信息安全-終端檢測響應(yīng)平臺EDR解決方案

第一章概述二十一世紀(jì)以計算機(jī)和網(wǎng)絡(luò)通信為代表的信息化技術(shù)迅速發(fā)展，現(xiàn)代政府部門、金融機(jī)構(gòu)、企事業(yè)單位和商業(yè)等組織的日常辦公對信息系統(tǒng)以及計算機(jī)終端愈發(fā)依賴，信息技術(shù)幾乎滲透到了世界的各行各業(yè)及工作生活的方方面面。組織機(jī)構(gòu)的正常運行高度依賴于信息系統(tǒng)，而針對其所承載的服務(wù)和數(shù)據(jù)的安全保護(hù)就顯得尤為重要，如數(shù)據(jù)的安全性、完整性，終端計算機(jī)的可靠性、可用性等方面出現(xiàn)缺陷，將會給組織機(jī)構(gòu)帶來不可計量的損失。而如今，全球化的互聯(lián)網(wǎng)使得組織機(jī)構(gòu)不僅依賴信息系統(tǒng)，還不可避免地通過計算機(jī)與外部的信息系統(tǒng)建立密切聯(lián)系。面對來自外部以及內(nèi)部的威脅，對信息系統(tǒng)及系統(tǒng)終端的保護(hù)需求則更為突出。面對日益嚴(yán)峻的安全風(fēng)險，大部分組織機(jī)構(gòu)通過以邊界安全網(wǎng)關(guān)類設(shè)備為基礎(chǔ)構(gòu)建信息系統(tǒng)安全防護(hù)體系，并在一定程度上抵御來自外部的攻擊，然而內(nèi)部信息系統(tǒng)是不斷變化發(fā)展的，系統(tǒng)環(huán)境在任何時刻都會呈現(xiàn)開放、共享等特點，不應(yīng)以孤島形式存在，外部威脅只是安全風(fēng)險的一部分，作為辦公環(huán)境的重要組成，開放的信息系統(tǒng)及辦公計算機(jī)終端環(huán)境將面臨更為嚴(yán)峻的內(nèi)部威脅挑戰(zhàn)。正因如此，終端的安全性顯得格外重要且又是容易被忽略的安全薄弱環(huán)節(jié)。XX終端計算機(jī)具有點數(shù)多、覆蓋面大、難管理等特點，加之XX信息安全人員人手有限，終端分布環(huán)境復(fù)雜，威脅風(fēng)險事件較多，使信息安全人員對終端安全工作處于被動狀態(tài)。在終端安全方面，一旦出現(xiàn)病毒感染、惡意破壞傳播、數(shù)據(jù)丟失等事件，將會給XX造成嚴(yán)重?fù)p失，后果不堪設(shè)想?，F(xiàn)由于XX各部門及員工對計算機(jī)的合規(guī)使用、對終端安全以及病毒防范的意識和能力參差不齊，已嚴(yán)重影響到計算機(jī)信息系統(tǒng)安全性。正因如此，全方位做好XX信息系統(tǒng)的終端安全防護(hù)工作，在XX建設(shè)一套終端安全檢測與響應(yīng)系統(tǒng)，以確保乂乂的日常辦公安全、穩(wěn)定、高效運行。第二章應(yīng)用場景與風(fēng)險分析防病毒應(yīng)用概況信息化飛速發(fā)展，組織內(nèi)部人員的正常辦公，與計算機(jī)終端密不可分，它為使用者帶來便利同時，亦產(chǎn)生了層出不窮的安全威脅。這其中就以計算機(jī)病毒最為致命，它具有破壞性強(qiáng)、傳播途徑多樣等特點，一旦感染將會給XX造成巨大損失。針對于此，XX在現(xiàn)有信息系統(tǒng)中通過部署**防病毒產(chǎn)品，用以防御已知威脅，這在一定程度上確實能夠提升終端安全防護(hù)水平，但就目前信息化技術(shù)發(fā)展來說，如勒索病毒大范圍感染傳播事件，攻擊者的免殺技術(shù)不斷升級，傳統(tǒng)防病毒產(chǎn)品已無法及時有效的應(yīng)對新的高級威脅?，F(xiàn)狀及風(fēng)險分析人工運維加劇威脅防御成本傳統(tǒng)終端安全產(chǎn)品以策略、特征為基礎(chǔ)，輔以組織規(guī)定以及人員操作制度驅(qū)動威脅防御，勒索病毒等高級威脅一旦產(chǎn)生，將會在內(nèi)部不可控的感染傳播。信息系統(tǒng)的恢復(fù)工作，需要逐臺逐點完成，大量人工成本呈幾何增長態(tài)勢。另外針對新型病毒而言，需要充分研究其技術(shù)特點，以針對性的防御措施進(jìn)行加固，這就對企業(yè)運維人員的專業(yè)性要求極高，那么面對層出不窮的新型威脅，現(xiàn)階段以傳統(tǒng)防病毒產(chǎn)品為基礎(chǔ)進(jìn)行有效應(yīng)對難度較大?；谔卣髌ヅ錃⒍緹o法有效抵御新型病毒已有防病毒產(chǎn)品基于病毒特征庫方式進(jìn)行殺毒，在高級威脅持續(xù)產(chǎn)生的大環(huán)境下，呈現(xiàn)被動、后知后覺等檢測特點，無法及時有效防御新型病毒，如WannaCry勒索病毒。另外，本地特征庫數(shù)量受存儲、性能、資源等多方面影響，現(xiàn)有本地特征庫文件規(guī)模無法滿足已知病毒的查殺需求。病毒特征庫數(shù)量增長加重主機(jī)運算資源伴隨著已知病毒樣本的不斷增加，本地病毒特征庫數(shù)量日益增多，現(xiàn)已嚴(yán)重加劇終端存儲、運算資源成本，查殺病毒過程會出現(xiàn)卡頓、假死等現(xiàn)象，嚴(yán)重影響用戶日常辦公。而信息系統(tǒng)環(huán)境亦會伴隨著信息技術(shù)更新而迭代，現(xiàn)有防病毒產(chǎn)品已無法適配如云化等新的特定場景。殺毒處置方式落后無法適應(yīng)病毒新的傳播方式與環(huán)境如信息系統(tǒng)內(nèi)某臺終端發(fā)現(xiàn)病毒，防病毒產(chǎn)品將采取基于文件隔離的方式進(jìn)行處置，此種方式相對落后，如文件隔離失敗情況產(chǎn)生，單點威脅將快速輻射到面，因此傳統(tǒng)防毒產(chǎn)品已經(jīng)無法適應(yīng)新的病毒傳播方式及環(huán)境。終端間訪問控制應(yīng)用概況一直以來,企業(yè)廣泛的采用縱深防御技術(shù)(defensindepth)和最小權(quán)限邏輯(leastprivilege)來進(jìn)行企業(yè)網(wǎng)絡(luò)安全管理。而隔離是實現(xiàn)這兩個理念的基本方式，例如傳統(tǒng)安全管理中，通過邊界部署防火墻來實現(xiàn)可信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離，內(nèi)部不同安全級別間劃分安全域，域間通過防火墻實現(xiàn)隔離，并通過設(shè)置安全策略按需賦予訪問權(quán)限?，F(xiàn)狀及風(fēng)險分析終端間缺少基本的訪問控制體系從近年來的安全事件我們可以看到，攻擊者從以破壞為主的攻擊逐漸轉(zhuǎn)變?yōu)橐蕴囟ǖ恼位蚪?jīng)濟(jì)目的為主的高級可持續(xù)攻擊。無論從著名的 LockheedMartinCyberKillChain(洛克希德-馬丁公司提出的網(wǎng)絡(luò)攻擊殺傷鏈)，還是近年名聲大噪的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點，一旦邊界的防線被攻破或繞過，攻擊者就可以在數(shù)據(jù)中心內(nèi)部橫向移動，而中心內(nèi)部基本沒有安全控制的手段可以阻止攻擊。這也突出了傳統(tǒng)安全的一個主要弱點，復(fù)雜的安全策略、巨大的資金和技術(shù)都用于了邊界防護(hù)，而同樣的安全級別并不存在于內(nèi)部。終端間訪問關(guān)系無法有效可視對終端間訪問關(guān)系的梳理必不可少，若通過路由表單等靜態(tài)報表很難看到每個業(yè)務(wù)域內(nèi)部各個終端的訪問關(guān)系展示以及訪問記錄，也無法通過可視化的方式看到每個業(yè)務(wù)域之間的訪問關(guān)系展示以及每個業(yè)務(wù)域的流量狀態(tài)、訪問趨勢、流量排行設(shè)備聯(lián)動應(yīng)用現(xiàn)狀XX網(wǎng)絡(luò)的建設(shè)伊始及后續(xù)應(yīng)用，就與外部網(wǎng)絡(luò)存在密不可分的連通性，資料查閱、信息交流、數(shù)據(jù)共享等行為普遍存在，這使得XX辦公人員大大增加了工作便捷性。然而，網(wǎng)絡(luò)化辦公增加工作效率同時，由此產(chǎn)生的外部威脅、非法操作行為即隨之而來，正因如此，XX在現(xiàn)有信息系統(tǒng)中通過部署深信服下一代防火墻AF、行為管控AC、安全感知平臺SIP等設(shè)備，以便達(dá)到抵御外部攻擊威脅、規(guī)范化組織用戶上網(wǎng)行為、感知網(wǎng)絡(luò)威脅等效果，這些技術(shù)措施的良好運用，有效增強(qiáng)了信息系統(tǒng)安全性。然而安全體系的建設(shè)應(yīng)呈現(xiàn)一體化形態(tài)，各安全設(shè)備分散應(yīng)用、各自為戰(zhàn)，無法有效實現(xiàn)安全防護(hù)工作的進(jìn)一步增值，病毒威脅一旦感染至終端，前期所做一切工作將形同虛設(shè)?，F(xiàn)狀及風(fēng)險分析未構(gòu)成整體安全防護(hù)體系傳統(tǒng)安全防護(hù)工作的建立，必然與各安全設(shè)備形成密不可分的關(guān)系，但術(shù)業(yè)有專攻，目前各安全設(shè)備只可達(dá)到職責(zé)范圍內(nèi)的對應(yīng)防護(hù)效果，即各系統(tǒng)只可對其涉及的對象進(jìn)行安全管理，查看相應(yīng)信息、檢測對應(yīng)流量、收集安全日志，各系統(tǒng)的功能及信息均呈現(xiàn)分散特點，未有效整合安全防御能力，并形成整體化的安全防護(hù)體系。缺乏設(shè)備間有效聯(lián)動機(jī)制安全威脅的產(chǎn)生不會因為防御技術(shù)的升級而終止，面對層出不窮的威脅，諸多安全設(shè)備各司其職、各自為戰(zhàn)，安全設(shè)備間未形成有效的聯(lián)動機(jī)制，威脅一旦在某點爆發(fā)將快速影響到面，然而現(xiàn)階段，有效應(yīng)對及響應(yīng)手段只可依靠人工。安全防護(hù)能力不可延伸至端點前期已建設(shè)的深信服AC、AF、SIP等系統(tǒng)，在安全防護(hù)能力方面，更多偏重于網(wǎng)絡(luò)層面，無法延伸至端點。然而就終端而言，其有效使用與XX用戶日常工作密不可分，終端作為安全防護(hù)工作的最后一公里，重要程度不言而喻，新型勒索病毒等威脅一旦出現(xiàn)，將不可控的感染至終端，而此時維護(hù)工作量大、恢復(fù)難度高、感染覆蓋面廣等等問題均全面暴露，給XX造成不可預(yù)估的損失。

第三章建設(shè)思路綜上所述，XX已在信息系統(tǒng)內(nèi)部建立防病毒、防火墻、上網(wǎng)行為管理、安全感知的系統(tǒng)，但以新型威脅、終端安全等角度為出發(fā)點，仍存在諸多不足。本方案將設(shè)計通過深信服終端檢測與響應(yīng)系統(tǒng)（以下簡稱“EDR”）進(jìn)行XX終端安全防護(hù)項目建設(shè)，EDR是深信服公司提供的一套綜合性終端安全解決方案，方案由輕量級的端點安全軟件和管理平臺軟件共同組成。EDR以具有自主知識產(chǎn)權(quán)的創(chuàng)新型SAVE人工智能引擎為核心，通過預(yù)防、防御、檢測、響應(yīng)賦予終端更為精準(zhǔn)、持續(xù)的檢測、快速處置能力，應(yīng)對高級威脅同時實施聯(lián)動協(xié)同、威脅情報共享、智能響應(yīng)機(jī)制，可以實現(xiàn)威脅快速檢測、有效處置終端一系列安全問題，構(gòu)建全新智能化的下一代終端安全系統(tǒng)，為XX提供行之有效的整體安全防御體系?；贏IMNPQRWbffMdVingu-irU應(yīng)用創(chuàng)新微隔離技術(shù)

的基于AIMNPQRWbffMdVingu-irU應(yīng)用創(chuàng)新微隔離技術(shù)

的動態(tài)防護(hù)體系基于AI的多維度智能威脅槌測機(jī)制■好堆度il4型的螞R■斯森謝網(wǎng)”端”云協(xié)同聯(lián)動

與高效威脅處置圖3-1項目建設(shè)思路構(gòu)建多維度威脅防御體系通過EDR的全面部署應(yīng)用，提供全網(wǎng)終端病毒、木馬、入侵攻擊等威脅防御能力，通過EDR人工智能SAVE引擎、全網(wǎng)信譽(yù)庫、云查引擎、行為分析等技術(shù)，全面應(yīng)對威脅，有效防御新型未知病毒的感染與傳播，解決現(xiàn)有信息系統(tǒng)安全問題，構(gòu)建百分百多維度威脅防御體系。建設(shè)多平臺立體防御壁壘通過EDR的全面部署應(yīng)用，提供多安全平臺聯(lián)動機(jī)制，EDR可與深信服AC、AF、SIP進(jìn)行聯(lián)動，實現(xiàn)威脅情報的共享與接收效果。EDR在收到其他設(shè)備發(fā)送的威脅情報時，可第一時間進(jìn)行隔離處置，有效縮短威脅響應(yīng)時間，智能化的處置方式，大大減少管理人員維護(hù)工作量、提升安全防護(hù)水平，并全面形成多平臺立體防御壁壘。設(shè)計原則對于XX網(wǎng)絡(luò)終端安全防護(hù)工作，應(yīng)當(dāng)以威脅風(fēng)險為核心，以重點保護(hù)為原則，從使用的角度出發(fā)，重點保護(hù)信息系統(tǒng)計算機(jī)，在項目建設(shè)中應(yīng)當(dāng)遵循以下的原則。適度安全原則任何信息系統(tǒng)都不能做到絕對的安全，在進(jìn)行終端安全防護(hù)建設(shè)中，要在安全需求、安全風(fēng)險和安全成本之間進(jìn)行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復(fù)雜性。適度安全也是項目建設(shè)的初衷，因此在進(jìn)行項目建設(shè)的過程中，一方面要嚴(yán)格遵循基本要求，另外也要綜合成本的角度，針對XX終端的實際風(fēng)險，提出對應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計和建設(shè)，從而有效控制成本。技術(shù)管理并重原則信息安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的，僅僅通過部署安全產(chǎn)品很難完全覆蓋所有的信息安全問題，因此組織機(jī)構(gòu)后續(xù)還應(yīng)制定有效的管理制度，使技術(shù)與管理相結(jié)合，更有效的保障系統(tǒng)的整體安全性。合規(guī)性原則終端安全防護(hù)應(yīng)當(dāng)考慮與國家相關(guān)標(biāo)準(zhǔn)的符合性，在本次項目建設(shè)中，采用的EDR必須滿足國家法律法規(guī)的標(biāo)準(zhǔn)要求。成熟性原則采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗確實能夠解決安全問題并在很多項目中有成功應(yīng)用的;綜合治理原則在本項目中，內(nèi)網(wǎng)終端的安全保護(hù)不僅僅是一個技術(shù)問題，各種安全技術(shù)應(yīng)該與運行管理機(jī)制、人員的思想教育與技術(shù)培訓(xùn)、安全法律法規(guī)建設(shè)相結(jié)合，從多角度綜合考慮。建設(shè)范圍與規(guī)模本項目將為XX信息系統(tǒng)構(gòu)建全網(wǎng)終端安全防護(hù)體系，建設(shè)EDR系統(tǒng)，保證內(nèi)部終端安全、可控、可審計。本次項目建設(shè)的范圍包含XX全單位、涉及服務(wù)器**點、終端**點。方案設(shè)計總體架構(gòu)綜上，結(jié)合現(xiàn)狀以及方案建設(shè)思路，本次項目設(shè)計采用EDR系統(tǒng)進(jìn)行建設(shè)，系統(tǒng)主要由基礎(chǔ)平臺、核心引擎、系統(tǒng)功能三部分組成：＞基礎(chǔ)平臺：由主機(jī)代理、惡意文件查殺引擎、WEB控制臺三部分組成，該平臺提供EDR系統(tǒng)良好運行的基礎(chǔ)支撐，提供終端安全防護(hù)功能的基本運行環(huán)境，負(fù)責(zé)功能指令以及消息的接收、發(fā)送、執(zhí)行；＞核心引擎：由人工智能SAVE引擎、云端威脅情報、第三方引擎所組成，用以實現(xiàn)病毒有效檢測以及快速響應(yīng)功能。＞系統(tǒng)功能：系統(tǒng)功能展現(xiàn)則由預(yù)防、防御、檢測、響應(yīng)四部分組成，通過上述四部分功能對終端賦予加固措施，有效抵御病毒木馬等威脅，實現(xiàn)安全有效的終端防護(hù)效果。系統(tǒng)總體架構(gòu)如下圖所示:

圖4-1總體架構(gòu)產(chǎn)品設(shè)計理念Gartner自適應(yīng)閉環(huán)架構(gòu)四階段模型,四個階段共定義了12個建議項用來完善四階段模型的各個防護(hù)階段，深信服EDR是業(yè)界唯一完全滿足12個建議項的終端安全廠商檢測、監(jiān)控微隔離勒索誘捕一鍵隔離轉(zhuǎn)移或擊者Divertattacks阻止事件Preventissues強(qiáng)化和隔離系統(tǒng)Hardenandisolatesystems人工智能SAVE引擎主動風(fēng)險分析Proactiveriskanaiys“預(yù)測攻擊Predictattacks安全接線檎杳 草線系統(tǒng)女主早廷格肯明初儂systems---——.一??■上???????文件修復(fù)檢測、監(jiān)控微隔離勒索誘捕一鍵隔離轉(zhuǎn)移或擊者Divertattacks阻止事件Preventissues強(qiáng)化和隔離系統(tǒng)Hardenandisolatesystems人工智能SAVE引擎主動風(fēng)險分析Proactiveriskanaiys“預(yù)測攻擊Predictattacks安全接線檎杳 草線系統(tǒng)女主早廷格肯明初儂systems---——.一??■上???????文件修復(fù)網(wǎng)端聯(lián)動設(shè)計7模式變更持續(xù)迭代口esign/Modelchange修復(fù)與進(jìn)行變更ReEedi司e/Makecliange溯源分析 調(diào)杳與取證麗城“祈InvestigateForensics檢刑事件 文件實時監(jiān)控Detecti^ues主動掃描終踹圍則式避殺抑制事件Containissues對嘈險禁優(yōu)先級嗎械脅物分類Confirmandpfiontjzerisk電應(yīng).調(diào)查陸防、預(yù)測盥蟻防護(hù)預(yù)防階段通過【系統(tǒng)漏洞檢測】1來進(jìn)行【主動風(fēng)險分析】，明確系統(tǒng)層面的漏洞風(fēng)險是否為可接受風(fēng)險1見漏洞補(bǔ)丁管理功能描述4.8＞通過【人工智能引擎SAVE】2,具有強(qiáng)泛化能力，可以使用半年前引擎模型即可查出最新勒索病毒，【預(yù)測變種攻擊】＞通過【安全基線核查】3明確等保合規(guī)或者【安全基線】是否達(dá)到預(yù)期防護(hù)階段＞通過【微隔離】4【強(qiáng)化和隔離系統(tǒng)】，細(xì)粒度管控終端間訪問關(guān)系并做到可視化展現(xiàn)＞通過【勒索誘餌陷阱】5,當(dāng)勒索病毒加密誘餌文件可通過進(jìn)程回溯病毒文件進(jìn)行查殺，達(dá)到【轉(zhuǎn)移攻擊】的目的＞通過【一鍵隔離】6阻止感染終端持續(xù)向外擴(kuò)散，阻止【事件升級】檢測階段＞通過【文件實時監(jiān)控】7與【主動掃描】持續(xù)【檢測威脅事件】＞通過【終端圍剿式查殺】8和【終端間訪問控制】做到一臺感染，全網(wǎng)感知，【抑制事件】進(jìn)一步爆發(fā)＞通過【威脅等級分類】9【確認(rèn)風(fēng)險優(yōu)先級】，進(jìn)一步明確內(nèi)網(wǎng)安全情況，并按優(yōu)先級進(jìn)行處理響應(yīng)階段＞通過【文件修復(fù)】對受感染文件進(jìn)行【修復(fù)】，當(dāng)無法修復(fù)或修復(fù)失敗時再進(jìn)行隔離＞通過【云網(wǎng)端協(xié)同聯(lián)動】1。對【全網(wǎng)網(wǎng)絡(luò)安全架構(gòu)進(jìn)行設(shè)計】，并通過不斷完善云網(wǎng)端體系和版本升級進(jìn)行持續(xù)迭代＞通過EDR針對攻擊事件進(jìn)行【溯源分析】進(jìn)行【調(diào)查與取證】，對攻擊鏈條進(jìn)行重新審視，并針對審視結(jié)果2見AI技術(shù)5慶丫已引擎3見安全基線核查4.4.34見應(yīng)用創(chuàng)新為隔離技術(shù)的動態(tài)防護(hù)體系4.55見勒索病毒誘捕4.4.26見訪問關(guān)系控制4.5.27見基于多維度威脅防御體系4.48見終端圍剿式查殺4.4.49見全網(wǎng)威脅定位4.131。見網(wǎng)端云協(xié)同聯(lián)動與高效威脅處置4.6統(tǒng)一管理平臺適配全類型資產(chǎn)適配全類型資產(chǎn)桌面云，傳統(tǒng)pc,筆記本，私有云，服務(wù)器，私有云，公有云全適配終端系統(tǒng)兼容性廣闊與底層虛擬化解耦，適配全部虛擬化底層平臺4.4基于多維度的智能檢測技術(shù)檢測引擎終端上的安全檢測是核心的技術(shù)，傳統(tǒng)的病毒檢測技術(shù)使用特征匹配，而特征匹配沒有泛化能力或泛化能比較弱，當(dāng)病毒經(jīng)過簡單的變種，就必須新增加特征規(guī)則，因此，隨著病毒數(shù)量越來越大，病毒特征庫也就跟著越來越大，同時運行所占資源也就越來越多。而基于AI技術(shù)的查殺引擎，利用深度學(xué)習(xí)的技術(shù)，通過對海量樣本數(shù)據(jù)的學(xué)習(xí)，提煉出來的高維特征，具備有很強(qiáng)的泛化能力，從而可以應(yīng)對更多的未知威脅。而這些高維特征數(shù)量極少，并且不會隨著病毒數(shù)同步增長，因此，AI技術(shù)具有更好檢出效果、更低資源消耗的優(yōu)點。當(dāng)然，僅靠一個AI殺毒引擎是不夠的，深信服的EDR產(chǎn)品構(gòu)建了一個多維度、輕量級的漏斗型檢測框架，包含文件信譽(yù)檢測引擎、基因特征檢測引擎、AI技術(shù)的SAVE引擎行為引擎、云查引擎等。通過層層過濾，檢測更準(zhǔn)確、更高效，資源占用消耗更低。

4.4,1.1文件信譽(yù)檢測引擎基于傳統(tǒng)的文件hash值建立的輕量級信譽(yù)檢測引擎，主要用于加快檢測速度并有更好的檢出效果，主要有兩種機(jī)制：.本地緩存信譽(yù)檢測：對終端主機(jī)本地已經(jīng)檢測出來的已知文件檢測結(jié)果緩存處理，加快二次掃描，優(yōu)先檢測未知文件。.全網(wǎng)信譽(yù)檢測：在管理平臺上構(gòu)建企業(yè)全網(wǎng)的文件信譽(yù)庫，對單臺終端上的文件檢測結(jié)果匯總到平臺，做到一臺發(fā)現(xiàn)威脅，全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡(luò)中的檢測重點落到對未知文件的分析上，減少對已知文件重復(fù)檢測的資源開消。基因特征檢測引擎深信服EDR的安全運營團(tuán)隊，根據(jù)安全云腦和EDR產(chǎn)品的數(shù)據(jù)運營，對熱點事件的病毒家族進(jìn)行基因特征的提取，洞見威脅本質(zhì)，使之能應(yīng)對檢測出病毒家族的新變種。相比一般AI技術(shù)SAVE引擎SAVE(SangforAI-basedVanguardEngine)是由深信服創(chuàng)新研究院的博士團(tuán)隊聯(lián)合EDR產(chǎn)品的安全專家，以及安全云腦的大數(shù)據(jù)運營專家，共同打造的人工智能惡意文件檢測引擎。該引擎利用深度學(xué)習(xí)技術(shù)對數(shù)億維的原始特征進(jìn)行分析和綜合，結(jié)合安全專家的領(lǐng)域知識,最終挑選了數(shù)千維最有效的高維特征進(jìn)行惡意文件的鑒定。基于人工智能技術(shù)，擁有強(qiáng)大的泛化能力，能夠識別未知病毒或者已知病毒的新變種；對勒索病毒檢測效果達(dá)到業(yè)界領(lǐng)先，包括影響廣泛的WannaCry、BadRabbit等病毒。2018年10月新發(fā)現(xiàn)的GandCrab5.0.3、Rapid、GandCrab5.0.4、KrakenCryptor2.0.7勒索病毒，使用9月已經(jīng)合入產(chǎn)品并發(fā)布的SAVE1.0.0可以全部檢出和查殺。對非勒索病毒也有較好的檢出效果；云+邊界設(shè)備+端聯(lián)動，依托于深信服安全云腦海量的安全數(shù)據(jù)，SAVE能夠持續(xù)進(jìn)化，不斷更新模型并提升檢測能力，從而形成傳統(tǒng)引擎、人工智能檢測引擎和云端檢測引擎的完美結(jié)合，構(gòu)成了深信服的安全云腦+安全網(wǎng)關(guān)AF/SIP/AC+終端安全EDR的整體解決方案。行為引擎?zhèn)鹘y(tǒng)靜態(tài)引擎，是基于靜態(tài)文件的檢測方式，對于加密和混淆等代碼級惡意對抗，輕易就被繞過。而基于行為的檢測技術(shù)，實際上是讓可執(zhí)行程序運行起來，“虛擬沙盒”捕獲行為鏈數(shù)據(jù)，通過對行為鏈的分析而檢測出威脅。因此，不管使用哪種加密或混淆方法，都無法繞過檢測。最后，執(zhí)行的行為被限制在“虛擬沙盒”中，檢測完畢即被無痕清除，不會真正影響到系統(tǒng)環(huán)境。行為引擎在分層漏斗檢測系統(tǒng)結(jié)構(gòu)中，與云查引擎處于最低層，僅有少量的文件到達(dá)該層進(jìn)行鑒定，因此，總體資源消耗較少。云查引擎針對最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技術(shù)，進(jìn)行云端查詢。云端的安全云腦中心，使用大數(shù)據(jù)分析平臺，基于多維威脅情報、云端沙箱技術(shù)、多引擎擴(kuò)展的檢測技術(shù)等，秒級響應(yīng)未知文件的檢測結(jié)果。勒索病毒誘捕裝載在終端系統(tǒng)上的EDR客戶端，在系統(tǒng)關(guān)鍵目錄及隨機(jī)目錄放置誘餌文件，當(dāng)病毒調(diào)用加密進(jìn)程對終端文件加密，當(dāng)加密到誘餌文件時，誘餌文件將加密進(jìn)程反饋至EDR客戶端，EDR客戶端立即殺掉加密進(jìn)程阻止加密，并根據(jù)調(diào)用進(jìn)程的病毒源文件進(jìn)行查殺，有效阻止勒索病毒對關(guān)鍵目錄文件的進(jìn)一步的加密和擴(kuò)散1~1口1~1口R上端客P停SOS相一R相正在?包 奉旭ta/ 軌Hit匕Rt 匕*-zTr二二二品而后！J屈屈rEMElJlBduB品局局OSEl終端安全基線核查圖4-4安全合規(guī)審查終端的安全合規(guī)性是重中之重，信息系統(tǒng)中終端一旦不合規(guī)將產(chǎn)生不可預(yù)知的安全風(fēng)險，正因如此，無論是國家法律法規(guī)，還是組織內(nèi)部的規(guī)章指引，對于主機(jī)方面都具有明確的安全要求，本方案將通過全面部署應(yīng)用深信服終端檢測與響應(yīng)系統(tǒng)，對內(nèi)部終端進(jìn)行安全合規(guī)審查，依據(jù)等級保護(hù)的主機(jī)安全要求進(jìn)行設(shè)計，對身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范等策略進(jìn)行合規(guī)性審查，滿足企業(yè)建設(shè)等級保護(hù)系統(tǒng)的主機(jī)安全要求。全網(wǎng)終端圍剿式查殺當(dāng)某一臺終端發(fā)現(xiàn)病毒文件，基于文件信譽(yù)引擎立即將此病毒文件的md5特征值進(jìn)行全網(wǎng)通報，做到一臺發(fā)現(xiàn)，全網(wǎng)感知，在全網(wǎng)進(jìn)行圍剿式查殺應(yīng)用創(chuàng)新微隔離技術(shù)的動態(tài)防護(hù)體系創(chuàng)新微隔離技術(shù)EDR微隔離方案提出了一種基于安全域應(yīng)用角色之間的流量訪問控制解決方法，系統(tǒng)可實現(xiàn)基于主機(jī)應(yīng)用角色之間的訪問控制，做到可視化的安全訪問策略配置，簡單高效地對應(yīng)用服務(wù)之間訪問進(jìn)行隔離控制。優(yōu)先對所有的服務(wù)器進(jìn)行業(yè)務(wù)安全域的邏輯劃域隔離，并對業(yè)務(wù)區(qū)域內(nèi)的服務(wù)器提供的服務(wù)進(jìn)行應(yīng)用角色劃分，對不同應(yīng)用角色之間服務(wù)訪問進(jìn)行控制配置，減少了非法人員對物理、虛擬服務(wù)器攻擊機(jī)會，集中統(tǒng)一管理服務(wù)器的訪問控制策略。并且基于安裝輕量級主機(jī)Agent軟件的微隔離訪問控制，不受虛擬化平臺、物理機(jī)器和虛擬機(jī)器影響。另一方面，微隔離功能的應(yīng)用，可在發(fā)生病毒感染情況下，將威脅放置在可控范圍內(nèi)，從而有效提升安全防護(hù)水平。終端間訪問關(guān)系控制在東西向訪問關(guān)系控制上，優(yōu)先對所有的服務(wù)器進(jìn)行業(yè)務(wù)安全域的邏輯劃域隔離，并對業(yè)務(wù)區(qū)域內(nèi)的服務(wù)器提供的服務(wù)進(jìn)行應(yīng)用角色劃分，對不同應(yīng)用角色之間服務(wù)訪問進(jìn)行訪問控制配置，減少了對物理、虛擬的服務(wù)器被攻擊的機(jī)會，集中統(tǒng)一管理服務(wù)器的訪問控制策略。并且基于安裝輕量級主機(jī)Agent軟件的訪問控制，不受虛擬化平臺的影響，不受物理機(jī)器和虛擬機(jī)器的影響。

通過全面部署應(yīng)用深信服終端檢測與響應(yīng)系統(tǒng)，可全面解決信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)互訪不可控問題，規(guī)范化主機(jī)、業(yè)務(wù)等網(wǎng)內(nèi)不同對象的網(wǎng)絡(luò)訪問行為。利用應(yīng)用角色之間的主機(jī)流量訪問控制的技術(shù)，提供對業(yè)務(wù)安全域之間、業(yè)務(wù)安全域內(nèi)不同應(yīng)用角色之間、業(yè)務(wù)安全域內(nèi)相同應(yīng)用角色之間的訪問控制策略配置，提供簡單可視化的安全訪問策略配置，提高安全管理效率。業(yè)務(wù)安全域應(yīng)用提供者應(yīng)用服務(wù)應(yīng)用使用者策略動作門戶網(wǎng)站業(yè)務(wù)域WEB應(yīng)用角色Apache（Http，80）All允許門戶網(wǎng)站業(yè)務(wù)域DB應(yīng)用角色MySQL（TCP，3306）WEB應(yīng)用角色允許門戶網(wǎng)站業(yè)務(wù)域ALLALLALL拒絕OA業(yè)務(wù)域DB應(yīng)用角色MySQL（TCP，3306）郵件應(yīng)用角色允許OA業(yè)務(wù)域ALLALLALL拒絕表4-1微隔離角色訪問控制例如門戶網(wǎng)站業(yè)務(wù)域的WEB應(yīng)用角色服務(wù)器組提供Apache應(yīng)用服務(wù)，策略動作允許門戶網(wǎng)站業(yè)務(wù)域內(nèi)所有主機(jī)的訪問，而DB應(yīng)用角色服務(wù)器組提供的MySQL應(yīng)用服務(wù)，策略動作只允許門戶網(wǎng)站業(yè)務(wù)域內(nèi)的WEB應(yīng)用角色服務(wù)器組的訪問。門戶網(wǎng)站業(yè)務(wù)域內(nèi)WEB應(yīng)用角色之間的主機(jī)，由于沒有訪問需求，配置為隔離拒絕策略。終端訪問關(guān)系可視化在訪問關(guān)系可視化中，采用統(tǒng)一管理的方式對終端的網(wǎng)絡(luò)訪問關(guān)系進(jìn)行圖形化展示，可以看到每個業(yè)務(wù)域內(nèi)部各個終端的訪問關(guān)系展示以及訪問記錄，也可以看到每個業(yè)務(wù)域之間的訪問關(guān)系展示以及每個業(yè)務(wù)域的流量狀態(tài)、訪問趨勢、流量排行，同時可以根據(jù)每個訪問關(guān)系會生成訪問關(guān)系控制策略,讓用戶決定是否啟用該策略，減少了手動新增策略的工作量,提高了安全管理的效率IOQmu創(chuàng)新微隔離技術(shù)，有效應(yīng)對高級威脅快速傳播，將病毒遏制在指定范圍之內(nèi)，使信息系IEfiSUS內(nèi)可占用3rCPVEWHFT0TCP.&a「□TicatFFTR5IOQmu創(chuàng)新微隔離技術(shù)，有效應(yīng)對高級威脅快速傳播，將病毒遏制在指定范圍之內(nèi)，使信息系IEfiSUS內(nèi)可占用3rCPVEWHFT0TCP.&a「□TicatFFTR530%A力果錄Mitt統(tǒng)環(huán)境可控性大大提高。網(wǎng)端云協(xié)同聯(lián)動深信服EDR產(chǎn)品能與NGAF（下一代防火墻）、AC（上網(wǎng)行為管理）、SIP（態(tài)勢感知）安全云腦等產(chǎn)品進(jìn)行協(xié)同聯(lián)動響應(yīng)，形成涵蓋云、邊界、端點上中下立體防御架構(gòu)，內(nèi)外部威脅情報可實時共享。EDR產(chǎn)品可與安全云腦協(xié)同響應(yīng)，關(guān)聯(lián)在線數(shù)十萬臺安全設(shè)備的云反饋威脅情報數(shù)據(jù)，以及第三方合作伙伴交換的威脅情報數(shù)據(jù)，智能分析精準(zhǔn)判斷，超越傳統(tǒng)的黑白名單和靜態(tài)特征庫，為已知/未知威脅檢測提供有力支持?？膳c防火墻NGAF、SIP產(chǎn)品進(jìn)行關(guān)聯(lián)檢測、取證、響應(yīng)、溯源等防護(hù)措施，與AC產(chǎn)品進(jìn)行合規(guī)認(rèn)證審查、安全事件響應(yīng)等防護(hù)措施，形成應(yīng)對威脅的云管端立體化縱深防護(hù)閉環(huán)體系。

極大縮短威脅駐留時間多維度、快速響應(yīng)極大縮短威脅駐留時間多維度、快速響應(yīng)城脅上報與接收或脅情報接收自動處置威脅上報與接收任務(wù)指冬推送深信服下一代防火墻與EDR終端檢測響應(yīng)平臺深信服認(rèn)為網(wǎng)絡(luò)及終端的安全要從整體來建設(shè)才會充分保障業(yè)務(wù)的價值，網(wǎng)絡(luò)與終端要進(jìn)行充分聯(lián)動，基于網(wǎng)絡(luò)及終端各自的優(yōu)勢，網(wǎng)絡(luò)可通過惡意流量特征進(jìn)行深度檢測與防御，而終端有豐富的威脅上下文信息，兩者協(xié)同聯(lián)動可充分定位泛化的惡意威脅。優(yōu)勢互補(bǔ)，信息共享，深度解析，快速閉環(huán)，最終為用戶交付最佳的威脅防御能力。全面威脅防御網(wǎng)端縱深防御：通過網(wǎng)絡(luò)域和終端域的安全防御全覆蓋，構(gòu)建系統(tǒng)化防御能力抵御不同介入點風(fēng)險，構(gòu)建由端點到網(wǎng)絡(luò)的縱深防御能力全面的風(fēng)險可視化能力：對威脅的完整可見，通過邊界安全設(shè)備對貫穿網(wǎng)絡(luò)的南北向惡意內(nèi)容進(jìn)行檢測與防御，同時對終端的東西橫向威脅進(jìn)行檢測與防御，構(gòu)建基于主機(jī)的橫向及外聯(lián)攻擊畫像，提供全面完整的風(fēng)險可視化能力快速處置閉環(huán)熱點攻擊處置：基于網(wǎng)絡(luò)域及端點域威脅上下文的深度關(guān)聯(lián)有效改變企業(yè)安全現(xiàn)狀，網(wǎng)絡(luò)流量層分析威脅的特征，在端點上實現(xiàn)惡意載體的深度行為分析、取證，威脅可在網(wǎng)絡(luò)、端點的威脅信息共享下實現(xiàn)二次確認(rèn)，精準(zhǔn)定位諸如無文件攻擊、勒索病毒、挖礦病毒等熱點攻擊威脅處置閉環(huán)：策略級細(xì)粒度集成，一個安全域識別到的威脅可以動態(tài)調(diào)整另一個安全域的安全配置，增強(qiáng)整體防御能力，有效抵御威脅，如在流量層發(fā)現(xiàn)惡意流量，可以溯源攻擊主機(jī)，并向該域發(fā)起全局掃描、分析、取證、閉環(huán)處置的系列動作；在終端域發(fā)生遠(yuǎn)控行為，可以在流量層對遠(yuǎn)控主機(jī)進(jìn)行網(wǎng)絡(luò)域的聯(lián)動封鎖便捷運維管理統(tǒng)一管理提升運維效率：相對于網(wǎng)絡(luò)與終端割裂式的部署及各自為政的管理方式，在威脅來臨時依然各自為戰(zhàn)，構(gòu)建網(wǎng)端一體化統(tǒng)一管理平臺，全局預(yù)警有效防御、降低管理開銷及安全能力的擁有成本安全風(fēng)險一鍵處置：網(wǎng)端智能協(xié)同，當(dāng)發(fā)生威脅時，可通過統(tǒng)一管理平臺的一鍵處置，將終端域風(fēng)險迅速隔離，并在網(wǎng)絡(luò)域自動生成聯(lián)動封鎖規(guī)則，全面封鎖惡意威脅深信服安全感知平臺與EDR終端檢測響應(yīng)平臺深信服安全感知平臺基于大數(shù)據(jù)關(guān)聯(lián)分析與深度挖掘技術(shù)快速定位出內(nèi)網(wǎng)失陷主機(jī)和高級威脅，對于來自于互聯(lián)網(wǎng)或邊界的攻擊行為，通過聯(lián)動深信服￡口口終端檢測響應(yīng)平臺下發(fā)安全策略，及時阻斷相應(yīng)的攻擊行為。對于服務(wù)器與終端的失陷主機(jī)，通過聯(lián)動EDR管理平臺下發(fā)一鍵掃描策略，快速查殺惡意程序，并利用EDR客戶端的微隔離功能，封堵主機(jī)的攻擊行為，防止威脅的進(jìn)一步擴(kuò)散。

網(wǎng)端溯源分析，精準(zhǔn)的高級威脅檢測SIP和EDR內(nèi)置輕量級人工智能的檢測引擎SAVE,通過創(chuàng)新人工智能無特征技術(shù)，準(zhǔn)確檢測勒索病毒。未知病毒檢出率高達(dá)97.8%,對已知病毒檢出率高于99%°Wannacry、Badrabit、Globelmposter及其變種99.9%檢出查殺。通過SIP對流量側(cè)智能的閉環(huán)響應(yīng)體系方案通過SIP智能聯(lián)動EDR實現(xiàn)協(xié)同響應(yīng)，并提供專業(yè)的安全響應(yīng)服務(wù)，從而實現(xiàn)威脅發(fā)現(xiàn)到處置的閉環(huán)安全效果。全網(wǎng)安全監(jiān)測預(yù)警能力方案采集全網(wǎng)流量和系統(tǒng)日志，對整體網(wǎng)絡(luò)安全進(jìn)行有效檢測，快速梳理資產(chǎn)信息，實時監(jiān)測異常訪問行為，對外部攻擊、服務(wù)器主動外聯(lián)、內(nèi)部橫向滲透等行為進(jìn)行實時檢測和告警,一旦出現(xiàn)安全事件能夠快速告警和處置，保護(hù)專網(wǎng)整體安全有效運行。4.6.1深信服上網(wǎng)行為管理與EDR終端檢測響應(yīng)平臺深信服上網(wǎng)行為管理AC與終端安全檢測響應(yīng)平臺EDR，產(chǎn)品深度融合，幫助客戶構(gòu)建綠色安全、高效、易用的上網(wǎng)環(huán)境；保障接入身份安全實現(xiàn)有線無線網(wǎng)絡(luò)接入認(rèn)證，AC支持802.1x、旁路無感知、無線Portal等多種接入認(rèn)證方式；支持AD域、短信、微信等29種認(rèn)證方式，根據(jù)上網(wǎng)場景靈活選擇；全面外發(fā)審計深信服AC具備業(yè)界專業(yè)的內(nèi)容識別與審計技術(shù)，通過EDR內(nèi)置的審計插件，能對各種上網(wǎng)行為和多種外發(fā)數(shù)據(jù)進(jìn)行有效審計，包含網(wǎng)頁、郵箱、網(wǎng)盤、微信、QQ等外發(fā)內(nèi)容審計。通過各類外發(fā)審計分析發(fā)現(xiàn)泄密異常行為，及時預(yù)警泄密風(fēng)險，快速定位泄密事件。終端安全準(zhǔn)入，保障接入終端安全統(tǒng)一安裝終端安全軟件，AC認(rèn)證后可強(qiáng)制推送安裝終端￡口口軟件；終端安全性準(zhǔn)入檢查，包括系統(tǒng)漏洞掃描、殺軟安裝、開放接口等情況，只允許符合安全要求的終端接入網(wǎng)絡(luò)；定期進(jìn)行終端漏洞掃描，漏洞掃描后可自動修復(fù)和上報；網(wǎng)端智能聯(lián)動，加強(qiáng)威脅防護(hù)能力深信服AC支持惡意URL過濾、網(wǎng)絡(luò)殺毒檢測、僵尸主機(jī)檢測等，保護(hù)上網(wǎng)安全；深信服終端EDR以人工智能算法為核心，大幅提升終端病毒安全查殺效果，可全面查殺勒索病毒的新型病毒威脅。通過云網(wǎng)端聯(lián)動，AC發(fā)現(xiàn)的終端威脅和攻擊，可及時聯(lián)動EDR進(jìn)行終端安全掃描和修復(fù)。全網(wǎng)資產(chǎn)盤點現(xiàn)信息系統(tǒng)中服務(wù)器、PC終端、應(yīng)用等資產(chǎn)隨著業(yè)務(wù)的增加而增加，資產(chǎn)的所有者與資產(chǎn)的關(guān)聯(lián)關(guān)系不夠清晰，安全責(zé)任難以落地。圍繞資產(chǎn)的自身安全防護(hù)措施難以執(zhí)行。對此，本方案將通過全面部署應(yīng)用深信服終端檢測與響應(yīng)系統(tǒng)，實現(xiàn)全網(wǎng)終端資產(chǎn)的全面管理功能，管理對象包含業(yè)務(wù)服務(wù)器主機(jī)和用戶PC終端。盤點每臺終端設(shè)備的名稱、IP地址、MAC地址、所屬組織、責(zé)任人、資產(chǎn)編號、資產(chǎn)位置等信息。使每臺終端資產(chǎn)信息清晰展示，每個安全事件責(zé)任到人，從而將安全管理工作落實到位。漏洞補(bǔ)丁管理補(bǔ)丁檢測極大地簡化了管理員甄別終端資產(chǎn)漏洞的流程，EDR產(chǎn)品支持各種類型不同的操作系統(tǒng)以及不同版本的操作系統(tǒng)的補(bǔ)丁規(guī)則庫的更新，可以做到最新漏洞的實時檢測與防御，并提供了漏洞檢測與處置的功能，可以指定不同的終端進(jìn)行全部、高?；蛘咧付┒吹臋z測，得到每一臺終端的全部漏洞信息，并且可指定漏洞進(jìn)行修復(fù)或者忽略處理。終端根據(jù)最新的補(bǔ)丁規(guī)則庫進(jìn)行系統(tǒng)補(bǔ)丁檢測，匹配來判斷當(dāng)前是否已經(jīng)進(jìn)行補(bǔ)丁的安裝，同時終端支持多種方式來獲取最新的補(bǔ)丁安裝包，包括微軟補(bǔ)丁服務(wù)器、深信服官方補(bǔ)丁服務(wù)器、管理平臺以及自定義服務(wù)器。保證在網(wǎng)絡(luò)隔離環(huán)境下，終端也可以通過管理平臺來進(jìn)行補(bǔ)丁的務(wù)器升級。EDR產(chǎn)品的漏洞檢測、補(bǔ)丁更新，大大提高了管理效率，增強(qiáng)了終端資產(chǎn)的安全性補(bǔ)丁更新務(wù)器升級。EDR產(chǎn)品的漏洞檢測、補(bǔ)丁更新，大大提高了管理效率，增強(qiáng)了終端資產(chǎn)的安全性補(bǔ)丁更新補(bǔ)丁包導(dǎo)入管理平臺暴力破解檢測與響應(yīng)服務(wù)器密碼安全問題即突出亦普遍存在，許多高級威脅的感染傳播也正是運用此點，傳統(tǒng)解決辦法是通過使用邊界防護(hù)設(shè)備，針對外部對內(nèi)部的密碼爆破嘗試行為進(jìn)行阻斷。但伴隨著黑客技術(shù)的不斷更新迭代、服務(wù)器邊界的模糊化，來自內(nèi)部或服務(wù)器之間（橫向快速移動）的密碼爆破亦逐漸增多。本方案將通過全面部署應(yīng)用深信服終端檢測與響應(yīng)系統(tǒng)，用以端點agent在服務(wù)器之上持續(xù)監(jiān)控密碼爆破行為，如發(fā)現(xiàn)非法人員進(jìn)行密碼爆破，EDR將提供響應(yīng)手段，系統(tǒng)可設(shè)置對特定IP進(jìn)行基于時間維度的自動封停操作，有效避免服務(wù)器被非法人員爆破成功。僵尸網(wǎng)絡(luò)檢測本方案將通過全面部署應(yīng)用深信服終端檢測與響應(yīng)系統(tǒng)，對僵尸網(wǎng)絡(luò)進(jìn)行有效檢測，EDR可對報文的會話、報文netflow信息進(jìn)行分析，檢測主機(jī)是否有被木馬程序控制并形成僵尸網(wǎng)絡(luò)，系統(tǒng)可全面展現(xiàn)僵尸網(wǎng)絡(luò)主機(jī)的詳細(xì)信息，如顯示僵尸網(wǎng)絡(luò)文件檢測產(chǎn)生的事件日志，例如惡意文件名稱、文件名稱、操作動作、發(fā)現(xiàn)時間等，另系統(tǒng)還可支持顯示僵尸網(wǎng)絡(luò)文件檢測過程的詳情內(nèi)容，例如文件路徑、文件大小、文件創(chuàng)建時間、進(jìn)程ID、父進(jìn)程、進(jìn)程模塊、網(wǎng)絡(luò)行為等信息。

基于Web后門的綜合檢測技術(shù)傳統(tǒng)的WebShell文件檢測是基于特征碼的檢測技術(shù)，嚴(yán)重依賴于特征庫，很難及時檢測新的變種，檢測效率也隨著特征庫的變大而迅速降低。采用機(jī)器學(xué)習(xí)的檢測方法，通過先利用語法分析器生成語法樹，基于語法樹提取出危險特征以及正常特征，特征包含數(shù)量統(tǒng)計特征、字符串熵、運算符號統(tǒng)計等，再學(xué)習(xí)已標(biāo)記樣本特征數(shù)據(jù)來構(gòu)建檢測模型，然后利用此模型對樣本進(jìn)行檢測判定，該方法不僅可以正確檢測出已有樣本數(shù)據(jù)，對未知樣本也有很好的檢測效果。對WebShell文件的檢測綜合利用文件信譽(yù)庫、靜態(tài)分析、機(jī)器學(xué)習(xí)等手段對文件進(jìn)行判斷，相比流量側(cè)的防御，檢測方案將會更全面地分析文件。I訓(xùn)練樣本危險特征語法分析