内容审核-文本

登录华为乾坤控制台，选择“ > 我的服务 > 智能终端安全”。 在右上角菜单栏选择“威胁事件”。 在“挖矿木马”区域单击“查看更多”，进入对应威胁事件的处理界面。 图1 挖矿木马处置界面 单击待处理事件的“事件名称”列，查看威胁事件详情，根据“处置建议”并结合实际情况，处置挖矿木马事件。 完成处置

查看更多 →

僵尸主机亦称傀儡机，是由攻击者通过木马蠕虫感染的主机，大量僵尸主机可以组成僵尸网络（Botnet）。攻击者通过控制信道向僵尸网络内的大量僵尸主机下达指令，令其发送伪造包或垃圾数据包，使攻击目标瘫痪并“拒绝服务”，这就是常见的DDoS攻击。此外，随着虚拟货币（如比特币）价值的持续增长，以及挖矿成本的逐渐增高

查看更多 →

。 针对实时检测到的勒索威胁事件；开关开启后云端将会自动对攻击路径分析并进行智能化处置，能够有效降低资产被勒索影响；如果存在勒索文件恢复请手动通过事件快速处置触发。 挖矿木马 挖矿木马自动处置 开关默认关闭，如需自动处置，需要用户手动开启。 针对实时检测到的挖矿木马威胁事件；开关开启后将自动阻断该挖矿行为。

查看更多 →

防勒索场景 勒索软件是不法分子通过加密文件等方式劫持用户文件，借此索要钱财的一种恶意软件。勒索软件变种多，更新快，难以防范，攻击目标一般是终端上的文件，会在企业内部的终端上进行横向扩散，给企业的终端安全带来很大的风险和挑战。 勒索软件对企业可造成如下危害： 企业遭遇勒索，直接导致大额经济损失。

查看更多 →

，识别云服务日志中的潜在威胁，对检测出的威胁告警信息进行统计展示。 威胁检测服务通过弹性画像模型、无监督模型、有监督模型实现对风险口令、凭证泄露、Token利用、异常委托、异地登录、未知威胁、暴力破解七大高危场景实现了异常行为的智能检测。可有效对化整为零低频次的分布式暴破攻击行为进行成功捕获。同时可对Linux

查看更多 →

可信对象开放，详细的操作步骤请参见查看主机资产指纹。 图2 主机指纹 检测利用此漏洞的挖矿木马，并通过控制台隔离查杀挖矿木马。 隔离查杀挖矿木马，详细操作步骤请参见隔离查杀。 图3 隔离查杀 父主题： HSS针对官方披露漏洞的修复建议

查看更多 →

，在发现威胁的情况下，迅速通过短信或邮件的方式直接触达用户，高效率完成从威胁检测发现到告知安全运维人员的响应闭环。 MTD满足识别弱口令、暴力破解、恶意攻击、渗透、挖矿攻击等40余种类型的威胁，满足云上安全威胁分析检测需求。 协同服务 MTD为了更准确、更全面的检测分析，支持与态

查看更多 →

挖矿 什么是挖矿 数字货币因其技术去中性化和经济价值等属性，逐渐成为大众关注的焦点，同时，通过恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径。 其中，挖矿是指通过大量计算机运算获取数字货币-虚拟货币奖励的过程。恶意挖矿攻击就是在用户不知情或未经允许的情况下，占用受害者的系统资

查看更多 →

后门木马 告警类型说明 后门木马又称特洛伊木马（Trojan Horse），是一种后门程序。后门木马具有很高的伪装性，通常表现为一个正常的应用程序或文件，以获得广泛的传播和目标用户的信任。当目标用户执行后门木马程序后，攻击者即可对用户的主机进行破坏或盗取敏感数据，如各种账户、密码

查看更多 →

Flood攻击等。 暴力破解事件 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破

查看更多 →

安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统

查看更多 →

容器镜像安全功能可扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 什么是镜像详情请参见镜像概述。 镜像、容器、应用的关系详情请参见镜像、容器、应用的关系是什么？ CGS支持对基于Linux操作系统制作的容器镜像进行检测。 表1 容器镜像安全

查看更多 →

恶意进程等入侵检测能力，用户可通过事件管理全面了解告警事件类型，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 AV检测和HIPS检测的告警分类会按照具体的告警情况在不同的告警类型中呈现。 AV检测告警结果只在恶意软件下的不同类别呈现。 HIPS检测的告警结果会根据实际种类在所有类型的子类别中呈现。

查看更多 →

在算法方面，分析DNS 域名 格式特点，创新的结合BERT思想构造三通道CNN模型，相比传统直接将域名输入到神经网络的方法具有更好的检测效果，在业界内较先采用。 多模型协同检测，准确识别威胁 威胁检测服务除威胁情报和规则基线检测外，还提供4类基于AI智能引擎的算法能力：IAM异常检测、DGA检测、DNS挖矿木马检测、

查看更多 →

处置威胁事件 处置病毒文件 处置勒索事件 处置挖矿木马 处置高级威胁 处置RASP防护 父主题： 用户指南

查看更多 →

如病毒、木马）的传输行为，发现内网问题主机并切断问题主机外联行为，有效保护用户业务的安全性和稳定性。 √ √ √ 事件自动分析 利用智能分析能力对设备检测到的安全事件进行分析确认，保障攻击拦截以及安全告警的准确性，及时优化攻击检测规则，提升现网防护效果。 √ √ √ 事件紧急通知

查看更多 →

在待处理告警中，选择“恶意软件 > 挖矿软件”。 图1 挖矿软件告警 在右侧告警列表中，单击告警事件的告警名称，可查看告警的详细信息。 在告警列表中，单击告警“操作”列的“处理”。 在弹出的对话框中，“处理方式”选择“隔离查杀”。 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终

查看更多 →

在弹出的对话框中，“处理方式”选择“隔离查杀”。 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 步骤二：数据备份恢复与漏洞修复 数据备份恢复 如果木马恶意程序导致了您的数据丢

查看更多 →

攻击者可以通过对客户端的远程控制进行一系列能造成严重后果的非法行为，例如窃取用户隐私信息、控制系统的运行、破坏系统的数据等。 特洛伊木马的类型及其危害 常见的特洛伊木马类型及其危害，包括但不限于以下几种： 远程控制型：远程控制是木马的基本功能，在用户不知情的情况下，攻击者通过下发

查看更多 →

华为乾坤为帮助租户了解某个时段内网络安全状态的变化趋势，提供安全报表查询功能。 租户可以在安全报表界面查看安全报表，华为乾坤将在每周一或每个月的第一天，生成上周或上个月的安全报表。在“帐户 > 订阅”中订阅“边界防护安全报表”后，租户还能通过绑定邮箱接收安全周报或月报。 目前支持的报表类型包含常规报表和

查看更多 →

没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危 低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通

查看更多 →