• 【非常用登录地登录】系统自动记录ECS常用登录地（支持手动添加），若在非常用登录地进行登录，则触发告警。
• 【暴力破解】检测ECS在多次尝试登录失败后最终登录成功的情况，这类情形很有可能是密码被暴力破解。

• 【非合法IP登录】开启后，允许用户配置ECS合法登录IP（如堡垒机IP、办公网IP等）；若使用非指定的IP登录，则触发告警。
• 【非合法账号登录】开启后，允许用户配置ECS合法登录账号；若使用非合法账号登录，则触发告警。
• 【非合法时间登录】开启后，允许用户配置合法登录时间（如工作时间）；若在非合法登录时间登录，则触发告警。

• 主机检测：实时监控主机上网站目录文件变化。
• 网络检测：通过还原后门文件及分析网络协议进行检测。

【病毒查杀】支持在控制台一键中止进程和隔离恶意文件。

【病毒查杀范围】

• 勒索病毒：WanaCry、CryptoLocker等加密文件型勒索软件。
• 恶意攻击：对外DDoS攻击木马、对外恶意扫描木马、垃圾邮件发送木马等。
• 挖矿软件：占用服务器非法挖掘虚拟货币的资源消耗型软件。
• 肉鸡程序：中控木马、恶意中控连接、黑客工具等。
• 其他病毒：蠕虫病毒、Mirai病毒、感染型病毒等。

【病毒库】

• 更新机制：病毒版本部署在云端，由阿里云统一控制，实时更新，客户端本地无检测引擎。
• 病毒样本能力：基本覆盖全种类病毒，在云端集成国内外主流杀毒引擎、阿里云自研沙箱和机器学习引擎等。

• 反弹Shell：检测Bash进程执行可疑指令，服务器被远程控制执行任意命令等。
• 数据库异常指令执行：检测MySQL、PostgreSQL、SQLSserver、Redis、Oracle等数据库的异常指令。
• 应用进程非法操作：检测Java、FTP、Tomcat、Docker容器、Lsass.exe等应用进程的非法操作。
• 系统进程非法行为：检测Powershell、SSH、RDP、SMBD共享、SCP文件拷贝等系统进程的非法行为。
• 其他可疑进程行为：检测Vbscript、Host被访问、crontab被写入、Webshell写入等。

【异常行为检测能力】为数百个进程建立了近千个行为模型，通过比对模型分析异常行为。

• 系统文件篡改：检测Bash、ps命令进程被恶意替换，隐藏的非法进程运行等。
• 网站核心文件删除：检测黑客非法登录服务器后，恶意删除网站文件。
• 网站挂马篡改：检测网站被加入恶意代码，造成访问者自动下载木马病毒。
• 其他可疑事件：检测Linux、MysqlDB等被勒索软件篡改登录界面、留下邮箱或比特币钱包地址等情形。

• 主动外连：可疑shell反弹、Bash主动外连等主动外连到可疑IP。
• 恶意攻击：被种植恶意软件，对外发动SYN-Flood、UDP-Flood、ICMP-Flood等恶意攻击。
• 可疑通信：检测后门程序通信、可疑Webshell通信行为等。

说明 基础版只支持漏洞自动检测，不支持漏洞修复和漏洞立即扫描操作。如需使用云安全中心对漏洞进行修复和手动立即扫描资产是否存在漏洞，需要升级到高级版和企业版。

• 账号安全：检测密码策略合规、系统及应用弱口令等。
• 系统配置：检测组策略、登录基线策略、注册表配置等存在的风险。
• 数据库风险：检测Redis数据库高危配置等。
• 合规对标要求：检测是否符合CIS-Linux Centos7等系统基线要求。

【自定义检测策略】支持自定义检测策略，设置检测项目、检测周期、应用的服务器组等。暂不支持自定义检测脚本。

• ECS：检测安全组端口访问策略是否过宽。
• SLB：检测是否转发不必要的端口至公网，增加系统受攻击风险。
• RDS：检测数据库是否公开在外网，以及是否配置访问白名单。
• Actiontrail：是否开启了操作日志审计，便于日志回溯。
• MFA：是否开启了双因素认证登录，防止阿里云账号被破解。
• 其他：检测SLB白名单、RDS加密通信等。

【账号】收集账号及对应权限信息，可清点特权账号，检测提权行为。

【进程】收集和呈现进程快照信息，便于自主清点合法进程，检测异常进程。

【软件】清点软件安装信息，在高危漏洞爆发时可快速定位到受影响资产。

【网站后台】识别网站后台资产，监控是否有撞库和异常网站后台登录行为。