主机防护设置主动防御网站后门查杀自适应威胁检测-云安全中心(Security Center)-阿里云帮助中心

云安全中心提供恶意主机行为防御、防勒索（诱饵捕获）、网站后门连接防御等安全能力。本文介绍主机防护功能、版本限制及配置方法。

主动防御

云安全中心可自动拦截常见病毒、恶意网络连接和网站后门连接，并部署诱饵捕获勒索病毒。各子功能说明如下。

恶意主机行为防御

支持的版本：防病毒版、高级版、企业版、旗舰版
功能概述：自动拦截并查杀常见网络病毒，包括勒索病毒、DDoS木马、挖矿程序、恶意程序、后门程序和蠕虫病毒等。购买云安全中心后默认开启，所有服务器自动纳入检测范围。
说明
- 感染型病毒将恶意代码写入正常程序文件执行，大量正常程序被感染后作为宿体被检出。此类病毒可能危害系统进程，终止进程会造成系统稳定性风险，因此云安全中心不会自动隔离感染型病毒，需手动处理。
- 如需为不同服务器制定不同的主机恶意行为防御规则，请使用自定义规则功能。
版本差异：
- 防病毒版和高级版：支持自动阻断勒索病毒、挖矿程序等常见病毒。
- 企业版和旗舰版：可拦截ATT&CK框架中的流行攻击场景和常见服务应用的大规模入侵事件，阻断勒索软件加密行为，并支持自定义防御规则。更多信息，请参见主机规则管理。

防勒索（诱饵捕获）

支持的版本：防病毒版、高级版、企业版、旗舰版
功能概述：在服务器中部署诱饵文件捕捉新型勒索病毒，通过病毒行为分析自动启动防御。诱饵文件仅用于检测，不影响正常业务。

网站后门连接防御

支持的版本：企业版、旗舰版
功能概述：
- 自动拦截黑客通过已知网站后门发起的异常连接，并自动隔离相关文件。
- 购买企业版或旗舰版后默认开启，所有服务器自动纳入检测范围。

恶意网络行为防御

支持的版本：企业版、旗舰版
功能概述：拦截服务器与已知恶意访问源之间的网络通信，增强服务器安全防护。

主动防御体验优化

支持的版本：防病毒版、高级版、企业版、旗舰版
功能概述：服务器异常关机或安全防御能力缺失时，自动采集Kdump数据用于安全防护分析，持续提升云安全中心的防御能力。

开启防御能力

说明

如果主动防御区域的所有功能均为关闭状态，检测出的病毒将以安全告警形式展示，需在控制台手动处理。建议开启主动防御区域的所有功能，加固服务器安全防线。处理安全告警的具体操作，请参见评估及处理安全告警。

访问云安全中心控制台-系统配置-功能设置，在页面左侧顶部，选择需防护资产所在的区域：中国内地或非中国内地。选择设置 > 主机防护设置 页签，在主动防御区域打开恶意主机行为防御、防勒索（诱饵捕获）、网站后门连接防御和恶意网络行为防御开关。
单击主动防御类型右侧的管理，选择拦截病毒或恶意行为生效的服务器范围，然后单击确定。
（可选）选中主动防御体验优化复选框。开启主动防御体验优化有助于云安全中心获取服务器异常情况下的安全防护数据，提升安全防护能力，建议选中该项。

查看和处理防御告警

查看告警

在检测响应 > 告警或Agentic SOC > 告警页面，将搜索条件设置为已处理且告警类型选择精准防御或容器主动防御，即可在云工作负载保护平台(CWPP)页签查看被主动防御功能自动拦截的病毒。
处理建议

开通主动防御的恶意主机行为防御、防勒索（诱饵捕获）和网站后门连接防御功能后，可能存在部分程序误报或未隔离成功的情况，请参见评估及处理安全告警进行处理。
- 误报导致文件被隔离时，可从文件隔离箱中恢复被误隔离的文件。
- 未隔离成功的事件可在检测响应 > 告警或Agentic SOC > 告警的云工作负载保护平台(CWPP)页签手动隔离。

网站后门查杀

云安全中心使用自主查杀引擎检测网站服务器和网页目录中的网站后门及木马程序，采用周期性静态检测和动态检测相结合的机制，并提供一键手动隔离功能。需服务器开启网站后门查杀检测后，云安全中心客户端才会执行网站后门检测。

支持的版本：免费版仅支持部分类型WebShell检测，其他付费版本支持所有类型的WebShell检测。

说明
如需较全面的WebShell检测，建议升级到防病毒版、高级版、企业版、旗舰版。
功能描述：
- 每日执行Web目录全量静态扫描，Web目录文件变更时自动触发动态扫描。
- 支持配置网站后门检测的资产范围。
- 支持隔离、恢复和忽略发现的WebShell文件。

关闭后门查杀

云安全中心默认为所有已安装Agent的服务器开启网站后门查杀检测。建议为所有对外提供Web服务的服务器开启该检测。如果服务器处于完全封闭的内网，可按以下步骤关闭对应服务器的网站后门查杀。

访问云安全中心控制台-系统配置-功能设置，在页面左侧顶部，选择需防护资产所在的区域：中国内地或非中国内地。
选择设置 > 主机防护设置 页签，在网站后门查杀区域单击管理。
在网站后门查杀范围面板中，取消选中需关闭的服务器，然后单击确定。

查看和处理网站后门告警

查看告警

在检测响应 > 告警或Agentic SOC > 告警页面，将搜索条件的告警类型选择网站后门。在云工作负载保护平台(CWPP)页签，即可在告警列表中查看相关的网站后门告警。
处理建议

未处理的网站后门告警可能严重威胁资产安全，请参见评估及处理安全告警及时进行隔离处置。不同版本用户的处理方式如下：
- 免费版用户：不支持一键处理功能，请先升级至付费版本。
- 防病毒版及以上用户：支持在控制台一键隔离被检测出的WebShell文件。

自适应威胁检测

自适应威胁检测默认关闭，需手动开启。开启后系统将执行以下逻辑：

自动触发严格模式：当检测到服务器存在高危风险（即产生高危告警）时，系统会自动为该服务器开启为期7天的"严格告警模式"。
全面防护机制：在严格模式下，所有安全防护规则和安全引擎将被激活，对任何可疑入侵行为和潜在威胁进行告警，从而更全面地捕捉黑客入侵痕迹。
模式持久性说明：若在7天有效期内手动修改了服务器的防护模式，7天到期后，系统将不再自动关闭严格模式，而是保持手动设置的防护状态。

版本限制

仅以下版本支持自适应威胁检测：

包年包月服务：企业版或旗舰版（若当前版本不支持，请进行升级）。
说明
服务器的防护版本必须设置为当前所购买的版本，具体操作请参见绑定服务器防护版本。
按量付费服务：已开通主机及容器安全按量付费（若未开通，请前往购买）。
说明
服务器需设置防护等级为主机全面防护或主机及容器安全，具体操作请参见绑定服务器防护等级。

开启自适应威胁检测

访问云安全中心控制台-系统配置-功能设置，在页面左侧顶部，选择需防护资产所在的区域：中国内地或非中国内地。
选择设置 > 主机防护设置 页签，在自适应威胁检测能力区域打开其开关。
首次授权：若首次开启且未授权，页面将提示完成授权操作。
- 授权成功后，访问控制服务（RAM）会自动创建服务关联角色。
- 云安全中心将利用此角色访问其他云产品中的资源，以提供安全防护服务。更多信息，请参见服务关联角色。

告警设置

告警模式对比

云安全中心提供多种告警模式，以适配不同业务场景的安全需求。默认情况下，所有已接入服务器均开启均衡模式。

对比项	均衡模式（默认）	严格模式
特点	低误报率：经过阿里云专家综合测试优化。高检出率：在保障较少误报的前提下，尽可能检测出更多可疑风险。平衡性佳：兼顾安全性与业务稳定性。	高敏感度：检测规则更严苛，覆盖更多可疑行为。高检出率：能发现更隐蔽或细微的潜在威胁。存在误报风险：可能将正常业务行为识别为异常。
适用场景	日常运营监控。对业务连续性要求较高的场景。大多数常规服务器防护。	重保期间（如重大活动、节假日保障）。遭受攻击后的高强度排查阶段。对安全极度敏感且能容忍一定误报的核心资产。

修改服务器告警模式

访问云安全中心控制台-系统配置-功能设置，在页面左侧顶部，选择需防护资产所在的区域：中国内地或非中国内地。
选择设置 > 主机防护设置 页签，在告警设置区域单击严格模式右侧的管理。
根据业务需求，执行以下任一操作后，单击确定。
- 切换为严格模式：勾选需要开启严格模式的目标服务器。
- 还原为均衡模式：取消勾选已处于严格模式的服务器。