口的方法。 对话体验 调用API 问答诊断 当问答机器人上线运营期间，您可以通过“问答诊断”功能，查看机器人对用户问题的分词、排序、答复过程，基于调试结果，对已有的知识库、词典、数据标注或模型进行优化。 基础版机器人不支持问答诊断。 问答诊断 运营面板 您可以通过问答数据总览功能定期查看机器人的统计数据：问答统计、访问统计、热点问题、关键词统计。 还可以定期查看机器人的对话日志和未解决问题，并根据数据情况提出解决方案。如补充知识库、管理词典等措施，来提升对话机器人的体验效果。 数据总览 对话分析 父主题： 智能问答机器人

操作步骤 登录 云审计 服务控制台。 单击左侧导航树的“事件列表”，进入事件列表信息页面。 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。 其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 在需要查看的事件左侧，单击展开该事件的详细信息。 单击需要查看的事件“操作”列的“查看事件”，可以在弹窗中查看该操作事件结构的详细信息。 更多关于云审计服务事件结构的信息，请参见《云审计服务用户指南》。

对话日志 展示机器人在对话体验、接口调用等场景下产生的所有日志。您可以根据日期、问答类型、用户问关键词、对话ID来筛选搜索对话日志。通过右上角按钮，导出筛选的结果，导出的文件需保存在OBS桶内，可跳转至OBS管理页面进行下载查看。可以通过查看解析日志，来查看机器人对指定问题解析的JSON体。问答类型包括以下几种： 知识-直接命中：机器人直接返回答案。 知识-推荐知识：机器人无法直接返回答案，返回推荐的相似问。 知识-无效问题：机器人匹配到无效问题。 兜底：机器人返回识别失败回复。 闲聊：机器人返回闲聊匹配的答案。 技能：机器人调用技能返回答案。 文档问答：机器人返回匹配的文档答案。 表格问答：机器人返回匹配的表格答案。 图谱问答：机器人返回匹配的图谱答案。 问答机器人在运营一段时间后，CBS服务将记录用户提问和机器人返回的详细日志，方便管理员查看机器人实时的问答效果。 系统记录的问答日志如图1所示。 图1 问答日志 “对话日志”只保存最近三个月数据，如果您需要永久保存，请使用上角按钮，导出筛选的结果，并在本地存储。

未解决问题 机器人在使用过程中，会自动整理未解决的用户问，并会自动把意思相近的用户问做聚类处理，同时展示重复次数，您可以根据重复次数进行排序。另外您也可以根据时间、操作状态、问题类型、问题关键字来筛选搜索这些问题，然后对这些问题闭环处理。建议您定期处理未解决问题，以提升问答效果。 未解决问题类型 兜底：机器人返回识别失败回复。 不满意：机器人为用户找到对应答案后，用户选择对答案不满意的问题。 转人工：需要通过人工方式解决的问题。 推荐问：机器人无法直接返回答案，返回推荐的相似问。 闭环处理操作 添加语料：可以把指定问题添加进知识库。 在操作列单击“添加语料”。 在“添加语料”页面，您可以根据业务情况选择问题类别并填写相关配置。 单击“确认”保存语料，新增的语料将呈现在知识库的列表中。 关联语料：可以把指定问题关联成某个问题的扩展问。 在操作列单击“关联语料”。 在“关联语料”页面的搜索框中，输入问题关键词查找对应的语料，然后勾选此语料。 单击“确认”保存。 忽略：对该问题不做处理，忽略该问题。

终端节点 终端节点（Endpoint）即调用API的请求地址，不同服务不同区域的终端节点不同，您可以从地区和终端节点中查询服务的终端节点。 DSC的终端节点如表1所示。 表1 数据安全中心 的终端节点 区 域名 称 区域 终端节点（Endpoint） 协议类型 华南-广州 cn-south-1 sdg.cn-south-1.myhuaweicloud.com HTTPS 华北-北京1 cn-north-1 sdg.cn-north-1.myhuaweicloud.com HTTPS 华北-北京四 cn-north-4 sdg.cn-north-4.myhuaweicloud.com HTTPS 华东-上海一 cn-east-3 sdg.cn-east-3.myhuaweicloud.com HTTPS 华东-上海二 cn-east-2 sdg.cn-east-2.myhuaweicloud.com HTTPS 华北-乌兰察布一 cn-north-9 sdg.cn-north-9.myhuaweicloud.com HTTPS 父主题： 使用前必读

日志管理 通过授权 对象存储服务 （Object Storage Service，OBS）存储 态势感知 日志，帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 表11 日志管理功能说明 功能模块 功能详情 日志管理 通过OBS存储日志，满足SA日志审计和容灾需求。 为应对SA日志的容灾恢复，将存储到OBS桶的日志，通过 数据接入服务 （Data Ingestion Service）传输到线下SIEM系统，恢复和离线管理SA日志数据。同时，可将线下SIEM系统日志数据，通过DIS重新传输上云进行分析和存储。 DIS支持通过以下几种方式上传和下载数据：Kafka Adapter、DIS Agent、DIS Flume Plugin、DIS Flink Connector、DIS Spark Streaming、DIS Logstash Plugin等，详细说明请参见使用DIS。

产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源。 表12 产品集成功能说明 功能模块 功能详情 安全产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 已接入的 华为云产品 /服务 企业主机安全 （HSS）、 Web应用防火墙 （WAF）、AntiDDoS流量清洗（AntiDDoS）、 云堡垒机 （CBH）、 容器安全服务 （CGS）、 漏洞扫描服务 （VSS）。 企业主机安全（HSS）支持接入主机告警、主机基线、主机漏洞类型的检测数据。 支持接入数据源产品 华为产品、第三方服务商产品、线下自有产品等。 支持威胁情报溯源 安天威胁情报综合分析平台（TID）

威胁告警事件 默认“实时监控”并上报威胁告警事件，支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 表6 威胁告警事件说明 告警名称 威胁告警说明 DDoS “实时检测”华为云、非华为云及IDC的互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 异常行为 “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 接入的MTD服务上报的告警事件 包括暴力破解、恶意攻击、渗透、挖矿攻击等恶意活动和未经授权行为。 漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 SMBv1漏洞攻击 WebCMS漏洞攻击 命令控制 “实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为

漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机 漏洞扫描 和 网站漏洞扫描 结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 表7 漏洞管理功能说明 功能模块 功能详情 主机漏洞 通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 Linux软件漏洞扫描 通过比对国际通用漏洞库，检测系统和官方软件（非绿色版、非自行编译安装版，例如：SSH、OpenSSL、Apache、MySQL等）存在的漏洞，识别Linux系统存在的漏洞风险。 Windows软件漏洞扫描 通过同步国际通用补丁源，识别并告警提醒Windows系统潜在漏洞风险。 Web-CMS漏洞扫描 通过对Web目录和文件进行检测，识别出Web-CMS漏洞，提升Web服务安全性。 网站漏洞 通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 Web常规漏洞扫描 提供OWASP TOP10和WASC的漏洞检测能力，支持扫描30多种常见漏洞。包括XSS、SQL注入等。 网站弱密码扫描 全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测；比对丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 网站端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的端口。 CVE网站漏洞扫描 同步国际通用漏洞库，扫描网站安全状况。 网页内容合规检测 对网站文字和图片规范性进行检测。 网站挂马检测 检测网站是否被上传木马，避免网站运行时自动执行木马程序，而被黑客控制。 网站链接健康检测 检测网站的链接地址健康性状态，避免网站出现死链、暗链、恶意链接。 应急漏洞公告 针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。

基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 表8 基线检查功能说明 功能模块 功能详情 云服务基线 通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 支持检测“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”风险类别，了解云服务风险配置的所在范围和风险配置数目。 安全上云合规检查 针对上云用户服务产品身份与访问管理、检测、基础设施防护、数据保护、事件响应风险检查。 护网检查 云战区产品团队安全风险排查及加固指导。 等保2.0三级要求 国家2.0等保通用三级合规检查。

安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 表10 安全报告功能说明 功能模块 功能详情 分析报告 安全分析报告支持以多种报告形式呈现报告内容，支持选择自动或手动触发发送报告，并支持管理报告列表和历史报告。 报告内容 包括安全评分、资产风险、威胁告警、基线风险、资产漏洞，以及可自定义小结。 报告形式 周期报告：按一定周期（按月或按周），自动生成并发送报告，包括周报和月报。 单次报告：可自选时间范围编辑报告内容，生成一次性报告，可生成季度报、周报、日报等形式。 报告发送方式 包括自动发送和手动触发发送。

威胁告警 “实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前，支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制，详细说明请参见威胁告警事件。 表5 威胁告警功能说明 功能模块 功能详情 告警列表 列表呈现威胁告警事件统计信息，支持查看告警事件和受威胁资产详情，并支持导出全部告警事件。 威胁分析 支持从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。 告警监控 自定义监控的威胁名单、告警类型、告警级别等，选择性呈现关注的威胁告警。 通知告警 自定义威胁告警通知，支持设置每日定时告警通知和实时告警通知，通过接收 消息通知 及时了解威胁风险。

业务分析 业务分析全面展示云上资产的安全状态和存在的安全风险。 表3 业务分析功能说明 功能模块 功能详情 HSS专项分析 关联HSS云主机资产防护服务，分析并呈现主机的安全状态和存在的安全风险，需先购买HSS服务。 WAF专项分析 关联WAF网络应用防火墙服务，分析并呈现网络应用的安全状态和存在的安全风险，需先购买WAF服务。 DBSS专项分析 关联DBSS数据库安全服务，分析并呈现数据的安全状态和存在的安全风险，需先购买DBSS审计服务。

综合大屏 利用AI技术将海量 云安全 数据的分析并分类，通过综合大屏将 数据可视化 展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 综合大屏功能为额外购买的功能，在购买专业版时为选购付费项目。 表4 综合大屏功能说明 功能模块 功能详情 综合态势感知 大屏集中展示云上综合安全态势，支持查看以下组件内容： 全网安全地图 将攻击源和受威胁资产具象化，投射到全球区域地图，动态呈现全网受威胁资产区域和攻击来源地。 全网威胁度 统计全网资产受威胁数目。 今日威胁雷达图 呈现当日检测出的威胁事件数目。 威胁事件趋势 呈现近7天的威胁事件数目的变化趋势。 受威胁资产数量趋势 呈现近7天的受威胁资产数量的变化趋势。 威胁类型分布 呈现不同威胁类型的分布状况。 受攻击资产区域分布 呈现受威胁主机的区域分布状况。 威胁源主机TOP5 呈现攻击次数前五的攻击源主机信息。 主机安全态势 大屏集中呈现华为云主机安全态势，支持查看以下组件内容： 风险主机地图 将风险主机具象化，投射到各区域，动态呈现当日总主机风险数量、Windows系统主机风险数量、Linux系统主机风险数量。 主机安全事件统计 呈现5类威胁事件发生次数，以及受威胁资产数量，主要包括暴力破解、异地登录、恶意程序、网站后门和文件变更。 资产统计 呈现当前华为云Windows系统主机和Linux系统主机数量。 近7天暴力破解趋势 呈现近7天暴力破解攻击次数的变化趋势。 近7天风险主机趋势 呈现近7天风险主机被攻击次数的变化趋势。 TOP5风险云主机 呈现被攻击次数前五的风险主机信息。 暴力破解类型 呈现5类暴力破解攻击主机的次数，以及不同类型暴力破解分布情况。 漏洞检测 呈现当日检测出的Windows漏洞和Linux漏洞个数，以及所占比例。 基线检测 呈现云服务基线检测出的风险数。

资源管理 态势感知支持呈现云上资产实时安全状态。 表2 资源管理功能说明 功能模块 功能详情 资源管理 同步当前帐号中所有资源的安全状态统计信息。 支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 目前支持查看以下资源的安全状况： 弹性云服务器 E CS 、虚拟私有云 VPC、对象存储服务 OBS、弹性公网IP EIP、云解析服务 DNS、弹性负载均衡 ELB、云数据库 RDS、裸金属服务器 BMS、云容器引擎 CCE、云容器实例 CCI、Web应用防火墙 WAF、SSL证书管理 SCM、云硬盘 EVS

攻击类型 DDoS攻击 分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是指攻击者使用网络上多个被攻陷的电脑作为攻击机器，向特定的目标发动DoS攻击。DoS（Denial of Service）攻击也称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。 后门木马 后门木马又称特洛伊木马（Trojan Horse），是一种后门程序。后门木马具有很高的伪装性，通常表现为一个正常的应用程序或文件，以获得广泛的传播和目标用户的信任。当目标用户执行后门木马程序后，攻击者即可对用户的主机进行破坏或盗取敏感数据，如各种账户、密码、保密文件等。在黑客进行的各种攻击行为中，后门木马基本上都起到了先导作用，为进一步的攻击打下基础。 僵尸主机 僵尸主机亦称傀儡机，是由攻击者通过木马蠕虫感染的主机，大量僵尸主机可以组成僵尸网络（Botnet）。攻击者通过控制信道向僵尸网络内的大量僵尸主机下达指令，令其发送伪造包或垃圾数据包，使攻击目标瘫痪并“拒绝服务”，这就是常见的DDoS攻击。此外，随着虚拟货币（如比特币）价值的持续增长，以及挖矿成本的逐渐增高，攻击者也开始利用僵尸主机进行挖矿和牟利。 异常行为 异常行为主要指在主机中发生了一些不应当出现的事件。例如，某用户在非正常时间成功登录了系统，一些文件目录发生了计划外的变更，进程出现了非正常的行为等。这些异常的行为事件很多是有恶意程序在背后作乱。所以在发生这类异常行为时，应当引起重视。态势感知中的异常行为数据主要来源于主机安全服务。 漏洞攻击 漏洞是指计算机系统安全方面的缺陷，可导致系统或应用数据遭受保密性、完整性、可用性等方面的威胁。攻击者利用漏洞获取计算机权限、盗取敏感数据、破坏软硬件系统等行为均可称为漏洞攻击。 命令与控制 域名生成算法（Domain Generation Algorithm，简称DGA）是一种利用随机字符生成命令与控制（Command and Control，简称C&C）域名的技术，常被用于逃避域名黑名单功能的检测。 攻击者利用DGA生产恶意域名后，选择部分域名进行注册并指向C&C服务器。当受害者运行恶意程序后，主机将通过恶意域名连接至C&C服务器，攻击者即可远程操控主机。

漏洞风险通报 随着企业业务的不断上云，为避免漏洞被成功利用，需尽可能多的找出并修复漏洞。 态势感知通过采集云上应急安全通告，能够实时披露新发现的漏洞，通报突发安全漏洞事件和预警潜在漏洞；同时通过集成漏洞扫描结果，能够定期进行漏洞扫描，集中管理主机漏洞和网站漏洞，对系统、软件和网站进行检测，检测出系统、软件和网站存在的漏洞，针对检测到的漏洞提供修复建议。 集中的云上漏洞管理，快速帮助用户识别关键风险，发现攻击者可能感兴趣的资产，帮助用户快速弥补安全短板。

计费项 态势感知基础版 免费体验 。标准版、专业版按选购的资产配额数和综合大屏计费，其中综合大屏功能为可选增值项目。 表1 计费项说明 版本 计费项 计费说明 基础版 无 免费体验，不计费。 标准版 资产配额 按购买的资产配额数计费，包括主机资产配额数和网站资产配额数。 按包周期购买计费 提供包月和包年的购买模式。 专业版 资产配额 按购买的资产配额数计费，包括主机资产配额数和网站资产配额数。 综合大屏（可选） 增值项。若有大屏展示需求，您需在已购买资产配额基础上，额外付费购买。 按包周期购买计费 提供包月和包年的购买模式。 按需购买计费 即开即停，按小时结算。

变更配置 变更计费模式 当您对当前按需计费资源有长期使用需求，可选择将按需变更为包周期。在转包周期过程将生成新的订单，支付订单后，包周期资源则立即生效。 变更资产配额 当您的资产数量增加，可在当前计费模式内增加资产配额数，不支持减少配额数。 开通综合大屏功能 当您需要态势大屏展示，可在原有资产配额基础上，追加综合大屏功能。 退订 若购买态势感知后，需停止使用，请执行退订操作。 基础版不支持退订。 标准版不支持直接升级到专业版，且专业版也不支持直接变更到标准版。如需使用对应版本，需退订当前版本后再进行购买。 标准版仅支持通过包周期计费模式进行购买。 不支持部分配额购买标准版，部分配额购买专业版。 综合大屏为专业版额外选购付费项目，如需使用综合大屏，请先购买专业版。