标签：异常检测

1.概述与威胁场景 1) 目标：检测跳板机（bastion）上公钥（authorized_keys）被异常使用或滥用的行为并自动化响应。 2) 风险：被盗私钥或未授权公钥加入可导致横向移动、远程命令执行、数据泄露。 3) 范围：适用于AWS EC2、VPS、物理主机及搭配CDN、域名和DDoS防护的服务链路。 4) 日志来源：系统auth日志、