网络层

应用层

主机层

支持对阿里云、线下IDC及跨云平台的服务器、容器、云产品进行统一安全防护管理。

通过250+威胁检测模型和八大防护引擎提供全链路的威胁检测能力，实现快速定位最新风险进行防护。

采用云端检测终端处置的方案，占用服务器侧资源少。百万量级服务器的装机量，基础防护模式下单核CPU的使用率不超过10%，不影响正常业务。

产品能力覆盖CWPP和CSPM两大安全体系防护的能力要求，同时提供容器全生命周期安全防护能力，仅需部署Agent客户端即可实现安全管理。

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 资产暴露分析 支持对阿里云上的云资源（例如ECS、网关资产、系统组件、端口等）进行全面扫描和分析，识别出可能暴露在公网的安全风险和漏洞，帮助您及时发现和解决问题，提高云资源的安全性。     

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 Linux软件漏洞 Linux软件漏洞检测对标CVE官方漏洞库，采用OVAL匹配引擎进行软件版本比对，对当前使用的软件版本中存在的漏洞进行告警。 仅支持自动检测 仅支持自动检测    漏洞修复支持系统漏洞一键修复，同时自动化快照能力实现一键回滚，更安全地修复漏洞。  增值    Windows系统漏洞 Windows系统漏洞检测同步微软官网补丁源，对高危及有影响的漏洞进行检测和提醒。 仅支持自动检测 仅支持自动检测    漏洞修复自动化识别漏洞修复所需的前置补丁包，解决服务器因无前置补丁而无法修复漏洞的问题，实现一键修复Windows漏洞。对需要重启系统修复的漏洞会进行提醒，提升修复Windows系统漏洞的效率。  增值    Web-CMS漏洞 Web-CMS漏洞检测监控网站目录，识别通用建站软件，通过漏洞文件比对方式检测建站软件中的漏洞。 仅支持自动检测 仅支持自动检测    漏洞修复自研漏洞补丁，支持一键修复，通过文件替换、修改等方式从源代码级别修复漏洞。      应急漏洞 提供针对网络上突然出现的紧急漏洞的检测服务。应急漏洞不支持一键修复，您可以根据提供的修复建议，手动修复服务器上的应急漏洞。      应用漏洞 提供系统服务弱口令、系统服务和应用服务的漏洞检测能力。      扫描漏洞 云安全中心支持对您的资产进行手动一键扫描、实时检测您的资产中是否存在漏洞。 仅支持扫描应急漏洞 （不支持应用漏洞） （不支持应用漏洞）   需紧急修复的漏洞 提供需紧急修复的漏洞聚合入口，帮助您快速查看和修复所有高紧急程度的漏洞。      YUM/APT源配置 提供优先使用阿里云源进行漏洞修复的能力。打开该开关后，云安全中心会为您自动选择阿里云的YUM/APT源配置，帮助您提高漏洞修复成功率。 说明 在修复任意Linux软件漏洞时都需要配置正确的YUM或APT源。如果YUM或APT源配置不正确，会导致漏洞修复失败。     

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 服务器基线检查 服务器基线检查通过任务下发模式，对服务器进行安全配置扫描，对不符合标准的项目进行告警提示。 支持自定义检测策略，设置检测项目、检测周期、应用的服务器组等。暂不支持自定义检测脚本。 支持自定义弱口令规则。根据您配置的基线策略定期检测您的云产品基线是否存在这些弱口令，命中后提供告警。 检测范围   仅支持检测弱口令   容器基线检查 针对容器的配置提供安全检测和告警，基于阿里云容器最佳安全实践对Kubernetes Master和Node节点针对容器基线配置提供风险检查。 检测范围      基线修复 支持一键修复阿里云安全基线、等级保护合规基线。     

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 什么是云平台配置检查 支持从身份权限管理、阿里云产品安全风险和合规风险三个维度检测云环境中的配置问题和安全风险，为您的云上业务提供更安全的运行环境。 说明 自2023年07月07日，云平台配置检查需要按扫描次数收费。更多信息，请参见计费概述。 如果您的云安全中心在此之前已经授权了云平台配置检查，您可以继续免费使用云平台配置检查的部分检查项，直到您的云安全中心到期释放。您可以在云安全中心控制台查看可以免费使用的检查项，如果需要使用新增的检查项，您需要付费购买扫描次数。更多信息，请参见什么是云平台配置检查。     

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 AK泄露检测 实时监控Github等代码托管网站，捕获并判定被公开的源代码中是否含有阿里云资产的AccessKey信息。     

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 云蜜罐 提供云内外的攻击发现、攻击反制等能力。您可以在阿里云VPC、已接入云安全中心的服务器实例上创建云蜜罐实例，来防御您服务器在云内外受到的真实攻击，加固服务器的安全防护。  增值 增值 增值 增值

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 恶意文件检测SDK 恶意文件检测SDK功能提供以下能力： 文件检测SDK：依托云安全中心多引擎检测平台，为您提供简单易用的恶意文件检测服务，只需要编写少量代码即可通过恶意文件检测SDK识别恶意文件。 OSS文件检测：结合云原生优势，支持检测阿里云对象存储Bucket内的文件，帮您准确识别恶意文件。  增值 增值 增值 增值

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 日志分析 网络日志 记录Web访问、DNS解析、本地DNS和网络会话日志，可以帮助您识别潜在的安全威胁，例如攻击尝试、恶意流量等，满足合规与审计要求。    增值 增值 主机日志 记录登录流水、进程启动、账号快照、DNS请求等日志，可以帮助您监控主机上的用户活动、系统事件和应用操作，来发现潜在的威胁，优化运行性能。  增值 增值 增值 增值 安全日志 记录漏洞、基线、安全告警、云平台配置检查等安全日志，可以帮助您观察安全趋势，改进安全策略和防御机制，识别系统的薄弱环节。  增值 增值 增值 增值

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 进程异常行为 通过云上真实的攻防场景对入侵链路还原，建立进程行为白名单，对于进程的非法行为、黑客的入侵过程进行告警。 异常行为检测能力为数百个进程建立了近千个行为模型，通过比对模型分析异常行为。 检测范围      网站后门 支持服务器+网络双重检测机制，检测PHP、ASP、JSP等类型的网站脚本文件。 检测范围如下： 服务器检测 实时监控服务器上网站目录文件变化。 网络检测 通过还原后门文件及分析网络协议进行检测。 仅支持部分类型WebShell检测     WebShell查杀支持在控制台一键隔离检测出来的WebShell文件（手动操作）。已隔离文件在30天内支持恢复。      异常登录 提供基础登录检测功能。 检测范围      提供高级登录检测功能。 检测范围      敏感文件篡改 实时监控敏感目录及文件，对异常的读取、写入、删除等敏感操作进行告警。 检测范围      恶意进程（云查杀） 定期扫描进程并监控进程启动事件，通过云查杀机制检测恶意病毒和木马进程。支持在控制台一键结束进程和隔离恶意文件（手动操作）。 云查杀病毒库的特点 检测范围      异常网络连接 在服务器中和网络层对网络连接进行监控，识别非法的连接行为，并进行告警。 检测范围      其他 检测云安全中心客户端异常离线问题。      异常账号 基于用户行为分析，对异常账号登录系统进行检测。      应用入侵事件 对通过应用入侵的行为进行检测，如：SQLServer。      云产品威胁检测 基于用户行为分析，对云产品的异常使用进行检测。例如黑客调用AccessKey异常购买大量ECS服务器进行挖矿等行为。      精准防御 自动拦截常见网络病毒，包括主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等。      持久化后门 检测服务器中是否存在持久化后门。 当入侵者通过某种手段获取服务器的控制权之后，通过在服务器上放置一些后门（脚本、进程、链接等），来方便后续执行持久化的入侵。常见的持久化后门有Crontab计划任务、自启动任务、替换系统文件等。      Web应用威胁检测 检测通过Web应用入侵的行为。      恶意脚本 检测服务器中是否存在恶意脚本。 恶意脚本分为有文件脚本和无文件脚本。攻击者在获取到服务器权限后，使用脚本作为载体来达到进一步攻击利用的目的。利用方式包括植入挖矿程序、添加系统后门、添加系统账户等操作。恶意脚本的语言包括Bash、Python、Perl、PowerShell、Bat、Vbs。      容器运行时威胁检测 该功能为容器Kubernetes版提供运行时刻安全监控和告警，包括在容器中或在主机层面发生的病毒和恶意程序攻击、容器内部的入侵行为、容器逃逸和高风险操作预警等主要的容器侧攻击行为。支持容器风险项检测和告警。 检测范围      归档告警数据 提供30天前已处理的告警数据归档和下载功能。方便您对历史数据进行回溯和审计。     

威胁分析功能支持管控多个阿里云账号的多个云产品（例如云防火墙、专有网络VPC等）中的安全信息和安全事件，实现安全事件聚焦、发现未知威胁，同时提供丰富的事件上下文、溯源信息及一键化处置功能，提升事件运营效率。

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 攻击分析 支持查看系统遭受的Web攻击详情和ECS遭受的暴力破解攻击等攻击信息，溯源出攻击IP和入侵弱点。     

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 任务中心 提供任务管理功能。通过执行任务，可以自动化、批量地修复多台服务器上的漏洞。     

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 安全报告 对安全报告进行配置。开启安全报告后，云安全中心以邮件形式向您指定的收件人发送安全统计信息。     

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 主机防护设置 主动防御-恶意主机行为防御 帮助您自动拦截并查杀常见网络病毒，包括主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等。      主动防御-防勒索（诱饵捕获） 为您提供捕捉新型勒索病毒的诱饵，并通过病毒行为分析，自动启动新型勒索病毒的防御。      主动防御-网站后门连接防御 帮助您自动拦截黑客通过已知网站后门进行的异常连接行为，并支持一键隔离相关文件（手动操作）。      主动防御-恶意网络行为防御 拦截您的服务器和已披露的恶意访问源之间的网络行为，为您的服务器增强安全防护。      主动防御-主动防御体验优化 如果服务器异常关机或安全防御能力缺失时，云安全中心将采集服务器Kdump数据进行安全防护分析，不断提升云安全中心的安全防御体验。      网站后门查杀 为您定期检测网站服务器、网页目录中的网站后门及木马程序。      自适应威胁检测能力 开启自适应威胁检测能力后，如果服务器发生高危入侵事件，云安全中心会自动为您服务器的Agent开启严格告警模式，更快更全地检测黑客的入侵行为。      告警模式 针对服务器告警提供了不同的告警模式，可以满足您不同应用场景的安全需求。云安全中心默认为所有已接入的服务器开启均衡模式。      容器防护设置 容器K8s威胁检测 实时为您检测正在运行的容器集群安全状态，帮助您及时发现容器集群中的安全隐患和黑客入侵行为。支持以下检测项： K8s API Server执行异常指令 Pod异常目录挂载 K8s Service Account横向移动 恶意镜像Pod启动      容器防逃逸 从进程、文件、系统调用等多种维度检测高风险行为，在容器与宿主机之间建立防护屏障，有效阻断逃逸行为保障容器运行时安全。      客户端能力配置 客户端自保护 开启客户端自保护后，未通过云安全中心控制台卸载Agent的行为将被云安全中心主动拦截，防止攻击者直接入侵服务器恶意卸载Agent或Agent进程被其他程序误关闭。      本地文件检测引擎 本地文件检测引擎会对服务器上新创建的脚本文件、二进制文件进行安全性检测，检测出安全威胁时上报告警。      客户端资源管理 支持手动调整客户端的运行模式，限制客户端的资源占用量，满足多业务场景下服务器的防护需求，可以获得更好的安全防护效果。      其他配置 全局日志过滤 提供全局日志过滤能力，在保障安全效果防护的同时，有效使用日志存储空间，提升您的运营效率。  增值 增值 增值 增值 安全管控 支持IP地址白名单配置，可对加入到白名单中的IP地址进行放行，避免正常的流量被拦截。      访问控制 使用访问控制（RAM），您可以创建、管理RAM用户（例如员工、系统管理员或应用程序管理员），并可以控制这些RAM用户对资源的操作权限。      安装和卸载Agent客户端 支持Agent插件的安装和卸载。      代理接入 支持阿里云VPC、线下IDC机房、混合云场景下未连接公网的服务器ECS通过代理接入云安全中心进行防护，并支持控制上行数据流量（指服务器到云安全中心服务器端的数据流量）。      多云资产接入 支持将非阿里云服务器（包括第三方云服务器和IDC服务器）接入云安全中心进行防护和管理。      IDC探针 通过创建IDC探针，可以检测、发现IDC服务器资产，并将发现的IDC服务器同步到云安全中心的资产中心模块中进行统一管理。      资产管理规则 通过设置不同资产管理规则的条件，将满足同一条件的服务器进行分组或者标签管理，帮助您提升资产管理的效率。     

功能名称 功能概述 免费版 防病毒版 高级版 企业版 旗舰版 等保合规检查 提供覆盖通信网络、区域边界、计算环境和管理中心的等级保护合规检查功能，并提供等保合规检查报告。      ISO 27001合规检测 检测您的系统是否符合ISO 27001认证的要求，例如资产管理、访问控制、密码学、操作安全等，帮助您通过ISO 27001认证。     

场景说明

等保2.0合规方案

场景说明

混合云、多云主机安全方案

场景说明

容器安全解决方案