华为云用户手册

【2022年12月16日】DigiCert和GeoTrust品牌在圣诞节调休期间暂停OV、EV证书审核的通知 尊敬的华为云客户，您好： 根据DigiCert和GeoTrust的通知，由于圣诞节调休，DigiCert和GeoTrust两个品牌在如下时间不会进行OV、EV证书的审核： 2022年12月20日 12:00:00-23:59:59 2022年12月26日 00:00:00-23:59:59 2023年1月2日 00:00:00-23:59:59 在此期间，如您有任何异议，请随时与我们联系，华为云SSL证书团队将一如既往竭诚为您服务。 感谢您对华为云的支持！

【2022年07月25日】停用SSL证书OU字段通知 尊敬的华为云客户，您好： 根据CA/B（国际CA/浏览器产业联盟：CA/Browser Forum，简称CA/B）论坛的要求，华为云SSL证书管理将于2022年7月25日起停用SSL证书中的OU字段，具体影响如下： 自2022年7月25日起，申请新的SSL证书时不用配置OU字段。 自2022年8月29日起，所有新颁发的SSL证书中将不再含有OU字段。 2022年8月29日前，已颁发的含有OU字段的SSL证书不受任何影响。 在此期间，如您有任何异议，请随时与我们联系，华为云SSL证书团队将一如既往竭诚为您服务。 感谢您对华为云的支持！

场景介绍 使用HBase二级索引可以加速带Filter的条件查询，支持HIndex（本地索引，即Local Secondary Index，简称为LSI）和全局二级索引（Global Secondary Index，简称为GSI）。全局二级索引相较于本地索引（HIndex），查询性能更好，适合读时延要求高的场景。 HBase全局二级索引，使用独立的索引表存储索引数据。当给定的查询条件可以命中索引时，可以将对数据表的全表查询转换为对索引表的精确范围查询，提升查询速度。开启全局二级索引特性后，应用侧代码无需特殊修改，简单易用。 HBase全局二级索引支持以下重点特性： 复合索引 支持指定多个列作为索引列（支持跨列族）。 覆盖索引 支持指定多个列/列族作为覆盖列/列族冗余存储到索引表中，用于索引查询中对非索引列的快速查询。 索引TTL 支持索引表TTL。用于支持数据表开启TTL的场景，为了保障与数据表的一致性，索引表TTL将自动继承数据表索引列和覆盖列的TTL，不支持手动指定。 索引在线变更 支持索引在线创建、删除和修改状态，不影响数据表读写。 索引在线修复 当查询命中的索引数据无效时，可以触发索引修复，保障最终查询结果正确。 索引工具 支持索引一致性检查、索引修复、索引创建/删除/修改状态、索引数据重建等功能。

操作场景 该章节主要介绍如何在HBase Shell命令行查询慢请求或超大请求信息。慢请求是指通过hbase shell命令查询服务端时，RPC请求响应时长超过阈值（即HBase服务端配置参数“hbase.ipc.warn.response.time”，默认值为“3000”ms）的请求；超大请求是指通过hbase shell命令查询服务端时，RPC请求一次返回数据量大小超过阈值（即HBase服务端配置参数“hbase.ipc.warn.response.size”，默认值为“5MB”）的请求。 每个RegionServer节点默认会缓存最近的256条慢请求和超大请求，可以通过 FusionInsight Manager中HBase服务端配置参数“hbase.regionserver.slowlog.ringbuffer.size”调整缓存的大小。

命令说明 该操作主要涉及新增的hbase shell命令如下： get_slowlog_responses：查询慢请求信息。 get_largelog_responses：查询超大请求信息。 clear_slowlog_responses：清理RegionServer缓存中的数据。 可以在hbase shell中执行如下命令查看相关命令如何使用： help 'cmdName' 例如，执行help 'clear_slowlog_responses'查看clear_slowlog_responses命令的使用方法：

按自定义分隔符导入数据至HBase 将数据文件上传到客户端所在节点，例如上传名为“data.csv”的文件到客户端所在节点的“/opt/test”目录下，分隔符为“|^[”，文件内容如下所示： 以客户端安装用户，登录安装客户端的节点。 执行以下命令切换到客户端目录。 cd 客户端安装目录 执行以下命令配置环境变量。 source bigdata_env 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户，当前用户需要具有创建HBase表的权限和HDFS的操作权限： kinit 组件业务用户 如果当前集群未启用Kerberos认证，则执行以下命令设置Hadoop用户名： export HADOOP_USER_NAME=hbase 执行以下命令，把1的数据文件“data.csv”上传至HDFS目录，例如上传至“/tmp”目录： hdfs dfs -put /opt/test/data.csv /tmp 执行Phoenix客户端命令。 sqlline.py 执行以下命令创建TEST表： CREATE TABLE TEST ( ID INTEGER NOT NULL PRIMARY KEY, NAME VARCHAR, AGE INTEGER, ADDRESS VARCHAR, GENDER BOOLEAN, A DECIMAL, B DECIMAL ) split on (1, 2, 3,4,5,6,7,8,9); 表创建成功后，执行!quit退出Phoenix命令行。 执行导入命令： hbase org.apache.phoenix.mapreduce.CsvBulkLoadTool -md '自定义分隔符' -t 表名 -i 数据路径 例如：导入数据文件“data.csv”到TEST表： hbase org.apache.phoenix.mapreduce.CsvBulkLoadTool -md '|^[' -t TEST -i /tmp/data.csv 执行以下命令，查看导入表TEST的数据： sqlline.py SELECT * FROM TEST LIMIT 10;

URI GET /v1/{project_id}/instances/{instance_id}/nodes/{node_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户在某一region下的project ID。 获取方法请参见获取项目ID。 instance_id 是 String DDM实例ID。 node_id 是 String DDM节点ID。

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 status String 节点状态。 name String 节点名称。 node_id String 节点ID。 private_ip String 节点私有IP。 floating_ip String 节点浮动IP。 server_id String 虚拟机ID。 subnet_name String 子网名称。 datavolume_id String 数据盘ID。 res_subnet_ip String 资源子网IP。 systemvolume_id String 系统盘ID。 状态码： 400 表4 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。 状态码： 500 表5 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。

响应示例 状态码： 200 OK { "status" : "normal", "name" : "ddm2-test_node_01", "node_id" : "4a2b97b7f5e3462c9c78aae93b46ed83no09", "private_ip" : "192.168.0.160", "floating_ip" : "100.65.78.158", "server_id" : "8bd4d0bd-f63e-489a-95b6-50351f9657e6", "datavolume_id" : "30ade9fb-26de-4d1f-af08-c376974b9d86", "res_subnet_ip" : "172.16.15.224", "systemvolume_id" : "88d7de55-f886-4929-ae7c-04d842959700" } 状态码： 400 bad request { "externalMessage" : "Parameter error.", "errCode" : "DBS.280001" } 状态码： 500 server error { "externalMessage" : "Server failure.", "errCode" : "DBS.200412" }

URI GET /v1/{project_id}/instances/{instance_id}/nodes?offset={offset}&limit={limit} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户在某一region下的project ID。 获取方法请参见获取项目ID。 instance_id 是 String DDM实例ID。 表2 Query参数 参数 是否必选 参数类型 描述 offset 否 Integer 索引位置，偏移量。 从第一条数据偏移offset条数据后开始查询，默认为0。 取值必须为数字，且不能为负数。 limit 否 Integer 查询个数上限值。 取值范围：1~128。 不传该参数时，默认值为128。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 nodes Array of NodeList objects DDM实例节点信息列表的集合。 offset Integer 分页参数: 起始值。 limit Integer 分页参数：每页多少条。 total Integer DDM实例节点个数。 表5 NodeList 参数 参数类型 描述 port String 端口。 status String 节点状态。 node_id String 节点ID。 ip String IP。 状态码： 400 表6 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。 状态码： 500 表7 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。

响应示例 状态码： 200 OK { "nodes" : [ { "port" : "5066", "status" : "normal", "node_id" : "4a2b97b7f5e3462c9c78aae93b46ed83no09", "ip" : "192.168.0.160" } ], "offset" : 0, "limit" : 128, "total" : 1 } 状态码： 400 bad request { "externalMessage" : "Parameter error.", "errCode" : "DBS.280001" } 状态码： 500 server error { "externalMessage" : "Server failure.", "errCode" : "DBS.200412" }

响应示例 状态码： 200 OK { "nodes" : [ { "status" : "RUNNING", "port" : 5066, "ip" : "192.168.0.160" } ], "id" : "1f5c9fd6cd984056ba89c8c87cc03278in09", "status" : "RUNNING", "name" : "ddm2-test", "created" : "2021-11-09T03:30:01+0000", "updated" : "2021-12-15T09:12:58+0000", "available_zone" : "az1", "vpc_id" : "cfaa4024-0603-4aba-81d4-2203b4ad26fb", "subnet_id" : "48f270ef-af70-4ad9-bb1c-c28dd5b37f93", "security_group_id" : "bc28ef93-0083-4652-bce6-381e14284db6", "node_count" : 1, "access_ip" : "192.168.0.160", "access_port" : "5066", "core_count" : "2", "ram_capacity" : "8", "node_status" : "RUNNING", "enterprise_project_id" : "0", "project_id" : "070c071d8e80d58c2f42c0121b10cf9f", "engine_version" : "3.0.6", "admin_user_name" : "root", "enable_ssl" : false, "flavor_ref" : "ddm.c6.large.2" } 状态码： 400 bad request { "externalMessage" : "Parameter error.", "errCode" : "DBS.280001" } 状态码： 500 server error { "externalMessage" : "Server failure.", "errCode" : "DBS.200412" }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 id String DDM实例ID。 status String DDM实例状态。具体取值请参见相关状态说明。 name String DDM实例名称。 created String DDM实例创建时间，格式为“yyyy-mm-dd Thh:mm:ssZ”。 updated String DDM实例最后更新时间。 available_zone String DDM实例可用区名称。 vpc_id String 虚拟私有云的ID。 subnet_id String 子网ID。 security_group_id String 安全组ID。 node_count Integer 节点数量。 access_ip String DDM实例访问地址。 access_port String DDM实例访问端口。 node_status String 节点状态。 core_count String CPU个数。 ram_capacity String 内存大小，单位为GB。 error_msg String 响应信息，若无异常信息则不返回该参数。 project_id String 项目ID。 order_id String 订单ID。包周期实例的订单ID，按需实例为空。 enterprise_project_id String 企业项目ID。 engine_version String 引擎版本号。 nodes Array of GetDetailfNodesInfo objects 节点信息。 admin_user_name String 管理员账号用户名。 enable_ssl Boolean 实例开启SSL标志。 true：表示实例已开启SSL。 false：表示实例未开启SSL。 flavor_ref String 规格码。 表4 GetDetailfNodesInfo 参数 参数类型 描述 status String DDM实例节点状态。 port String DDM实例节点Port。 ip String DDM实例节点IP。如果开启负载均衡，则是节点所在组的ELB IP 状态码： 400 表5 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。 状态码： 500 表6 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。

操作步骤 使用root账号登录Linux服务器。 在Linux服务器中，下载Linux环境app_publisher_x86_64_xxx.tar.gz（xxx为版本号）压缩包。 表1 app_publisher组件版本说明 堡垒机 版本 支持架构 app_publisher组件版本 下载地址 V3.3.26.0 X86和Arm V1.0.0 软件包下载地址 V3.3.30.0 X86和Arm V1.1.0 软件包下载地址 V3.3.38.0 X86 V1.2.0_CentOS7 软件包下载地址 Arm V1.2.0_UOS20 软件包下载地址 V3.3.40.0 X86 V1.3.0_CentOS7 软件包下载地址 Arm V1.3.0_UOS 软件包下载地址 V3.3.43.0 X86 V1.4.0_CentOS7 软件包下载地址 Arm V1.4.0_UOS 软件包下载地址 V3.3.46.0 X86 V1.5.0_CentOS7 软件包下载地址 Arm V1.5.0_UOS 软件包下载地址 V3.3.52.0 X86 1.6.1_EulerOS 软件包下载地址 Arm 1.6.1_EulerOS 软件包下载地址 X86 1.6.1_CentOS7 软件包下载地址 Arm 1.6.1_UOS 软件包下载地址 V3.3.60.0 X86 1.7.0_EulerOS 软件包下载地址 Arm 1.7.0_EulerOS 软件包下载地址 Arm 1.7.0_UOS 软件包下载地址 在Linux服务器中，执行以下命令，将app_publisher_x86_64_xxx.tar.gz（xxx为版本号）压缩包进行解压。 # tar -xvf app_publisher_*.tar.gz # cd app_publisher 环境之前是否已安装过firefox应用发布服务器。 是，执行以下命令，把之前安装的firefox docker镜像删除。 # docker rmi 127.0.0.1:5000/psm-firefox:0.2 删除后，继续执行5。 否，执行5。 执行以下命令，部署脚本。 # /bin/bash install.sh 执行以下命令，检查服务状态。 # service docker status active (running)表示应用发布服务器安装成功。 创建share目录（仅针对堡垒机V3.3.26.0版本）。 # mkdir /opt/autorun/share （可选）重启应用发布服务器。

注意事项 实例版本说明 部分版本的堡垒机升级至最新实例版本时，需要执行两次升级。因此升级实例版本前，请先确认 云堡垒机 当前设备系统的版本，并确认升级流程，如表1所示。 表1 升级云堡垒机实例版本至最新版本流程说明 升级前云堡垒机实例版本 升级至最新实例版本操作流程 3.3.37.0及以下版本 需进行两次升级。 第一次升级：从当前版本升级至3.3.37.6版本，升级期间不能回退。 第二次升级：从3.3.37.6版本升级至最新版本。 3.3.38.0~3.3.50.0版本（含3.3.38.0和3.3.50.0） 需进行两次升级。 第一次升级：从当前版本升级至3.3.50.4版本，升级期间不能回退。 第二次升级：从3.3.50.4版本升级至最新版本。 3.3.52.0及以上版本（最新版本除外） 直接从当前已安装版本升级至最新版本即可。 升级前 为防止因升级失败而影响使用，建议升级前备份数据，备份说明请参见备份CBH数据。 定时升级，时间需一天的间隔，建议您在无业务使用时升级，设置定时升级任务后，不能关机，重启，变更，扩容操作，升级任务开始前可以取消，重新设置升级时间。 升级中 版本升级过程约需要30min，版本升级期间云堡垒机系统不可用，但不影响主机资源运行。但在升级期间，建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失。 版本升级完成或者跨版本升级过程中，您可以在堡垒机实例详情页面选择“版本回退”，版本回退开始后堡垒机“运行状态”会变为“版本回滚中”。 升级后 版本升级完成后会自动“重启”云堡垒机，重启完成后，即可使用云堡垒机。 版本升级后用户可正常继续使用原有配置和存储数据，升级不影响系统原有配置和存储数据。 跨版本升级成功后有七天回退保留期（回退保留期间升级按钮置灰，不支持升级操作），超过七天不可回退，请升级完成后及时验证堡垒机内的数据。 升级后的扩容操作不可回退，在升级完成后，如您需要进行扩容操作请等待5分钟后再进行，且务必在验证数据无误后再进行扩容或变更操作。 跨版本升级成功后，实例ID、服务器ID、实例版本号和创建时间会发生变化。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口，升级完成后若不需要使用请第一时间关闭。 主备实例跨版本升级会自动开放22、31036、31679、31873共四个端口，升级完成后保持31679开放即可，其余端口若不需要使用请第一时间关闭。 跨版本升级前请您注意是否有在该实例中导入过Web证书，若升级前已导入，请在升级完成后重新导入一次。 版本回退 版本回退后版本会变为升级前的版本状态，升级后修改或新增的数据会丢失，并且因为数据回滚会导致当前堡垒机业务中断，请您谨慎操作。

操作场景 企业主机安全 是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、主动防御、安全运营等功能，可全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。关于企业主机安全提供的服务器安全防护功能请参见产品功能。 本文以如下配置为例，介绍购买并开启主机安全防护的操作指导。 主机：EulerOS 2.9华为云弹性云服务器 防护配额： 计费模式：包年/包月 版本规格：专业版 数量：1

准备工作 在购买主机安全防护之前，请先 注册华为账号 并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 请保证账户有足够的资金，以避免购买HSS防护配额失败。具体操作请参见账户充值。 若使用 IAM 用户进行操作，请确保已为IAM用户赋予“HSS FullAccess”权限。具体操作请参见创建用户并授权使用HSS。 购买HSS防护配额时，还需要为IAM用户授予“BSS Administrator”权限。 已准备好用于开启主机安全防护的华为云弹性云服务器。

相关操作 开启服务器主动防护功能 企业主机安全专业版为服务器提供了一些主动防护功能，这些功能在开启主机防护时并未开启或未完全开启，您可以根据自身的业务情况综合考虑是否使用这些功能，需要您自行选择开启的功能及说明如表 服务器主动防护功能说明。 表4 服务器主动防护功能说明 功能 说明 病毒查杀 病毒查杀功能使用特征病毒检测引擎，支持扫描服务器中的病毒文件，扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件；用户可根据自身需要，自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务，并及时处置检测到的病毒文件，增强业务系统的病毒防御能力。 策略管理 企业主机安全提供了多个版本，包括基础版、专业版、企业版、旗舰版、网页防篡改版和容器版；除了基础版外，企业主机安全其他每个防护版本都有对应的默认防护策略组；策略组是多个策略的集合，这些策略应用于主机上，用于集中管理和配置企业主机安全检测和防护主机的灵敏度、规则、范围等。如果您在使用企业主机安全过程中，对资产管理、基线检查、入侵检测等检测策略有定制化需求，可以根据业务需求自定义配置策略。策略组中的部分策略未默认启用，您也可以结合自身需求，选择启用。

准备工作 在购买网页防篡改防护之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 请保证账户有足够的资金，以避免购买HSS防护配额失败。具体操作请参见账户充值。 若使用IAM用户进行操作，请确保已为IAM用户赋予“HSS FullAccess”权限。具体操作请参见创建用户并授权使用HSS。 购买HSS防护配额时，还需要为IAM用户授予“BSS Administrator”权限。 已准备好用于开启网页防篡改防护的华为云弹性云服务器。

相关操作 修改防护目录下的文件/文件夹 开启网页防篡改防护后，对应防护目录下的文件/文件夹为只读状态，不允许被修改，如果您需要修改防护目录下的文件/文件夹，请参考以下方式： 添加特权进程：特权进程最多支持添加10个，详细操作请参见修改网页防篡改配置。 定时开启/关闭静态网页防篡改：除了添加特权进程外，您可以设置定时开启/关闭静态网页防篡改，在网页防篡改关闭时段修改文件/文件夹，详细操作请参见修改网页防篡改配置。 开启服务器主动防护功能 企业主机安全网页防篡改版为服务器提供了一些主动防护功能，这些功能在开启网页防篡改防护时并未开启或未完全开启，您可以根据自身的业务情况综合考虑是否使用这些功能，需要您自行选择开启的功能及说明如表 服务器主动防护功能说明。 表4 服务器主动防护功能说明 功能 说明 勒索病毒防护 勒索病毒入侵主机后，会对主机数据进行加密勒索，导致主机业务中断、数据泄露或丢失，主机所有者即使支付赎金也可能难以挽回所有损失，因此勒索病毒是当今网络安全面临的最大挑战之一。企业主机安全支持静态、动态勒索病毒防护，定期备份主机数据，可以帮助您抵御勒索病毒，降低业务损失风险。 开启容器版防护会自动为您开启勒索病毒防护，在您的主机上部署诱饵文件，并对可疑加密程序执行自动隔离。您可以修改勒索病毒防护策略，同时建议您开启勒索备份以提升勒索事后恢复能力。 应用防护 应用防护功能旨在为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 应用进程控制 应用进程控制功能支持管控应用进程运行，通过学习服务器中运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 病毒查杀 病毒查杀功能使用特征病毒检测引擎，支持扫描服务器中的病毒文件，扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件；用户可根据自身需要，自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务，并及时处置检测到的病毒文件，增强业务系统的病毒防御能力。 策略管理 企业主机安全提供了多个版本，包括基础版、专业版、企业版、旗舰版、网页防篡改版和容器版；除了基础版外，企业主机安全其他每个防护版本都有对应的默认防护策略组；策略组是多个策略的集合，这些策略应用于主机上，用于集中管理和配置企业主机安全检测和防护主机的灵敏度、规则、范围等。如果您在使用企业主机安全过程中，对资产管理、基线检查、入侵检测等检测策略有定制化需求，可以根据业务需求自定义配置策略。策略组中的部分策略未默认启用，您也可以结合自身需求，选择启用。

容器审计 容器审计支持监控和记录集群容器、非集群容器以及SWR镜像仓的各类操作和活动，以日志记录呈现在HSS控制台供用户查看和分析。 表25 容器审计功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 容器审计 容器审计功能支持对容器集群中的各种操作和活动进行监控和记录，可帮助用户洞察容器生命周期的各个阶段，包括创建、启动、停止和销毁等，以及容器之间的网络通信和数据传输情况。用户通过审计和分析，可以及时发现并处理安全问题，从而确保容器集群的安全性、稳定性。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √

安装与配置 安装与配置提供Agent管理、常用登录地、常用登录IP、SSH登录IP白名单、恶意程序自动隔离查杀、双因子认证、告警配置、容器安装与配置等功能，可满足不同应用场景的主机/ 容器安全 需求。 表26 安装与配置功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 Agent管理 可查看所有服务器的Agent状态，可进行升级、卸载、安装等操作。 支持的操作系统：Linux、Windows。 √ √ √ √ √ √ 常用登录地 配置常用登录地后，服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。 支持的操作系统：Linux、Windows。 √ √ √ √ √ √ 常用登录IP 配置常用登录IP，服务将对非常用IP登录主机的行为进行告警。 支持的操作系统：Linux、Windows。 √ √ √ √ √ √ 配置SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。 支持的操作系统：Linux。 √ √ √ √ √ √ 恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 支持的操作系统：Linux、Windows。 按需：× 包年/包月：√ √ √ √ √ √ 插件管理 对插件进行安装、卸载、升级及统一管理。 支持的操作系统：Linux。 × × × × × √ 容器安装与配置 提供集群接入HSS入口，同时支持集群、非集群容器的Agent升级、卸载操作。 支持的操作系统：Linux。 √ √ √ √ √ √

主机安全自保护 主机安全自保护是企业主机安全的自我保护功能。 表27 主机安全自保护功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 Windows自保护 防止恶意程序卸载Agent、篡改企业主机安全文件或停止企业主机安全进程。 支持的操作系统：Windows。 说明： 自保护功能依赖AV检测、HIPS检测或者勒索病毒防护功能使能驱动才能生效，只有这三个功能开启一个以上时，开启自保护才会生效。 开启自保护策略后的影响如下： Agent不支持通过主机的控制面板卸载，支持通过企业主机安全控制台卸载。 企业主机安全的进程无法被终止。 Agent安装路径C:\Program Files\HostGuard下除了log目录、data目录（如果Agent升级过，再加上upgrade目录）外的其他目录无法访问。 × × × √ √ × Linux自保护 防止恶意程序停止企业主机安全进程、卸载Agent。 支持的操作系统：Linux。 说明： 开启自保护策略后的影响如下： Agent不支持通过命令卸载，支持通过企业主机安全控制台卸载。 企业主机安全的进程无法被终止。 × × × √ √ √

白名单管理 白名单功能包含告警白名单、登录告警白名单和系统用户白名单，如需避免某些告警误报发生，可以将告警事件加入对应的白名单。 表21 白名单管理功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 告警白名单 处理告警事件时，将告警事件加入到告警白名单。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 √ √ √ √ √ √ 登录告警白名单 将目标登录端IP和登录端用户名加入登录告警白名单，HSS将对白名单内的IP和用户的访问行为进行忽略，不再告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 √ √ √ √ √ √ 系统用户白名单 对于主机中新添加的root用户组权限用户（非root用户）可添加到系统用户白名单，避免HSS进行风险账号告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 √ √ √ √ √ √

策略管理 用户可以根据需要进行策略管理配置，自定义安全检测规则，并可为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/容器安全需求。 表22 策略管理功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 策略管理 支持自定义检测策略配置与下发，能够为每组或每台主机灵活配置检测规则，便于精细化安全运营。 查看策略组列表 依据默认策略组和已创建的策略组添加策略组 自定义策略 修改和删除策略组 针对策略组包含的策略，进行修改和关闭策略 在“主机管理”页面可以对主机进行批量部署策略 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √（仅支持默认专业版策略组） √（仅支持默认企业版策略组） √ √ √

容器安全告警 容器安全告警支持对Docker、Containerd容器引擎进行入侵行为检测，实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 表20 容器安全告警功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 未分类恶意软件 对容器中运行的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 病毒 对容器进行实时检测，对在容器环境中发现的各种病毒进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 蠕虫 对容器环境中入侵的蠕虫或已存在的蠕虫进行检测，并进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 木马 对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测，发现时立即进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 僵尸网络 检测容器环境中是否存在已被传播的僵尸程序，一旦发现立即进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 后门 实时检测容器环境是否存在后门漏洞，对发现的后门病毒进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ Rootkits 检测容器环境，对可疑的内核模块和可疑的文件或文件夹进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 勒索软件 检测容器场景下勒索软件，并进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 黑客工具 检测容器环境是否存在用来控制容器的非标工具，一旦发现立即上报告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × √ √ √ √ Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 挖矿软件 实时检测容器环境中是否存在挖矿软件，并对发现的软件进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时，触发逃逸漏洞攻击告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 反弹Shell 实时监控容器环境用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 文件提权 检测当前容器系统对文件的提权。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 进程提权 检测容器环境以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 关键文件变更 对于容器场景系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 进程异常行为 检测容器场景下各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 容器进程异常 容器恶意程序 监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 容器异常启动 监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。 支持以下容器环境检测： 禁止启动特权容器(privileged:true) 需要限制容器能力集（capabilities:[xxx]） 建议启用seccomp（seccomp=unconfined） 限制容器获取新的权限(no-new-privileges:false) 危险目录映射(mounts:[...]) 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 高危命令执行 实时检测容器场景系统中执行的高危命令，当发生高危命令执行时触发告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道，容器安全监控容器进程，如果发现进程使用了危险系统调用，触发高危系统调用告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 异常Shell 检测容器系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 敏感文件访问 监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 容器镜像阻断 在Docker环境中容器启动前，告警并阻断镜像异常行为策略中指定的不安全容器镜像运行。 支持的操作系统：Linux。 检测周期：实时检测。 说明： 需安装Docker插件。 × × × × × √ 可疑命令执行 检测通过命令或工具创建、删除计划任务或自启动任务。 检测远程执行命令的可疑行为。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 运行时异常行为 提供网络、主机、Pod、容器、进程、系统调用多层次防护，可监控容器中出现的进程、文件、网络活动、进程capabilities、系统调用共5种运行时异常行为，支持对异常行为进行告警和阻断，阻止容器逃逸，保护容器运行时的安全。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 支持的操作系统：Linux。 检测周期：实时检测。 说明： 目前暂仅支持Docker容器运行时的暴力破解检测告警。 × × × × × √ 非法系统账号 检测容器场景系统中的账号，列出当前系统中的可疑账号信息并告警上报，帮助用户及时发现非法账号。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 用户密码窃取 检测容器环境中系统账号和密码Hash值被异常获取的行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 异常外联行为 检测到容器环境中存在异常外联可疑ip的行为，一旦发现进行告警上报。 支持的操作系统：Linux（仅支持5.10及以上内核版本）。 检测周期：实时检测。 × × × × × √ 端口转发检测 检测到容器环境中利用可疑工具进行端口转发行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ Kubernetes事件删除 检测集群中删除Kubernetes事件的行为，一旦发现进行警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ Pod异常行为 检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为，以及对现存pod执行的异常操作，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 枚举用户信息 检测存在枚举集群用户的权限以及可执行操作列表的行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 绑定集群用户角色 检测绑定、创建高权限集群角色或Service Account的行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 进程注入 检测将恶意代码注入到正在运行的进程的行为，一旦发现立即告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 动态库注入进程 检测通过劫持动态链接库中的函数，从而实现白加黑注入代码的行为，一旦发现立即告警上报 。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √ 内存文件进程 检测通过memfd_create的系统调用，创建一个只存在于 RAM 中的匿名恶意文件，从而执行恶意文件的行为，一旦发现立即告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √

主机安全告警 主机安全告警支持识别并阻止入侵主机的行为，实时检测主机的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 表19 主机安全告警功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 未分类恶意软件 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 病毒 对服务器进行实时检测，对在服务器资产发现的各种病毒进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 蠕虫 对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀，并进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 木马 对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测，发现时立即进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 僵尸网络 检测主机资产中是否存在已被传播的僵尸程序，一旦发现立即进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 后门 实时检测服务器系统是否存在后门漏洞，对发现的后门病毒进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ Rootkits 检测服务器资产，对可疑的内核模块和可疑的文件或文件夹进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 黑客工具 检测服务器是否存在用来控制服务器的非标工具，一旦发现立即上报告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 挖矿软件 实时检测服务器中是否存在挖矿软件，并对发现的软件进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 远程代码执行 实时检测服务器是否存在被远程调用的情况，一旦发现立即进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ Redis漏洞利用 实时检测Redis进程对服务器关键目录的修改行为，并对发现的修改行为进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ Hadoop漏洞利用 实时检测Hadoop进程对服务器关键目录的修改行为，并对发现的修改行为进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ MySQL漏洞利用 实时检测MySQL进程对服务器关键目录的修改行为，并对发现的修改行为进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 反弹Shell 实时监控用户的进程行为，支持告警和阻断进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 目前支持阻断的反弹shell类别：exec反弹Shell、Perl反弹Shell、AWK反弹Shell、Python反弹Shell.b、Python反弹Shell.a、Lua反弹Shell、mkfifo/openssl反弹Shell、PHP反弹Shell、Ruby反弹Shell、使用rssocks进行反向代理、Bash反弹Shell、Ncat反弹Shell、exec重定向反弹Shell、Node反弹Shell、Telnet双端口反弹Shell、nc反弹Shell、Socat反弹Shell、rm/mkfifo/sh/nc反弹Shell、socket/tchsh反弹Shell。 支持的操作系统：Linux。 检测周期：实时检测。 说明： 启用反弹Shell自动阻断需确保满足以下条件： 在“HIPS检测”策略中，开启“自动化阻断”。该功能默认关闭，需要手动开启。具体操作请参见配置策略。 确保已开启恶意程序隔离查杀。该功能默认关闭，需要手动开启。具体操作请参见开启恶意程序隔离查杀。 × √ √ √ √ √ 文件提权 检测当前系统对文件的提权。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 敏感文件访问 检测未经授权访问或修改敏感文件的行为。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 系统安全防护被禁用 检测勒索软件加密前准备动作：通过注册表关闭Windows Defender实时保护功能，一旦发现立即上报告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ × 备份删除 检测勒索软件加密前准备动作：删除备份格式文件或Backup文件夹下的文件，一旦发现立即上报告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ √ 异常注册表操作 检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作，一旦发现立即上报告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ √ 系统日志删除 检测到通过命令或工具清除系统日志的操作时进行告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ × 可疑命令执行 检测通过命令或工具创建、删除计划任务或自启动任务。 检测远程执行命令的可疑行为。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ 可疑进程运行 检测未经过认证或授权的应用进程运行，一旦发现进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ 可疑进程文件访问 检测未经过认证或授权的进程访问指定的目录，一旦发现进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 如果账户暴力破解成功，登录到云主机，则触发安全事件告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 √ √ √ √ √ √ 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 如果在非常用登录地登录，则触发安全事件告警。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 √ √ √ √ √ √ 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × √ √ √ √ √ 用户账号添加 检测使用命令创建隐藏账户，一旦创建成功后用户交互界面和命令查询均不可见。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ √ 用户密码窃取 检测主机中的系统账号和密码Hash值被异常获取的行为，一旦发现进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × √ √ √ √ 未知网络访问 检测对服务器未监听的端口进行访问的行为。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 云蜜罐 检测到连接主机蜜罐端口的行为，进行告警上报。 支持的操作系统：Linux、Windows。 检测周期：实时检测。 × × × √ √ √ 异常外联行为 检测到服务器存在异常外联可疑ip的行为，一旦发现进行告警上报。 支持的操作系统：Linux（仅支持5.10及以上内核版本）。 检测周期：实时检测。 × √ √ √ √ √ 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × √ √ √ √ √ 可疑的下载请求 检测到利用系统工具下载程序的可疑HTTP请求时进行告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ × 可疑的HTTP请求 检测到利用系统工具或进程执行远程托管脚本的可疑HTTP请求时进行告警。 支持的操作系统：Windows。 检测周期：实时检测。 × × √ √ √ × 端口扫描 检测用户指定的端口存在被扫描或者嗅探的行为，一旦发现进行告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ 主机扫描 检测网络对主机规则覆盖（包含对ICMP、ARP、nbtscan是覆盖）的扫描活动，一旦发现立即上报告警。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ 进程注入 检测将恶意代码注入到正在运行的进程的行为，一旦发现立即告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ 动态库注入进程 检测通过劫持动态链接库中的函数，从而实现白加黑注入代码的行为，一旦发现立即告警上报 。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ 内存文件进程 检测通过memfd_create的系统调用，创建一个只存在于RAM中的匿名恶意文件，从而执行恶意文件的行为，一旦发现立即告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ VDSO劫持 检测利用特定漏洞（如dirtycow）进行攻击，通过将恶意代码覆盖VDSO的原有代码，在root进程调用其内部代码时，完成恶意代码执行并提权的行为；一旦发现立即告警上报。 支持的操作系统：Linux。 检测周期：实时检测。 × × × √ √ √ 利用Windows工具攻击 检测利用操作系统中自带的、通常是合法的工具和功能来执行恶意操作，绕过传统安全防御机制的攻击行为；一旦发现立即告警上报。 支持的操作系统：Windows。 检测周期：实时检测。 × × × √ √ √ 注册表恶意注入 检测通过在Windows注册表中插入恶意代码或脚本，使恶意软件能够在系统启动时自动执行，绕过常规文件检测机制的攻击行为；一旦发现立即告警上报。 支持的操作系统：Windows。 检测周期：实时检测。 × × × √ √ √

病毒查杀 病毒查杀功能支持检测服务器中的病毒文件，可帮助用户清理潜在的恶意威胁。 表15 病毒查杀功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 病毒查杀 病毒查杀功能使用特征病毒检测引擎，支持扫描服务器中的病毒文件，扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件，用户可根据自身需要，自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务，并及时处置检测到的病毒文件，增强业务系统的病毒防御能力。 支持的操作系统：Linux、Windows。 检测周期：手动检测。 × √（仅支持快速查杀） √ √ √ √

容器集群防护 容器集群防护功能支持检测镜像中存在的不合规基线、漏洞恶意文件，防止不安全的容器镜像部署到集群。 表18 容器集群防护功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 容器集群防护 支持在容器镜像启动时检测其中存在的不合规基线、漏洞和恶意文件，并可根据检测结果告警和阻断未授权或含高危安全风险的容器镜像运行。 支持的操作系统：Linux。 检测周期：实时检测。 × × × × × √