应用进程控制概述
什么是应用进程控制?
应用进程控制是一种用于保障服务器上运行的应用程序和进程安全的功能。它能够自动识别并分析应用进程,将其划分为可信、可疑及恶意三类,同时允许可信进程运行,针对可疑、恶意进程运行进行告警,可以帮助用户构建安全的应用进程运行环境,避免服务器遭受不受信或恶意应用进程的破坏。
应用进程控制原理
应用进程控制功能通过利用进程名称、进程行为、进程路径、进程信誉库等多种维度的信息,实现对进程的全面识别,能够有效识别改名、混淆等伪装进程。在进程识别完成后,应用进程控制功能允许可信进程(即白名单进程)运行,并对非可信进程运行进行告警;此外,还提供非可信进程的名称、HASH、文件路径、发生时间(即启动时间)等关键数据,以便用户进行溯源分析。

非可信进程可能是新增的正常进程,或是被感染的恶意进程。如果告警的是正常进程,您可以将该进程加入白名单;如果告警的是恶意进程,建议您及时手动清理。

应用场景
在云上的服务器环境中,进程数量或类型通常相对稳定,用户可以利用应用进程控制功能监控和管理进程的运行状态,有效识别可疑或恶意进程,从而构建一个更加安全的业务运营环境。
约束与限制
- 应用进程控制功能仅企业主机安全旗舰版、网页防篡改版、容器版支持。购买和升级企业主机安全的操作,请参见购买主机安全防护配额和升级防护配额。
- 使用应用进程控制功能,需确保服务器安装的Agent版本为以下版本,升级Agent的操作,请参见升级主机Agent。
- Linux:3.2.7及以上版本。
- Windows:4.0.19及以上版本。
应用进程控制使用流程

操作项 |
描述 |
---|---|
白名单策略是管理HSS学习服务器行为和应用进程防护动作的规则,只有关联了白名单策略的服务器才能开启应用进程防护。 |
|
HSS学习完服务器中的应用进程后,可能存在某些可疑应用进程的特征不明显,HSS无法完全定义为恶意进程或可信进程,这些不确定具体分类的可疑进程需要您进行确认。 |
|
开启策略关联服务器的应用进程控制防护。 |
|
对于可疑进程运行事件,由于HSS根据学习到的应用进程特征无法判断其是否可信,因此需要您根据这些进程的详细信息判断分析是否可信,然后将它们“加入进程白名单”。 |
|
一旦HSS发现恶意进程告警事件将会上报到 页面,您可以前往该页面处理告警,并及时清理恶意进程。 |
|
(可选)扩展进程白名单 |
如果HSS完成服务器学习后,您认为学习到的应用进程数量少于资产指纹功能采集到的进程指纹数量,或者可疑进程事件中存在较多可信的应用进程运行事件,您可以设置HSS扩展进程白名单,通过比对HSS已学习到的应用进程和资产指纹功能采集到的进程指纹,进一步扩展HSS应用进程情报库,补充可信进程白名单。 |
(可选)重新学习服务器 |
已完成进程白名单扩展,但仍然存在较多可信进程运行误报或您的服务器业务存在变更,您可以设置HSS重新学习服务器,校准HSS的应用进程情报数据,避免误报。 |