云安全中心通过安装在您服务器上的Agent和云端防护中心的联动,为您提供服务器的安全告警、漏洞管理、病毒防御、基线检查、攻击分析等功能。

关于云安全中心检测范围说明,请仔细阅读以下内容:
说明 以下收集的服务器相关信息的内容如发生变动,阿里云将提前在阿里云官网的适当版面公告向您提示修改内容;如您不同意阿里云所做的修改,您有权停止使用阿里云云安全中心服务。这种情况下,您可以卸载您云服务器上的Agent。具体操作,请参见卸载Agent。如您继续使用阿里云云安全中心服务,则视为您接受阿里云所做的相关修改。

可疑文件信息

云安全中心为您提供恶意文件检测功能。系统在检测到可疑文件后会上传该文件的相关信息(包括但不限于文件的路径、MD5值、创建时间等)到云端防护中心,以便进行最终核查。确认为恶意文件后,云安全中心会向您发送安全告警通知。

可疑进程信息

云安全中心为您提供恶意进程检测功能。系统在检测到可疑进程后会上传该进程的相关信息(包括但不限于进程名、进程启动参数、进程对应文件的路径、进程启动时间等)到云端防护中心,以便进行最终核查。确认为恶意进程后,云安全中心会向您发送安全告警通知。

账户信息

云安全中心为您提供登录审计、疑似帐号提醒、暴力破解拦截等功能。系统会定期分析和上传服务器的帐号信息(包括但不限于用户名、用户权限等)和登录日志信息(包括但不限于登录名、登录IP等)。如果发生异常登录事件,云安全中心会向您发送安全告警通知。

异常连接信息

云安全中心为您提供异常网络连接检测功能。系统在检测到可疑网络连接后,会上传该网络连接的相关信息(包括但不限于访问源IP、源端口、访问目的IP、目的端口等)到云端防护中心,以便进行最终核查。确认为异常连接后,云安全中心会向您发送安全告警通知。

服务器资产信息

云安全中心为您提供资产管理功能。系统将定期收集服务器的相关资产信息(包括但不限于安装的软件信息、监听的端口信息、运行的网站信息等),并在云安全中心控制台资产中心页面为您统一展示所有资产。

容器镜像安全

云安全中心为您提供镜像安全扫描功能。系统将定期扫描容器中是否存在漏洞和恶意文件,并在云安全中心控制台镜像安全扫描页面为您展示容器中检测出的所有漏洞和恶意文件信息。

容器运行时安全

云安全中心为您提供容器运行时威胁检测功能,实时检测运行中的容器是否存在病毒文件、恶意程序、内部入侵行为、容器逃逸、高风险操作等威胁。如果在容器运行时检测出了安全风险,云安全中心会向您发送安全告警通知。

支持检测的漏洞类型

检查项目 免费版 防病毒版 高级版 企业版 旗舰版
漏洞 Linux软件漏洞
Windows系统漏洞
Web-CMS漏洞
应用漏洞 X X X
应急漏洞
基线问题 X X
云平台配置 X X

支持的安全告警类型

告警名称 告警说明
网页防篡改 实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。可检测以下子项:
  • 异常文件添加
  • 异常文件修改
  • 异常文件删除
说明 网页防篡改是云安全中心的增值服务,需要您单独购买开通后才会开启网页防篡改的防御。网页防篡改为防病毒版高级版企业版旗舰版功能,基础版不支持该功能。更多信息,请参见网页防篡改概述
进程异常行为 检测资产中是否存在超出正常执行流程的行为,包括以下子项:
  • Linux系统计划任务配置文件写入
  • Linux计划任务文件异常篡改
  • Linux可疑命令执行
  • 反弹Shell(详细信息,请参见云安全中心反弹Shell多维检测技术详解。)
  • Python应用执行异常指令
  • 利用Windows系统文件加载恶意代码
  • Windows调用mshta执行html内嵌脚本指令
  • 创建异常Windows计划任务
  • Windows regsvr32.exe执行异常指令
  • 访问恶意下载源
  • 可疑注册表配置项篡改
  • 异常调用系统工具
  • 执行恶意命令
  • 可疑特权容器启动
  • 启动项异常修改
网站后门 使用自主查杀引擎检测常见后门文件,支持定期查杀和实时防护,并提供一键隔离功能。
  • Web目录中文件发生变动会触发动态检测,每日凌晨扫描整个Web目录进行静态检测。
  • 支持针对网站后门检测的资产范围配置。
  • 对发现的木马文件支持隔离、恢复和忽略。
说明 基础版仅支持部分类型Webshell检测,云安全中心其他版本支持所有类型的WebShell检测。如果您需要执行所有类型的WebShell检测,建议您升级到防病毒版高级版企业版旗舰版。升级的具体操作,请参见升级与降配
异常登录 检测服务器上的异常登录行为。通过设置合法登录IP、时间及账号,对于例外的登录行为进行告警。支持手动添加和自动更新常用登录地,对指定资产的异地登录行为进行告警。

可检测以下子项:

  • ECS非合法IP登录
  • ECS在非常用地登录
  • ECS登录后执行异常指令序列(SSH)
  • ECS被暴力破解成功(SSH)
更多信息,请参见云安全中心检测和告警异常登录功能的原理
异常事件 检测程序运行过程中发生的异常行为。
敏感文件篡改 检测是否存在对服务器中的敏感文件进行恶意修改,包含Linux共享库文件预加载配置文件的可疑篡改等行为。
恶意进程(病毒云查杀) 采用云+端的查杀机制,对服务器进行实时检测,并对检测到的病毒文件提供实时告警。您可通过云安全中心控制台对病毒程序进行处理。

可检测以下子项:

  • 访问恶意IP
  • 挖矿程序
  • 自变异木马
  • 恶意程序
  • 木马程序
更多信息,请参见病毒云查杀
异常网络连接 检测网络显示断开或不正常的网络连接状态。

可检测以下子项:

  • 主动连接恶意下载源
  • 访问恶意域名
  • 矿池通信行为
  • 可疑网络外连
  • 反弹Shell网络外连(详细信息,请参见云安全中心反弹Shell多维检测技术详解。)
  • Windows异常网络连接
  • 疑似内网横向攻击
  • 疑似敏感端口扫描行为(包括22、80、443、3389等常用端口)
其他 检测DDoS流量攻击等网络入侵行为和客户端异常离线。
异常账号 检测非合法的登录账号。
应用入侵事件 检测通过系统的应用组件入侵服务器的行为。
云产品威胁检测 检测您购买的其他阿里云产品中是否存在威胁,例如是否存在可疑的删除ECS安全组规则行为。
精准防御 病毒查杀功能提供了精准防御能力,可对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行防御。关于如何开启该功能,请参见主动防御
应用白名单 通过在白名单策略中设置需要重点防御的服务器应用,检测服务器中是否存在可疑或恶意进程,并对不在白名单中的进程进行告警提示。
持久化后门 检测服务器上存在的可疑计划任务,对攻击者持久入侵用户服务器的威胁行为进行告警。
Web应用威胁检测 检测通过Web应用入侵服务器的行为。
恶意脚本 检测资产的系统功能是否受到恶意脚本的攻击或篡改,对可能的恶意脚本攻击行为进行告警提示。

恶意脚本分为有文件脚本和无文件脚本。攻击者在拿到服务器权限后,使用脚本作为载体来达到进一步攻击利用的目的。利用方式包括植入挖矿程序、添加系统后门、添加系统账户等操作。恶意脚本的语言主要包括Bash、Python、Perl、Powershell、BAT、VBS。

威胁情报 利用阿里云自研的威胁情报库对访问流量、日志进行关联分析,识别出可能已经发生的威胁事件,主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。
恶意网络行为 通过流量内容、服务器行为等日志综合判断的异常网络行为,包括攻击者通过开放的网络服务入侵主机、或主机沦陷后对外发起的异常网络行为。
容器集群异常 检测正在运行的容器集群安全状态,帮助您及时发现容器集群中的安全隐患和黑客入侵行为。

您需要先打开云安全中心控制台设置页面,在容器K8s威胁检测模块开启威胁检测开关,云安全中心才会对容器集群异常行为进行检测。更多信息,请参见容器K8s威胁检测

可信异常 检测服务器的系统进程是否存在修改、启动过程是否出现异常等问题。
为了正常显示告警处理和查看资产状态,您需要为c6t等可信ECS实例配置一个ECS RAM角色并赋予足够权限。例如,您可以创建一个RAM角色,将云服务器设置为授信主体,并精确赋予它系统可信服务的访问权限。更多信息,请参见云服务器ECS实例RAM角色概述。访问系统可信服务的策略定义如下:
{
    "Statement": [
        {
            "Action": [
                "yundun-systrust:GenerateNonce",
                "yundun-systrust:GenerateAikcert",
                "yundun-systrust:RegisterMessage",
                "yundun-systrust:PutMessage"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ],
    "Version": "1"
}
注意 由于RAM用户的权限分配直接影响您的数字资产的安全性,强烈建议您阅读RAM帮助文档,并根据您的实际需要分配权限,不要给予RAM角色过多权限。