全部产品
Search
文档中心

云安全中心:智能行为分析

更新时间:Jul 10, 2026

当服务器面临未知进程执行风险时,传统规则难以覆盖所有异常行为。主机智能行为分析通过 AI 自动学习正常进程行为并识别异常,实现零信任安全防护。本文介绍如何创建策略、管理白名单、切换运行模式和处理告警。

什么是智能行为分析

主机智能行为分析通过 AI 模型学习服务器上的正常进程行为,构建进程白名单。当服务器执行白名单以外的进程时,系统根据当前运行模式触发预警或管控,发现并处置潜在安全威胁。

  • 异常进程检测:服务器被植入恶意程序或挖矿木马时,异常进程行为会触发系统告警或自动拦截。

  • 合规审计:记录服务器上所有进程行为,满足安全合规审计要求。

  • 零信任防护:默认仅允许白名单内的进程运行,从根源上阻止未知程序执行。

工作原理

运行流程

主机智能行为分析包含两个阶段:

学习阶段

创建分析策略后,AI 模型记录服务器上所有进程行为。学习期间,系统不会拦截任何进程,学习时长可在策略中自定义配置。

防护阶段

学习完成后,系统根据学习到的正常进程行为构建白名单。当服务器执行白名单以外的进程时,系统按当前运行模式处置:

  • 预警模式(默认):发现异常进程时生成告警,不拦截进程运行。

  • 管控模式:发现异常进程时直接拦截,阻止其运行。

    警告

    管控模式会直接拦截异常进程,建议在充分验证白名单完整性后再切换到管控模式,避免误杀正常业务进程。

运行状态

服务器在主机智能行为分析中有以下运行状态:

状态

说明

可用操作

学习中

模型正在学习服务器的正常进程行为。

查看详情、重新学习切换模式

预警中

模型学习完成,发现异常进程行为时触发告警。

查看详情、增量学习重新学习切换模式

管控中

模型学习完成,发现异常进程行为时直接拦截。

查看详情、增量学习重新学习切换模式

适用范围

开通智能主机检测与响应(Agentic EDR)

使用智能行为分析功能,需要先购买并开通智能主机检测与响应

包年包月

  1. 访问或Agentic EDR购买页面,并完成以下配置:

    • 智能主机检测与响应:选择购买的普通授权席位数量。

    • 购买时长:服务时长。

      说明

      建议勾选"到期自动续费",可避免因资源到期停机或释放而影响业务。勾选后,自动续费周期为每月,在实例到期前会以实时价格自动扣费。自动续费可随时取消,设置或取消自动续费

  2. 配置完成后,单击立即购买

按量付费

  1. 访问云安全中心控制台-总览页面。

  2. 按量付费服务区域,打开智能主机检测与响应开关。

混合计费

重要

混合付费模式(弹性防护)现在处于邀测阶段,如需开通请联系商务经理。

  1. 购买智能主机检测与响应包年包月服务。

  2. 访问云安全中心控制台-总览页面。

  3. 包年包月服务区域,打开弹性防护开关。

服务器绑定授权

需要为服务器绑定 EDR 席位授权后,才能使用智能行为分析进行学习和防护。

  1. 访问云安全中心控制台-总览页面。

  2. 进入授权页面:根据购买的服务模式,授权入口不同。

    • 包年包月/混合计费:在包年包月服务区域,单击智能主机检测与响应右侧的管理

    • 按量付费:在按量按量付费服务区域,单击智能主机检测与响应右侧的授权管理

  3. 授权管理弹窗内,选择选择服务器所在区域中国内地非中国内地)后,定位至目标服务器。

  4. 在目标服务器的Agentic EDR 席位列,打开开关。

    重要

    如需为新增的服务器自动绑定 EDR 席位,可在新增主机自动绑定区域,勾选新增主机自动启用Agentic EDR

创建分析策略

开启主机智能行为分析前,需要先创建防护策略,定义学习时长、白名单模式和生效主机范围。

  1. 访问云安全中心控制台-防护设置-主机防护-智能行为分析,在页面左侧顶部,选择需防护资产所在的区域:中国内地非中国内地

  2. 在智能行为分析页面,单击右上角的智能行为分析设置

  3. 在弹出的智能行为分析设置对话框中,单击新增策略

  4. 在新增策略页面,配置以下参数:

    参数

    说明

    策略名称

    自定义策略名称,便于后续识别和管理。

    学习时长

    模型初次建立后的学习天数。学习期间,系统记录所有进程行为。

    说明
    • 建议至少 7 天,确保覆盖业务的完整运行周期。

    • 如果服务器业务周期性较强(如每周执行一次定时任务),建议 14 天以上。

    自动结束

    若连续 N 天无新增行为,智能分析模型将自动结束学习并进入防护阶段(默认预警模式)。

    白名单模式

    白名单匹配方式。

    • 进程路径(默认):进程路径按文件路径匹配。

    • 进程Hash:按文件哈希值(MD5)匹配。

    服务器选择

    策略生效的服务器范围。支持选择全部资产或按资产分组选择。可按服务器名称、公网 IP 或私网 IP 搜索。

  5. 单击确定完成策略创建。

  6. 返回智能行为分析页面,在服务器列表中确认对应服务器的状态显示为"学习中"。

说明

策略创建后,所选服务器即进入学习阶段。建议在业务正常运行期间创建策略,确保模型学习到完整的正常进程行为。

管理进程白名单

学习阶段完成后,系统生成进程行为白名单。支持查看、新增或删除白名单中的进程路径。

查看白名单

  1. 智能行为分析页面的服务器列表中,单击目标服务器操作列的详情

  2. 在详情页面,查看该服务器的所有进程路径白名单。

    说明

    可通过筛选和搜索定位目标进程路径。

新增进程白名单

方式

支持的白名单模式

适用场景

批量新增

进程路径进程Hash

需对多台服务器统一添加信任项时。

单个新增

进程路径

仅需针对单台服务器添加特定路径时。

批量新增

  1. 智能行为分析页面的服务器列表中,勾选一个或多个服务器。

  2. 在底部批量操作区域,单击新增进程行为

  3. 在弹出的对话框中输入进程路径进程Hash信息后,单击确定

单个新增

  1. 智能行为分析页面的服务器列表中,单击目标服务器操作列的详情

  2. 进程路径列表页,单击新增进程路径

  3. 在弹出的对话框中输入进程路径后,单击确定

删除进程白名单

  1. 智能行为分析页面的服务器列表中,单击目标服务器操作列的详情

  2. 在详情页面的进程路径列表中,单击目标进程路径操作列的删除

警告

删除白名单中的进程路径后,该进程将会被判定为异常进程。系统将生成告警,且在管控模式下会被直接拦截,请谨慎操作。

切换防护模式

学习阶段完成后,服务器的默认防护模式为预警,支持切换防护模式。

重要

预警模式切换到管控模式前,建议先通过详情页面确认白名单已覆盖所有正常业务进程,避免误拦截。

  1. 在服务器列表中,单击目标服务器操作列的切换模式

  2. 在切换模式对话框中,选择预警管控模式。

  3. 单击确定完成切换。

查看和处理告警

若服务器存在不在进程白名单中的进程,系统会产生安全告警。可在云安全中心的告警功能中查看和处理。

  1. 在左侧导航栏,选择检测响应 > 告警。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

    说明

    如果已开通 Agentic SOC 服务,左侧导航栏入口将变更为Agentic SOC > 告警

  2. 云工作负载保护平台(CWPP)页签,单击主机异常行为告警下的数字,进入告警列表。

    告警状态说明如下:

    • 预警模式:告警状态为待处理,需人工介入判断。

    • 管控模式:系统已自动拦截该进程,告警状态为已拦截

  3. 针对每条告警,支持以下两种处理方式:

    对比维度

    忽略

    加入业务模型

    当前告警状态

    变为"已忽略"。

    无变化。

    是否再次告警

    仍会产生告警:下次相同进程运行时,系统会再次生成告警信息。

    不再产生告警:下次相同进程运行时,直接放行。

    白名单变更

    无变化。

    将该进程添加至进程白名单中。

    适用场景

    临时性任务、需持续监控的疑似行为。

    确认为正常业务进程、希望减少重复告警。

重新学习进程行为

当服务器的业务进程发生变更时,需要重新学习进程行为并生成新的白名单,避免进程误拦截或无效告警。系统提供以下两种方式:

对比项

增量学习

重新学习

使用限制

仅支持在预警中管控中的服务器使用,学习中的服务器不可用。

无特殊限制。

数据处理方式

在现有模型基础上继续学习新的进程行为,保留已有白名单,仅学习并添加新增的进程行为。

清空所有白名单数据,从零开始重新建立进程白名单。

防护能力状态

管控和预警不生效。

管控和预警不生效。

适用场景

业务小幅调整、新增少量进程或服务、日常迭代维护。

服务器业务发生重大变更(如新增服务、升级软件)后,原有进程行为模型不再适用时。

  1. 智能行为分析页面的服务器列表中,单击目标服务器操作列的重新学习增量学习

  2. 操作完毕后,运行状态将变为学习中

    重要

    学习中期间,管控和预警均不生效。

计费说明

  • 包年包月:

    • 计费方式:按购买的席位授权数量计费。绑定 1 台主机消耗 1 个席位授权。

    • 计费规则6.876066美元/个/月

  • 按量付费:

    • 计费方式:按席位数 × 使用时长计费。绑定 1 台主机消耗 1 个席位授权,无策略配置的主机自动停计费。

    • 计费周期:按小时计费,按自然日结算。

    • 价格0.014325美元/个/小时

  • 混合计费:

    • 计费方式:按购买的席位授权数量计费。绑定 1 台主机消耗 1 个席位授权。

    • 计费规则:开通了弹性防护后,当实际绑定的席位超过已购包年包月普通席位时,超出部分将按照弹性防护席位进行计费。

      重要

      包年包月服务到期后,弹性防护也自动关闭,弹性防护席位也自动停止计费

      • Agentic EDR 普通席位6.876066美元/个/月

      • Agentic EDR 弹性防护席位0.014325美元/个/小时

关闭和退订服务

如果不再需要 EDR 服务,可根据计费模式参考以下指引操作。

  • 关闭整个服务:

  • 关闭弹性防护:

    • 方式一:在云安全中心控制台-总览页面的包年包月服务区域,关闭弹性防护开关即可。

    • 方式二:退订包年包月服务后,弹性防护也自动关闭。

数据清理

关闭服务,退订Agentic EDR实例、或账户欠费后,智能行为分析立即停止服务,数据保留情况如下:

场景

数据保留说明

包年包月实例

退订

  • 策略与基线保留:原有的策略及主机基线会保留,但不再更新。

  • 历史告警保留:已产生的主机异常行为告警会保留,但不再产生新的告警。

到期

按量付费实例

关闭

欠费

常见问题

  • 云安全中心实例到期后,会影响Agentic EDR吗?

    不会影响。原因如下:

    • 独立计费:Agentic EDR 是独立的计费模块,与云安全中心实例分开计费。

    • 功能持续可用:只要Agentic EDR实例仍在有效期内,即使云安全中心实例已到期,仍可正常使用学习、服务器绑定等功能。

  • 为什么我看不到弹性防护开关

    弹性防护现在处于邀测阶段,请联系商务经理开通后,即可查看使用。

  • 学习完成后,为什么白名单为空?

    白名单为空可能表示学习期间服务器上没有进程活动。请确认以下信息,确认无误后单击重新学习

    • 服务器是否正常运行,云安全中心客户端是否在线。

    • AliHips 进程运行正常。若不正常,请确认服务器操作系统及内核版本是否符合AliHips 支持要求

    • 学习期间服务器是否有实际的业务流量。

  • 管控模式下如何避免误杀正常业务进程?

    • 切换到管控模式前,确保学习时长足够,白名单覆盖所有正常业务进程。

    • 先在预警模式下运行一段时间,观察是否有正常业务被误报。

    • 发生误拦截时,在白名单中新增对应进程路径,然后进行重新学习或增量学习。

  • 增量学习重新学习有什么区别?

    • 增量学习:保留已有白名单,仅学习新增的进程行为。适合业务小幅调整、新增少量进程的场景,风险较低,已有白名单不受影响。

    • 重新学习:清空所有已有数据,从零开始学习。适合业务发生重大变更、原有模型不再适用的场景,风险较高。