云安全中心内置 DDoS 检测模型，可检测 DDoS 流量攻击等行为，生成告警日志，为用户提供处理建议和处理接口；同时支持 DDoS 攻击防御功能，当网络流量超过清洗阈值时，系统会开始对攻击

流量进行清洗，对流量成分进行正常/异常判断，丢弃异常流量，减轻攻击对服务器造成的损害，尽可能保障您的业务可用。

云安全中心支持 DDoS 防护告警。DDoS 防护告警功能需先在多源日志接入中接入抗 D 设备方可接收到 DDoS 日志，操作如下：

进入“系统设置 > 多源日志接入”页面，单击“新建设备”，在弹出的对话框中添加抗 D 设备。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在下拉菜单选择告警类型“拒绝服务攻击 > 遭受 DDoS 攻击”；选择时间范围后，便可查询目标告警。

(5) 在“告警详情”模块，单击“详情与建议”可查看告警详细信息和处理建议；单击“告警处理”可对告警信息进行处理。

 DDoS 攻击开始

 DDoS 攻击进行中

 DDoS 攻击结束

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 参见查看 DDoS 攻击告警，筛选出 DDoS 攻击告警。

(5) 在“告警详情”模块，单击目标告警操作列的“告警处理”，弹出告警处理对话框。

(6) 根据实际情况选择处理方式即可。处理完成后，告警状态修改为已处理的状态。

告警处理方式介绍参见告警处理方式说明。

云安全中心支持 DDoS 攻击防御功能。当网络流量超过清洗阈值时，系统会开始对攻击流量进行清洗，对流量成分进行正常/异常判断，丢弃异常流量，减轻攻击对服务器造成的损害，尽可能保障您的业务可用。

您可以根据业务需求设置 DDoS 的清洗阈值。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 单击右上角的“全局设置”，弹出“全局设置”对话框。

(5) 设置 DDoS 阈值参数，单击“保存”，设置成功。

DDoS 阈值设置完成后，当网络流量满足其中一个触发值时，系统开始对攻击流量进行清洗。

云安全中心支持 DGA 域名检测、DGA 告警。

在云工作负载安全 CWP 中开启“网络异常行为-域名规则”的全局策略状态开关，CWP 采集服务器上的 DNS 数据并将数据同步到 SOC，SOC 便可根据 DGA 域名检测的 AI算法识别数据中的 DGA域名，并生成相应的 DGA 告警。

请在云工作负载安全 CWP 中开启“网络异常行为-域名规则”的全局策略状态开关。

(1) 登录 CECSTACK 统一管理平台。

(2) 进入“云工作负载安全 CWP > 实例管理”页面，开通 CWP 服务。

(3) 确认全局策略状态为开启状态。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 在下拉菜单选择告警类型“网络异常行为 > DGA”；选择时间范围后，便可查询目标告警。

(5) 查看告警列表、Top10 风险负载、Top10 告警类型。

(6) 在“告警详情”模块，单击“详情与建议”可查看告警详细信息和处理建议；单击“告警处理”可对告警信息进行处理。

(1) 登录 CECSTACK 统一管理平台。

(2) 单击“云安全中心”，进入云安全中心 SOC 控制台页面。

(3) 单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(4) 参见查看 DGA 告警，筛选出 DGA 域名检测的告警。

(5) 在“告警详情”模块，单击目标告警操作列的“告警处理”，弹出告警处理对话框。

(6) 根据实际情况选择处理方式即可。处理完成后，告警状态修改为已处理的状态。

您可以通过以下两种方式添加 DGA 告警白名单：

• 在告警处理页面选择“加白”操作。

操作参见 DGA 告警处理，在告警处理时选择“加白”；加白成功的 DGA 告警白名单将显示在“策略中心 > 策略白名单”列表中。。

• 在“策略中心 > 策略白名单”页面新建 DGA 策略白名单。

具体操作参见新建策略白名单。