安裝Security Center用戶端後,用戶端會在伺服器中開啟AliYunDun、AliYunDunMonitor等進程,以實現資訊採集、威脅檢測等能力。您可以通過查看進程狀態,判斷安全防護能力是否生效。本文提供Security Center用戶端檔案和進程的詳細說明。
進程架構
Security Center用戶端採用模組化架構,由核心常駐進程和功能性進程組成,以確保基礎功能的穩定運行和進階功能的高效調度。
常駐進程:如
AliYunDun、AliYunDunMonitor和AliYunDunUpdate,負責與Security Center服務端通訊、維持心跳、上報基礎安全資料、執行自我更新等,為用戶端提供了基礎運行能力。功能性進程(非常駐進程):如
AliHips、AliNet等,僅在控制台開啟相應的進階防禦功能(如惡意主機行為防禦、網頁防篡改)後,才會按需下載並啟動。
進程詳解
為避免用戶端功能異常,請勿手動結束或刪除相關進程與檔案。
如需刪除用戶端相關檔案,請參見用戶端能力配置關閉用戶端自保護開關。
核心進程
核心進程是保障用戶端與雲端通訊、基礎監控能力正常啟動並執行基礎,用戶端安裝後自動啟動。
自 aegis_12_3x 版本起,AliSecureCheckAdvanced 和 AliDetect 進程已合并為 AliSecCheck。更早的版本不受影響。
進程名 | 進程檔案所屬檔案夾 | 功能描述 |
|
| 與Security Center服務端通訊,負責心跳上報、指令接收和資料上報,執行用戶端自保護。 |
|
| 負責主機安全監控,包括資產資訊、進程、連接埠、帳號等資訊的採集與檢測。 |
|
| 負責用戶端版本和規則庫的自動更新。 |
|
| 負責執行安全掃描與檢測任務,包括漏洞掃描、合規基準檢查,以及對挖礦、木馬等惡意程式的運行時檢測 |
功能進程
功能進程與特定的付費功能綁定,僅在開啟相應功能後才會啟動。
進程名 | 進程檔案所屬檔案夾 | 功能描述 | 啟動條件 |
|
| 提供網路層防護,攔截惡意IP訪問、對外攻擊等網路行為。 | 開啟恶意网络行为防御。 |
|
| 提供主機入侵防護,攔截惡意主機行為、防勒索、防禦網站後門串連。 | 開啟惡意主機行為防禦、防勒索(诱饵捕获)、网站后门连接防御任意一個開關。 |
|
| 執行網頁防篡改和核心檔案監控功能。 | 開啟網頁防篡改或核心檔案監控。 |
|
| 執行安全報告、異常檢測、即時監控等任務。 | 開啟服务器防勒索。 |
|
| 執行資料備份、資料恢複、故障監測以及任務調度等任務。 | |
|
| Database Backup代理進程,執行資料庫初始備份、增量備份、恢複Database Backup、調度與管理、日誌記錄與監控等任務。 | 開啟数据库防勒索。 |
進程和功能的關係
功能名稱 | 關聯進程 | 版本/防護等級限制 | 功能說明文檔 |
客戶端自保護 |
| 無 | |
恶意网络行为防御 |
|
| |
惡意主機行為防禦 |
|
| |
防勒索(诱饵捕获) |
|
| |
网站后门连接防御 |
|
| |
網頁防篡改 |
| 無 重要 此功能為增值服務,需單獨購買。 | |
核心檔案監控 |
|
| |
服务器防勒索 |
| 無 重要 此功能為增值服務(防勒索托管服務),需單獨購買。 | |
数据库防勒索 |
| 無 重要 此功能為增值服務(防勒索托管服務),需單獨購買。 |
進程和用戶端狀態的關係
通過監控AliYunDun進程與服務端的通訊來評估用戶端的線上狀態。當出現以下任一情況時,用戶端狀態將由“線上”變為“離線”。
可以在主機資產頁面查看伺服器的用戶端狀態:離線(
)、線上(
)。
服務端檢測到與用戶端的通訊中斷,例如網路異常、
AliYunDun進程被結束或用戶端被卸載。服務端在10小時內未收到用戶端上報的任何資訊(如心跳、安全資料等)。
運行許可權與檔案位置
進程運行許可權
為實現全面的安全監控和防護,用戶端進程必須在作業系統中以高許可權運行,高許可權用於執行核心級監控、檔案系統防護、網路行為分析和進程自我保護等底層操作。
Linux 系統下為
root帳號。Windows 系統下為
SYSTEM帳號。
預設進程檔案路徑
Windows 系統:
32-bit:C:\Program Files\Alibaba\aegis。
64-bit:C:\Program Files (x86)\Alibaba\aegis。
Linux系統:/usr/local/aegis。
進程狀態檢查方法
您可以通過以下命令快速檢查用戶端進程和服務是否正常運行。以下以核心進程為例。
Linux 系統
查看進程命令:
# 檢查核心進程(AliYunDun, AliYunDunMonitor, AliYunDunUpdate 必須全部存在)
ps -ef | grep -E 'AliYunDun|YunDunMonitor|YunDunUpdate'
# 查看服務狀態(應為 active (running))
systemctl status aegis
正常狀態樣本輸出:
root 5472 1 0 Sep10 ? 00:00:18 /usr/local/aegis/aegis_update/AliYunDunUpdate
root 5524 1 0 Sep10 ? 00:01:34 /usr/local/aegis/aegis_client/aegis_12_61/AliYunDun
root 5546 1 0 Sep10 ? 00:03:13 /usr/local/aegis/aegis_client/aegis_12_61/AliYunDunMonitor
● aegis.service - LSB: Aegis service
Loaded: loaded (/etc/rc.d/init.d/aegis; generated)
Active: active (running) since Mon 2023-10-30 10:00:00 CST; 1 day 2h ago
Windows 系統
方式一:在工作管理員中查看相關進程
方式二:使用 PowerShell 執行命令
查看進程命令:
# 檢查核心進程 Get-Process | Where-Object {$_.Name -match '^(AliYunDun|AliYunDunMonitor|AliYunDunUpdate)$'} # 查看服務狀態(應為 Running) Get-Service | Where-Object {$_.Name -match 'Aegis|AliYunDun'}正常狀態樣本輸出:
Handles NPM(K) PM(K) WS(K) CPU(s) Id SI ProcessName ------- ------ ----- ----- ------ -- -- ----------- 380 26 15948 19656 615.75 6072 0 AliYunDun 599 31 47576 37356 968.73 2488 0 AliYunDunMonitor 257 14 8072 11336 232.03 2904 0 AliYunDunUpdate Status Name DisplayName ------ ---- ----------- Running Alibaba Securit... Alibaba Security Aegis Detect Service Running Alibaba Securit... Alibaba Security Aegis Update Service