系统成功登录审计事件 提示 检测到E CS 实例已异常成功登录。 建议登录企业主机安全管理控制台处理。 进程异常行为 低危 检测到ECS实例存在进程异常行为，疑似恶意程序。 建议登录企业主机安全管理控制台处理。 父主题： 告警事件处理

查看更多 →

事件管理”，进入事件管理页面。 图2 事件管理 单击存在威胁的“恶意程序（云查杀）”或者“进程异常行为”，选择“隔离查杀”，以“进程异常行为”告警事件为例，如图3所示。 图3 隔离查杀 单击“确认”，对进程异常行为告警事件进行隔离查杀。被成功隔离的文件会添加到“事件管理”的“文件隔离箱”中，无法对主机造成威胁。

查看更多 →

训练作业进程异常退出 问题现象 训练作业运行失败，日志中出现如下类似报错： [Modelarts Service Log]Training end with return code: 137 原因分析 日志显示训练进程的退出码为137。训练进程表示用户的代码启动后的进程，所以这里

查看更多 →

检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × × √ √ √ Linux、Windows √（部分支持） ×

查看更多 →

（隔离查杀） √ （隔离查杀） 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × √ √ √ 关键文件变更

查看更多 →

录存在被篡改的可能。 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 高危命令执行 实

查看更多 →

注是人为还是进程进行的修改。 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 高危系统调用

查看更多 →

选择“入侵检测 > 安全告警事件 > 主机安全告警 ”，选择“系统异常行为 > 进程异常行为”，查看并处理发生的异常进程行为告警。您可以单击“处置”，对挖矿程序进行隔离查杀。 图1 处理进程异常行为 排查其他自启动项，有的挖矿进程为了实现长期驻留，会向系统中添加自启动项来确保系统重启后仍

查看更多 →

Web目录，导致漏报告警。 图3 编辑webshell检测策略 进程异常行为策略：修改检测模式为“高检出模式”，增强进程异常行为的检测灵敏度。 高检出模式下的进程异常行为告警可能存在误报情况。 图4 编辑进程异常行为策略 父主题： 护网或重保场景下HSS的应用实践

查看更多 →

如何处理SSH tunnel进程异常？ 混合云场景下，监控数据通过ssh tunnel跳板机转发至APM时，该进程异常。此时您可以通过以下方式进行处理。 使用远程登录工具登录跳板机。 执行如下命令设置免交互登录。 ssh-keygen cd /root/.ssh/ cat id_rsa

查看更多 →

产生告警的主机名。 对系统的影响 进程状态异常会导致该进程无法提供正常服务，进而可能导致服务整体异常。 可能原因 主机中正在等待的IO（磁盘IO、网络IO等）在较长时间内未得到响应，进程处于D状态和Z状态。或进程可能被挂起进入T状态。 处理步骤 查看进程是否处于D、Z、T状态 登录 FusionInsight

查看更多 →

HSS是否支持病毒查杀？ 主机安全服务 HSS支持检测恶意程序、勒索病毒等入侵威胁。 对于恶意进程和进程异常行为：HSS支持手动隔离查杀，详细操作请参见处理告警事件。 对于勒索病毒：HSS为您提供了防勒索解决方案，帮助您从勒索病毒入侵前、入侵时和入侵后全方位应对勒索病毒，详情请参见勒索病毒防护。

查看更多 →

端口扫描检测 检测用户指定的端口存在被扫描或者嗅探的行为，一旦发现进行告警上报。 Linux × × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux √ √

查看更多 →

限制系统的访问权限，例如禁用root账户、限制访问来源IP等，以减少攻击者可能的入侵路径等。 系统行为异常/进程异常行为 根据告警对应的影响资产，对受影响资产、服务、业务等有基本定位。 告警对应字段 进程异常行为在安全云脑的告警中对应的字段查看方法如下： 进入安全云脑的“安全编排 > 运营对象 >

查看更多 →

产生告警的主机名。 对系统的影响 进程状态异常会导致该进程无法提供正常服务，进而可能导致服务整体异常。 可能原因 主机中正在等待的IO（磁盘IO、网络IO等）在较长时间内未得到响应，进程处于D状态和Z状态。或进程可能被挂起进入T状态。 处理步骤 查看进程是否处于D、Z、T状态 登录FusionInsight

查看更多 →

图2 企业主机安全 排查进程异常行为，若出现主机挖矿行为，会触发HSS发送“进程异常行为”告警。 选择“入侵检测 > 事件管理”，选择“进程异常行为”，查看并处理发生的异常进程行为告警。您可以单击“处理”，对挖矿程序进行隔离查杀。 图3 处理进程异常行为 排查定时任务，大部分挖矿

查看更多 →

实时检测 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 实时检测

查看更多 →

产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 当ClickHouse进程异常时，会导致业务无法正常执行。 可能原因 ClickHouse进程运行异常。 处理步骤 登录FusionInsight Manager页面，选择“运维 > 告警 > 告警”，

查看更多 →

Linux、Windows 实时检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × × √ √ √

查看更多 →

× × √ √ √ 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × × √ √ √

查看更多 →

已开启自动隔离查杀：系统实时查杀（出现告警，立刻自动查杀）。 未开启自动隔离查杀：需人工查杀，逐一处理。 HSS的隔离查杀支持对“恶意程序（云查杀）”和“进程异常行为”实时检测的告警进行查杀，检测能力详情请参见服务版本差异。 HSS隔离查杀分为自动隔离查杀和人工隔离查杀。 开启自动隔离查杀：详情请参

查看更多 →