日志下载后，您可以用Excel打开，筛选您感兴趣的字段，然后进行以下分析： 分析用户访问的资源：如果访问的资源比较集中，访客IP较分散，可能是新增了资源。 分析访客IP：如果较集中在某些IP段且访问量很大，访问的URL具体资源比较集中，有可能这些访客IP是恶意访问，可将这些IP添加黑名单，请参考IP黑名单完成配置。

查看更多 →

恶意文件 背景信息 华为乾坤根据设备提供的日志判断威胁事件的检测类型，如果检测类型为AV/CDE，则此威胁事件被识别为恶意文件。 如果设备检测到恶意文件时已拦截，则恶意文件事件的状态为“已拦截”，如果设备检测到恶意文件时未拦截，则恶意文件事件的状态为“未处置”。 针对“已拦截”、

查看更多 →

镜像恶意文件 容器安全服务 能自动检测私有镜像仓库恶意文件，为您展示资产中存在的安全威胁，大幅降低您使用镜像的安全风险。 检测周期 容器安全服务每日凌晨自动执行一次全面的检测。 前提条件 已开启容器节点防护。 约束限制 仅支持检测Linux镜像存在的恶意文件。 操作步骤 登录管理控制台。

查看更多 →

扫描到恶意代码如何定位？ 进入报告详情页面，打开恶意软件扫描结果，单击“文件名称”打开恶意代码详情，可以查看告警文件位置和扫描的恶意检测结果，可以通过关键日志定位具体告警位置。 父主题： 二进制成分分析类

查看更多 →

加解密大量数据 场景说明 当有大量数据（例如：照片、视频或者数据库文件等）需要加解密时，用户可采用信封加密方式加解密数据，无需通过网络传输大量数据即可完成数据加解密。 加密和解密原理 大量数据加密 图1 加密本地文件 说明如下： 用户需要在KMS中创建一个用户主密钥。 用户调用K

查看更多 →

进入“镜像安全”页面，选择“恶意文件”页签，查看私有镜像中恶意文件详情，并根据检测结果删除恶意文件，重新制作镜像。 恶意文件类型如：Trojan、Worm、Virus病毒和Adware垃圾软件等类型。 在“镜像版本”列，单击某个镜像版本号，可查看该镜像版本的漏洞报告详情。 图2 恶意文件检测详情

查看更多 →

，95分以下的可疑程序您如果判断为恶意程序可参考处理主机告警事件手动隔离查杀。 您可以在HSS控制台选择“入侵检测 > 安全告警事件”，进入安全告警事件页面，单击恶意程序告警名称，进入“恶意程序”告警详情页查看恶意程序置信度得分。 操作步骤 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规

查看更多 →

警，方便您及时发现潜在的风险。 配置用量封顶 配置用量封顶功能，当用户的访问带宽达到设置的值后，CDN会停用您的加速 域名 ，以免产生过高的账单。 配置请求限速 配置请求限速功能，当单个请求达到限速条件后终端用户的访问速度会被限制，一定程度上减少突发高带宽风险。 配置费用预警 开通费

查看更多 →

示例2：加解密大量数据 场景描述 在大量数据加解密的场景，您的程序会经常使用到对数据密钥的加解密。 大量数据加密的流程如下： 在KMS中创建一个用户主密钥。 调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。

查看更多 →

应用场景 常规防护 帮助用户防护常见的Web安全问题，比如命令注入、敏感文件访问等高危攻击。 电商抢购秒杀防护 当业务举办定时抢购秒杀活动时，业务接口可能在短时间承担大量的恶意请求。 Web应用防火墙 可以灵活设置CC攻击防护的限速策略，能够保证业务服务不会因大量的并发访问而崩溃，同时尽可能地给正常用户提供业务服务。

查看更多 →

远控工具 黑 指能够通过远程攻击者发出的命令控制计算机的恶意软件。 Clicker 点击器 黑 指用于访问特定网页的恶意软件，通常通过高频的访问增加网页的访问量并以此增加广告收入。 Implant 植入器 黑 指通过代码补丁程序或其他工具插入已有程序的恶意代码。 Dialer 拨号器 黑

查看更多 →

修复建议：如果此事件为异常行为，则您的E CS 有可能遭到攻击，请查看是否存在可疑进程，并清除任何发现的恶意软件，如有必要，建议您终止当前ECS，根据需要使用新ECS来做代替。 UnusualTrafficFlow 在租户侧网络场景下，检测到某些ECS生成大量的网络出口流量，此网络出口流量偏离了正常基线值，并全部流向到远程主机。

查看更多 →

怀疑CDN被恶意消耗流量，如何解决？ 当您的域名被恶意攻击、流量被恶意盗刷时，会产生突发高带宽或者大流量，进而产生高于日常消费金额的账单，下文为您介绍潜在风险和应对办法。 潜在风险 在攻击或恶意盗刷行为发生的时候，实际消耗了CDN的带宽资源，因此您需要自行承担攻击产生的流量带宽费用。

查看更多 →

潜伏时间长，隐蔽性高，挟持大量计算资源，对企业终端安全造成巨大威胁。 挖矿木马对企业可造成如下危害： 企业消耗大量电力资源，遭受重大经济损失。 企业终端CPU被持续占用，系统业务响应变慢，设备寿命减短。 企业终端存在恶意连接，重要信息面临泄露风险。 终端防护与响应服务针对挖矿木马，可以实现：

查看更多 →

存在可疑进程，并清除任何发现的恶意软件，如有必要，建议您终止当前ECS，根据需要使用新ECS来做代替。 UnusualTrafficFlow 在租户侧网络场景下，检测到某些ECS生成大量的网络出口流量，此网络出口流量偏离了正常基线值，并全部流向到远程主机。 默认严重等级：中危。 数据源：VPC流日志。

查看更多 →

价格，建议您根据实际需求来设置带宽大小，以免因为程序错误或恶意访问导致产生大量计费流量。 父主题： 基本概念

查看更多 →

什么是挖矿 数字货币因其技术去中性化和经济价值等属性，逐渐成为大众关注的焦点，同时，通过恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径。 其中，挖矿是指通过大量计算机运算获取数字货币-虚拟货币奖励的过程。恶意挖矿攻击就是在用户不知情或未经允许的情况下，占用受害者的系统资源和网络资源进行挖矿，从而获取加密货币牟利。

查看更多 →

集群启动Yarn后产生大量作业占用资源 问题现象 MRS 2.x及之前版本集群，用户的MRS集群启动Yarn后产生大量作业，占用集群计算资源。 原因分析 集群安全组入口方向的Any协议源地址配置为0.0.0.0/0，导致集群可能遭受了外部网络攻击。 处理步骤 登录MRS集群页面，

查看更多 →

删除大量文件后重启NameNode耗时长 问题 删除大量文件之后立刻重启NameNode（例如删除100万个文件），NameNode启动慢。 回答 由于在删除了大量文件之后，DataNode需要时间去删除对应的Block。当立刻重启NameNode时，NameNode会去检查所有

查看更多 →

即使在Docker Hub下载的官方镜像中也常常包含了漏洞，而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描，将镜像中存在的各种风险（镜像漏洞、帐号、恶意文件等）进行展示，提示用户及时修改，消除安全隐患。 容器运行时安全 通常容器的行为是固定不变的

查看更多 →

USER：运行该进程的用户。 PROG RAM ：进程或连接双方的IP地址和端口，前面是 服务器 的IP和端口，后面是客户端的IP和端口。 DEV：流量要去往的网络端口。 SENT：进程每秒发送的数据量。 RECEIVED：进程每秒接收的数据量。 终止恶意程序或者屏蔽恶意访问IP。 如果确认大量占用网络带宽的进程是恶意进程，可以使用kill

查看更多 →