当服务器面临未知进程执行风险时,传统规则难以覆盖所有异常行为。主机智能行为分析通过 AI 自动学习正常进程行为并识别异常,实现零信任安全防护。本文介绍如何创建策略、管理白名单、切换运行模式和处理告警。
什么是智能行为分析
主机智能行为分析通过 AI 模型学习服务器上的正常进程行为,构建进程白名单。当服务器执行白名单以外的进程时,系统根据当前运行模式触发预警或管控,发现并处置潜在安全威胁。
异常进程检测:服务器被植入恶意程序或挖矿木马时,异常进程行为会触发系统告警或自动拦截。
合规审计:记录服务器上所有进程行为,满足安全合规审计要求。
零信任防护:默认仅允许白名单内的进程运行,从根源上阻止未知程序执行。
适用范围
费用与版本:公测期间免费,无版本限制。
环境要求:
服务器已安装客户端。
服务器操作系统及内核版本符合AliHips支持要求,AliHips进程运行正常。
工作原理
运行流程
主机智能行为分析包含两个阶段:
学习阶段
创建分析策略后,AI 模型记录服务器上所有进程行为。学习期间,系统不会拦截任何进程,学习时长可在策略中自定义配置。
防护阶段
学习完成后,系统根据学习到的正常进程行为构建白名单。当服务器执行白名单以外的进程时,系统按当前运行模式处置:
预警模式(默认):发现异常进程时生成告警,不拦截进程运行。
管控模式:发现异常进程时直接拦截,阻止其运行。
警告管控模式会直接拦截异常进程,建议在充分验证白名单完整性后再切换到管控模式,避免误杀正常业务进程。
运行状态
服务器在主机智能行为分析中有以下运行状态:
状态 | 说明 | 可用操作 |
学习中 | 模型正在学习服务器的正常进程行为。 | 查看详情、重新学习、切换模式 |
预警中 | 模型学习完成,发现异常进程行为时触发告警。 | 查看详情、增量学习、重新学习、切换模式 |
管控中 | 模型学习完成,发现异常进程行为时直接拦截。 | 查看详情、增量学习、重新学习、切换模式 |
创建分析策略
开启主机智能行为分析前,需要先创建防护策略。策略定义学习时长、白名单模式和生效主机范围。
访问云安全中心控制台-防护设置-主机防护-智能行为分析,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在智能行为分析页面,单击右上角的智能行为分析设置。
在弹出的智能行为分析设置对话框中,单击新增策略。
在新增策略页面,配置以下参数:
参数
说明
策略名称
自定义策略名称,便于后续识别和管理。
学习时长
模型初次建立后的学习天数。学习期间,系统记录所有进程行为。
说明建议至少 7 天,确保覆盖业务的完整运行周期。
如果服务器业务周期性较强(如每周执行一次定时任务),建议 14 天以上。
自动结束
若连续 N 天无新增行为,智能分析模型将自动结束学习并进入防护阶段(默认预警模式)。
白名单模式
白名单匹配方式。
进程路径(默认):进程路径按文件路径匹配。
进程Hash:按文件哈希值 MD5 值匹配。
服务器选择
策略生效的服务器范围。支持选择全部资产或按资产分组选择。可按服务器名称、公网 IP 或私网 IP 搜索。
单击确定完成策略创建。
返回智能行为分析页面,在服务器列表中确认对应服务器的状态显示为"学习中"。
策略创建后,所选服务器即进入学习阶段。建议在业务正常运行期间创建策略,确保模型学习到完整的正常进程行为。
管理进程白名单
学习阶段完成后,系统生成进程行为白名单。支持查看、新增或删除白名单中的进程路径。
查看白名单
在智能行为分析页面的服务器列表中,单击目标服务器操作列的详情。
在详情页面,查看该服务器的所有进程路径白名单。
说明可通过筛选和搜索定位目标进程路径。
新增进程白名单
方式 | 支持的白名单模式 | 适用场景 |
批量新增 | 进程路径、进程Hash | 需对多台服务器统一添加信任项时。 |
单个新增 | 仅进程路径 | 仅需针对单台服务器添加特定路径时。 |
批量新增
在智能行为分析页面的服务器列表中勾选一个或多个服务器。
在底部批量操作区域,单击新增进程行为。
在弹出的对话框中输入进程路径或进程Hash信息后,单击确定。
单个新增
在智能行为分析页面的服务器列表中,单击目标服务器操作列的详情。
在进程路径列表页,单击新增进程路径。
在弹出的对话框中输入进程路径后,单击确定。
删除进程白名单
在智能行为分析页面的服务器列表中,单击目标服务器操作列的详情。
在详情页面的进程路径列表中,单击进程路径目标操作列删除。
删除白名单中的进程路径后,该进程将会被判定为异常进程。系统将生成告警,且管控模式下会被直接拦截,请谨慎操作。
切换防护模式
学习阶段完成后,服务器的默认防护模式为预警,支持切换防护模式。
从预警模式切换到管控模式前,建议先通过详情页面确认白名单已覆盖所有正常业务进程,避免误拦截。
在服务器列表中,单击目标服务器操作列的切换模式。
在切换模式对话框中,选择预警或管控模式。
单击确定完成切换。
查看和处理告警
若服务器进程未在进程白名单中,将会产生安全告警。可在云安全中心的告警功能处查看和处理。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
说明如果已开通 Agentic SOC 服务,左侧导航栏入口将变更为。
在云工作负载保护平台(CWPP)页签,单击主机异常行为告警下的数字,进入告警列表。
告警状态说明如下:
预警模式:告警状态为待处理,需人工介入判断。
管控模式:系统已自动拦截该进程,告警状态为已拦截。
针对每条告警,支持以下两种处理方式:
对比维度
忽略
加入业务模型
当前告警状态
变为"已忽略"。
无变化。
是否再次告警
仍会产生告警:下次相同进程运行时,系统会再次生成告警信息。
不再产生告警:下次相同进程运行时,直接放行。
白名单变更
无变化。
将该进程添加至进程白名单中。
适用场景
临时性任务、需持续监控的疑似行为。
确认为正常业务进程、希望减少重复干扰。
重新学习进程行为
当服务器的业务进程发生变更时,需要重新学习进程行为并生成新的白名单,以避免进程误拦截或无效告警。系统提供以下两种方式:
对比项 | 增量学习 | 重新学习 |
使用限制 | 仅支持在预警中或管控中的服务器使用,学习中的服务器不可用。 | 无特殊限制。 |
数据处理方式 | 在现有模型基础上继续学习新的进程行为,保留已有白名单,仅学习并添加新增的进程行为。 | 清空所有白名单数据,从零开始重新建立进程白名单。 |
防护能力状态 | 管控和预警不生效。 | 管控和预警不生效。 |
适用场景 | 业务小幅调整、新增少量进程或服务、日常迭代维护。 | 服务器业务发生重大变更(如新增服务、升级软件)后,原有进程行为模型不再适用时。 |
在智能行为分析页面的服务器列表中,单击目标服务器操作列的重新学习或增量学习。
操作完毕后,运行状态将变为学习中。
重要学习中时,管控和预警均不生效。
常见问题
学习完成后,为什么白名单为空?
白名单为空可能表示学习期间服务器上没有进程活动。请确认以下信息,确认无误后单击重新学习。
服务器是否正常运行,云安全中心客户端是否在线。
AliHips进程运行正常。若不正常,请确认服务器操作系统及内核版本是否符合AliHips支持要求。
学习期间服务器是否有实际的业务流量。
管控模式下如何避免误杀正常业务进程?
切换到管控模式前,确保学习时长足够,白名单覆盖所有正常业务进程。
先在预警模式下运行一段时间,观察是否有正常业务被误报。
发生误拦截时,在白名单中新增对应进程路径,然后重新学习或增量学习。
增量学习和重新学习有什么区别?
增量学习:保留已有白名单,仅学习新增的进程行为。适合业务小幅调整、新增少量进程的场景,风险较低,已有白名单不受影响。
重新学习:清空所有已有数据,从零开始学习。适合业务重大变更、原有模型不再适用的场景,风险较高。