全部產品
Search
文件中心

Security Center:智能行為分析

更新時間:Jul 11, 2026

當伺服器面臨未知進程執行風險時,傳統規則難以覆蓋所有異常行為。主機智能行為分析通過 AI 自動學習正常進程行為並識別異常,實現零信任安全防護。本文介紹如何建立策略、管理白名單、切換運行模式和處理警示。

什麼是智能行為分析

主機智能行為分析通過 AI 模型學習伺服器上的正常進程行為,構建進程白名單。當伺服器執行白名單以外的進程時,系統根據當前運行模式觸發預警或管控,發現並處置潛在安全威脅。

  • 異常進程檢測:伺服器被植入惡意程式或挖礦木馬時,異常進程行為會觸發系統警示或自動攔截。

  • 合規審計:記錄伺服器上所有進程行為,滿足安全合規審計要求。

  • 零信任防護:預設僅允許白名單內的進程運行,從根源上阻止未知程式執行。

工作原理

運行流程

主機智能行為分析包含兩個階段:

學習階段

建立分析策略後,AI 模型記錄伺服器上所有進程行為。學習期間,系統不會攔截任何進程,學習時間長度可在策略中自訂配置。

防護階段

學習完成後,系統根據學習到的正常進程行為構建白名單。當伺服器執行白名單以外的進程時,系統按當前運行模式處置:

  • 預警模式(預設):發現異常進程時產生警示,不攔截進程運行。

  • 管控模式:發現異常進程時直接攔截,阻止其運行。

    警告

    管控模式會直接攔截異常進程,建議在充分驗證白名單完整性後再切換到管控模式,避免誤殺正常業務進程。

運行狀態

伺服器在主機智能行為分析中有以下運行狀態:

狀態

說明

可用操作

學習

模型正在學習伺服器的正常進程行為。

查看詳情、重新學習切換模式

預警中

模型學習完成,發現異常進程行為時觸發警示。

查看詳情、增量學習重新學習切換模式

管控中

模型學習完成,發現異常進程行為時直接攔截。

查看詳情、增量學習重新學習切換模式

適用範圍

開通智慧主機檢測與響應(Agentic EDR)

使用智能行為分析功能,需要先購買並開通智慧主機檢測與響應

訂用帳戶

  1. 訪問或Agentic EDR購買頁面,並完成以下配置:

    • 智慧主機檢測與響應:選擇購買的普通授權席位數量。

    • 購買時間長度:服務時間長度。

      說明

      建議勾選"到期自動續約",可避免因資源到期停機或釋放而影響業務。勾選後,自動續約周期為每月,在執行個體到期前會以即時價格自動計費。自動續約可隨時取消,設定或取消自動續約

  2. 配置完成後,單擊立即購買

隨用隨付

  1. 訪問Security Center控制台-總覽頁面。

  2. 隨用隨付服務地區,開啟智慧主機檢測與響應開關。

混合計費

重要

混合付費模式(彈性防護)現在處於邀測階段,如需開通請聯絡商務經理。

  1. 購買智慧主機檢測與響應訂用帳戶服務。

  2. 訪問Security Center控制台-總覽頁面。

  3. 訂用帳戶服務地區,開啟彈性防護開關。

伺服器綁定授權

需要為伺服器綁定 EDR 席位授權後,才能使用智能行為分析進行學習和防護。

  1. 訪問Security Center控制台-總覽頁面。

  2. 進入授權頁面:根據購買的服務模式,授權入口不同。

    • 訂用帳戶/混合計費:在訂用帳戶服務地區,單擊智慧主機檢測與響應右側的管理

    • 隨用隨付:在按量隨用隨付服務地區,單擊智慧主機檢測與響應右側的授權管理

  3. 授權管理彈窗內,選擇選擇伺服器所在地區中國內地非中國內地)後,定位至目標伺服器。

  4. 在目標伺服器的Agentic EDR 席位列,開啟開關。

    重要

    如需為新增的伺服器自動綁定 EDR 席位,可在新增主機自動綁定地區,勾選新增主機自動啟用Agentic EDR

建立分析策略

開啟主機智能行為分析前,需要先建立防護策略,定義學習時間長度、白名單模式和生效主機範圍。

  1. 訪問Security Center控制台-防護設定-主機防護-智能行為分析,在頁面左側頂部,選擇需防護資產所在的地區:中國內地非中國內地

  2. 在智能行為分析頁面,單擊右上方的智能行為分析設定

  3. 在彈出的智能行為分析設定對話方塊中,單擊新增策略

  4. 在新增策略頁面,配置以下參數:

    參數

    說明

    策略名稱

    自訂策略名稱稱,便於後續識別和管理。

    學習時間長度

    模型初次建立後的學習天數。學習期間,系統記錄所有進程行為。

    說明
    • 建議至少 7 天,確保覆蓋業務的完整運行周期。

    • 如果伺服器業務周期性較強(如每周執行一次定時任務),建議 14 天以上。

    自動結束

    若連續 N 天無新增行為,智能分析模型將自動結束學習並進入防護階段(預設預警模式)。

    白名單模式

    白名單匹配方式。

    • 進程路徑(預設):進程路徑按檔案路徑匹配。

    • 進程Hash:按檔案雜湊值(MD5)匹配。

    伺服器選擇

    策略生效的伺服器範圍。支援選擇全部資產或按資產分組選擇。可按伺服器名稱、公網 IP 或私網 IP 搜尋。

  5. 單擊確定完成策略建立。

  6. 返回智能行為分析頁面,在伺服器列表中確認對應伺服器的狀態顯示為"學習"。

說明

策略建立後,所選伺服器即進入學習階段。建議在業務正常運行期間建立策略,確保模型學習到完整的正常進程行為。

管理進程白名單

學習階段完成後,系統產生進程行為白名單。支援查看、新增或刪除白名單中的進程路徑。

查看白名單

  1. 智能行為分析頁面的伺服器列表中,單擊目標伺服器操作列的詳情

  2. 在詳情頁面,查看該伺服器的所有進程路徑白名單。

    說明

    可通過篩選和搜尋定位目標進程路徑。

新增進程白名單

方式

支援的白名單模式

適用情境

批量新增

進程路徑進程Hash

需對多台伺服器統一添加信任項時。

單個新增

進程路徑

僅需針對單台伺服器添加特定路徑時。

批量新增

  1. 智能行為分析頁面的伺服器列表中,勾選一個或多個伺服器。

  2. 在底部大量操作地區,單擊新增進程行為

  3. 在彈出的對話方塊中輸入進程路徑進程Hash資訊後,單擊確定

單個新增

  1. 智能行為分析頁面的伺服器列表中,單擊目標伺服器操作列的詳情

  2. 進程路徑列表頁,單擊新增進程路徑

  3. 在彈出的對話方塊中輸入進程路徑後,單擊確定

刪除進程白名單

  1. 智能行為分析頁面的伺服器列表中,單擊目標伺服器操作列的詳情

  2. 在詳情頁面的進程路徑列表中,單擊目標進程路徑操作列的刪除

警告

刪除白名單中的進程路徑後,該進程將會被判定為異常進程。系統將產生警示,且在管控模式下會被直接攔截,請謹慎操作。

切換防護模式

學習階段完成後,伺服器的預設防護模式為預警,支援切換防護模式。

重要

預警模式切換到管控模式前,建議先通過詳情頁面確認白名單已覆蓋所有正常業務進程,避免誤攔截。

  1. 在伺服器列表中,單擊目標伺服器操作列的切換模式

  2. 在切換強制回應對話方塊中,選擇預警管控模式。

  3. 單擊確定完成切換。

查看和處理警示

若伺服器存在不在進程白名單中的進程,系統會產生安全警示。可在Security Center的警示功能中查看和處理。

  1. 在左側導覽列,選擇檢測響應 > 警示。在控制台左上方,選擇需防護資產所在的地區:中國內地非中國內地

    說明

    如果已開通 Agentic SOC 服務,左側導覽列入口將變更為威脅分析與響應 > 警示

  2. 雲工作負載保護平台(CWPP)頁簽,單擊主機異常行為警示下的數字,進入警示列表。

    警示狀態說明如下:

    • 預警模式:警示狀態為待處理,需人工介入判斷。

    • 管控模式:系統已自動攔截該進程,警示狀態為已攔截

  3. 針對每條警示,支援以下兩種處理方式:

    對比維度

    忽略

    加入業務模型

    當前警示狀態

    變為"已忽略"。

    無變化。

    是否再次警示

    仍會產生警示:下次相同進程運行時,系統會再次產生警示資訊。

    不再產生警示:下次相同進程運行時,直接允許存取。

    白名單變更

    無變化。

    將該進程添加至進程白名單中。

    適用情境

    臨時性任務、需持續監控的疑似行為。

    確認為正常業務進程、希望減少重複警示。

重新學習進程行為

當伺服器的業務進程發生變更時,需要重新學習進程行為並產生新的白名單,避免進程誤攔截或無效警示。系統提供以下兩種方式:

對比項

增量學習

重新學習

使用限制

僅支援在預警中管控中的伺服器使用,學習的伺服器不可用。

無特殊限制。

資料處理方式

在現有模型基礎上繼續學習新的進程行為,保留已有白名單,僅學習並添加新增的進程行為。

清空所有白名單資料,從零開始重建立立進程白名單。

防護能力狀態

管控和預警不生效。

管控和預警不生效。

適用情境

業務小幅調整、新增少量進程或服務、日常迭代維護。

伺服器業務發生重大變更(如新增服務、升級軟體)後,原有進程行為模型不再適用時。

  1. 智能行為分析頁面的伺服器列表中,單擊目標伺服器操作列的重新學習增量學習

  2. 操作完畢後,運行狀態將變為學習

    重要

    學習期間,管控和預警均不生效。

計費說明

  • 訂用帳戶:

    • 計費方式:按購買的席位授權數量計費。綁定 1 台主機消耗 1 個席位授權。

    • 計費規則6.876066美元/個/月

  • 隨用隨付:

    • 計費方式:按席位元 × 使用時間長度計費。綁定 1 台主機消耗 1 個席位授權,無策略配置的主機自動停計費。

    • 計費周期:按小時計費,按自然日結算。

    • 價格0.014325美元/個/小時

  • 混合計費:

    • 計費方式:按購買的席位授權數量計費。綁定 1 台主機消耗 1 個席位授權。

    • 計費規則:開通了彈性防護後,當實際綁定的席位超過已購訂用帳戶普通席位時,超出部分將按照彈性防護席位進行計費。

      重要

      訂用帳戶服務到期後,彈性防護也自動關閉,彈性防護席位也自動停止計費

      • Agentic EDR 普通席位6.876066美元/個/月

      • Agentic EDR 彈性防護席位0.014325美元/個/小時

關閉和退訂服務

如果不再需要 EDR 服務,可根據計費模式參考以下指引操作。

  • 關閉整個服務:

  • 關閉彈性防護:

    • 方式一:在Security Center控制台-總覽頁面的訂用帳戶服務地區,關閉彈性防護開關即可。

    • 方式二:退訂訂用帳戶服務後,彈性防護也自動關閉。

資料清理

關閉服務,退訂Agentic EDR執行個體、或賬戶欠費後,智能行為分析立即停止服務,資料保留情況如下:

情境

資料保留說明

訂用帳戶執行個體

退訂

  • 策略與基準保留:原有的策略及主機基準會保留,但不再更新。

  • 歷史警示保留:已產生的主機異常行為警示會保留,但不再產生新的警示。

到期

隨用隨付執行個體

關閉

欠費

常見問題

  • Security Center執行個體到期後,會影響Agentic EDR嗎?

    不會影響。原因如下:

    • 獨立計費:Agentic EDR 是獨立的計費模組,與Security Center執行個體分開計費。

    • 功能持續可用:只要Agentic EDR執行個體仍在有效期間內,即使Security Center執行個體已到期,仍可正常使用學習、伺服器綁定等功能。

  • 為什麼我看不到彈性防護開關

    彈性防護現在處於邀測階段,請聯絡商務經理開通後,即可查看使用。

  • 學習完成後,為什麼白名單為空白?

    白名單為空白可能表示學習期間伺服器上沒有進程活動。請確認以下資訊,確認無誤後單擊重新學習

    • 伺服器是否正常運行,Security Center用戶端是否線上。

    • AliHips 進程運行正常。若不正常,請確認伺服器作業系統及核心版本是否符合AliHips 支援要求

    • 學習期間伺服器是否有實際的業務流量。

  • 管控模式下如何避免誤殺正常業務進程?

    • 切換到管控模式前,確保學習時間長度足夠,白名單覆蓋所有正常業務進程。

    • 先在預警模式下運行一段時間,觀察是否有正常業務被誤判。

    • 發生誤攔截時,在白名單中新增對應進程路徑,然後進行重新學習或增量學習。

  • 增量學習重新學習有什麼區別?

    • 增量學習:保留已有白名單,僅學習新增的進程行為。適合業務小幅調整、新增少量進程的情境,風險較低,已有白名單不受影響。

    • 重新學習:清空所有已有資料,從零開始學習。適合業務發生重大變更、原有模型不再適用的情境,風險較高。