PAGE深信服科技股份有限公司文件模板編號密級發布生效日期產品技術白皮書模板現行版本V1.5頁次第PAGE4/共27頁PAGE深信服公司版權所有 深信服科技股份有限公司文件模板編號密級發布生效日期產品技術白皮書模板現行版本V1.0頁次第PAGE1/共27頁 深信服終端安全管理系統aES產品技術白皮書深信服科技股份有限公司

修訂記錄修訂版本號作者日期簡要說明V10

目錄TOC\o"1-3"\h\z53171背景介紹 587001.1.安全背景與挑戰 59511.2.技術背景 7324022.總體架構 9146682.1.架構設計 1094512.2.系統數據處理流程圖 11301053.產品核心能力 12215393.1.資產管理 12259093.1.1細粒度資產管理 1242533.1.2資產指紋庫圖譜 1311533.1.3高負載資產 14206553.1.4基于資產的安全視角統一管理 1456383.1.5資產發現 1492253.2.風險評估 1532923.2.1漏洞檢測 15212453.2.2熱點漏洞 1549243.2.3風險應用檢查 1674993.2.4弱口令檢查 16221833.2.4合規基線 17154023.2.5暴露面梳理 18200433.3.運維管理 19106503.3.1桌面管理 1955173.3.入侵檢測 23325793.3.1高級威脅檢測能力（詳見高級威脅技術白皮書） 249923.3.1WebShell檢測 2644743.3.3反彈Shell檢測 27133913.3.3內存馬檢測（詳見內存馬檢測技術白皮書） 28202443.3.3暴力破解檢測 296173.3.4異常命令檢測 30300023.3.5權限提升檢測 30285213.3.6端口轉發檢測 30241223.3.7遠程命令執行檢測 30148073.3.8訪問惡意地址檢測 31116493.3.9異常登錄檢測 327553.3.10異常掃描檢測 32259843.5.安全防護 32308823.5.1漏洞檢測與防御 3293573.5.2惡性病毒處置修復 36286133.5.3勒索病毒動靜態立體防護 42257043.5.4網端云聯動 49312463.5.5創新微隔離 51151324.產品價值優勢 5471344.1輕量易用 54204874.2有效對抗 54106704.3網端快速閉環 55

1背景介紹安全背景與挑戰近年來，傳統的病毒木馬攻擊方式還未落幕，層出不窮的高級攻擊事件不斷上演，勒索病毒、挖礦木馬等安全事件頻發，如WannaCry爆發造成全球有150多個國家，涉及30多萬用戶受到影響，經濟損失達80億美元，而Globelmpster傳播，國內醫療，金融與教育等行業深受其害等，嚴峻的安全形勢給企業造成了嚴重的經濟損壞和社會影響。從外部威脅和事件影響角度來看，隨著攻防新技術的發展和應用、APT與未知威脅的增多、0day漏洞頻繁爆發、護網行動等造成網絡安全威脅和風險日益突出，引起的網絡安全事件的影響力和破壞性正在加大，并向政治、經濟、文化、社會、國防等多領域傳導滲透，對網絡空間安全建設提出了更高的挑戰與要求。隨著云時代的到來，網絡邊界越來越模糊。當前黑客普遍采用流量加密、0day利用等多樣化的高級攻擊手段，達到繞過傳統邊界設備的目的?；诓呗缘倪吔珙A防機制，已無法滿足在業務系統規模龐大、資源管理復雜、業務連續性要求高的云場景下的安全需求。云內安全同樣面臨較大的挑戰，云內業務系統規模大，客觀存在資產梳理及漏洞管理困難、危險賬號及危險配置無法收集、內網安全事件無法快速響應等問題，導致內網中會存在多點漏洞，黑客進入內網后橫行無阻，對業務帶來難以估計的破壞和損失。新時代下企業級終端安全面臨嚴峻挑戰，相較于個人終端而言，企業終端、數據等資產價值更高，由終端、服務器等不同軟硬件所組成辦公局域網，帶來更為復雜的病毒來源、感染、傳播途徑，正因此企業用戶面臨更為嚴峻的終端安全挑戰，對防護、管理、應用等多方面提出更高要求，所面臨的問題呈現出如下幾點：首先，人工運維加劇威脅防御成本。傳統終端安全產品以策略、特征為基礎，輔以組織規定以及人員操作制度驅動威脅防御，高級威脅一旦產生，將會不可控的傳播，勢必帶來人工成本的幾何增長，且對企業運維人員專業性要求極高，有效應對威脅難度大。其次，基于特征匹配殺毒無法有效抵御新威脅?；诓《咎卣鲙旆绞竭M行殺毒，在高級威脅持續產生的大環境下，呈現被動、后知后覺等檢測特點，無法及時有效防御新威脅。另外，網絡攻擊手法不斷進化，人工參與的攻擊行為增多。傳統基于特征庫、靜態文件的檢測已對此類復雜攻擊失效，此類APT攻擊可輕松繞過傳統殺軟、傳統終端安全防護機制的檢測。第三，病毒特征庫數量增長加重主機運算資源。本地病毒特征庫數量日益增多，加重終端存儲、運算資源成本，防御威脅過程已嚴重影響用戶日常辦公，無法適應如云化等新的特定場景。第四，網端兩側安全產品無協同，造成安全事件難閉環、總反復。網絡側安全產品基于流量、域名的檢測，終端側安全產品則是基于文件、進程、行為等的檢測。檢測機制不同則對威脅的檢出結果不同，網端兩側無協同則無法查殺到威脅根因（終端側的風險進程、文件等）。導致威脅總是處置不干凈，安全事件難真閉環。技術背景在當前的安全形勢下，傳統殺毒解決方案只能解決惡意文件上傳、靜態文件母體檢測、動態啟發查殺等問題，無法做到百分百有效攔截病毒和惡意入侵，特別是威脅持續感染情況下，用戶甚至長期感知不到安全威脅的存在，具備EDR技術的aES產品正是為解決這種問題而生。EDR技術為威脅持續感染、APT入侵攻擊等高級威脅提供IOA行為分析、IOC失陷檢測、取證調查、響應處置等精細化能力，持續賦能惡意威脅防護效果提升，如下圖所示：EDR技術（端點檢測響應）的興起，使得全球涌現出了一批新的終端安全廠商，而傳統的終端安全廠商也在融合這類技術。具體來說，下一代終端安全公司提供基于機器學習算法的產品，用以封堵傳統及新興威脅。終端檢測和響應廠商，則監視PC行為，查找異常活動。傳統殺軟“見招拆招”式的響應已經對新威脅、高級威脅失效?；陟o態文件的檢測方式只能在病毒母體文件落地后才介入查殺，而對于威脅是怎么進入內網的、進入后對終端做了哪些操作、危害面有多大，以及是否還有潛伏的攻擊行為等都無法判斷，這一切對于殺軟、傳統終端安全防護產品來說都是不可知的。IT運營人員做重復式查殺，并不了解威脅、攻擊發生的根因，潛伏的攻擊等。攻擊者可利用脆弱面再次發起攻擊，或者潛伏在內網的殘留威脅等著合適時機再次卷土重來。新網絡環境下的攻擊手法日漸高級、人工參與的攻擊行為增多，下一代終端安全防護產品需要“知其然，也知其所以然”，了解攻擊者的行為和意圖洞察，知道終端脆弱面，針對性加固。從源頭保護終端安全。深信服從一開始就看到了這個趨勢并瞄準了這一目標，推出一套完整的統一終端安全解決方案。方案由輕量級的端點安全軟件和管理平臺軟件共同組成。深信服終端安全管理系統，采用Gartner提出的自適應安全架構，從預防、保護、檢測、響應四個階段，利用漏洞掃描、基線檢查、弱口令檢測、資產梳理、微隔離、系統完整性保護、入侵行為檢測、主機行為檢測、病毒查殺、一鍵響應等技術，解決傳統安全體系被動檢測方案的短板，為業務系統提供事前、事中、事后的全方位護航能力。同時，深信服終端安全管理系統可以與深信服產品的傳統安全檢測設備對接，實現端網聯動，守護數據中心安全的最后一公里?？傮w架構深信服終端安全管理系統由管理平臺與客戶端組成，管理平臺支持統一的終端資產管理、終端安全體檢、終端合規檢查。全面采集終端側系統層、應用層行為數據，本地分層上報至平臺關聯分析，對攻擊事件精準研判。最終以可視化的攻擊進程鏈形式還原攻擊故事。威脅狩獵則可基于全面采集到的數據，細粒度對全網終端做狩獵查殺，獵捕殘余攻擊。微隔離的訪問控制策略統一管理，支持對安全事件的一鍵隔離處置。端點軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數據信息采集上報、安全事件的一鍵處置等。深信服的aES產品也支持與自家網絡側安全產品如NGAF、AC、SIP，以及XDR平臺形成深度聯動，打通網端數據，讓網端安全產品協同，促進安全事件徹底閉環。形成新一代的聯動防護體系。架構設計aES產品的防護體系以預防、防御、檢測與響應這四個維度的能力來提供事前，事中與事后的服務。風險發現：為用戶提供對終端的全網資產指紋清點、影子資產發現、漏洞補丁管理、安全基線核查、暴露面梳理、應用/系統/賬號風險梳理、可信加固、微USB設備管控、微隔離可視等事前風險梳理能力。威脅檢測：為用戶提供漏斗式檢測、AISAVE人工智能引擎、勒索病毒專項防護、高級威脅行為檢測、應用行為畫像異常行為檢測等能力。防御攔截：為用戶提供二次認證、微隔離可控、輕補丁、虛擬補丁、應用漏洞防護、病毒、勒索文件、webshell、暴力破解自動處置等防御能力。響應處置：為用戶提供基礎處置能力：進程阻斷、文件隔離、dns阻斷、ip封堵、主機隔離；同時結合網絡側安全產品，XDR平臺云端能力等為用戶提供聯動閉環、全網威脅定位、威脅事件溯源針對性加固、威脅狩獵等能力。系統數據處理流程圖如上圖所示，aES安全系統的數據處理流程包含了aES終端Agent、aES管理平臺、云端三大部分，具體描述如下：aES終端AgentAgent包括了內核態及用戶態部分，通過實時收集系統動態行為事件，對事件對象進行實時的檢測，實時發現威脅并根據安全策略進行相應處置。aES管理平臺管理平臺負責與云端的威脅查詢及緩存管理功能，為終端提供快速的查詢服務。云端分析深信服aES在客戶端側采集到的海量數據，本地做有效聚合后上傳至平臺。借助云端算力對數據結合用戶真實環境做上下文關聯，最終精準分析出攻擊行為。此高級威脅檢測機制能有效減少誤報，提升對新威脅的研判精準度。此外安全云腦也為全網在線安全設備提供了文件沙箱服務，以及文件、DNS、IP等威脅情報服務，為已知/未知威脅檢測提供有力支持。產品核心能力資產全景3.1.1細粒度資產管理圖：資產分組及標簽集中管理端（MGR中心端）對云主機收集的各類資產進行分類、整理，統計，并提供靈活的資產標簽、分組機制、資產分類、高負載告警，實現對資產圖書館式的管理，對核心資產，高負載資產重點關注。3.1.2資產指紋庫圖譜集中管理端（MGR中心端）自動提供了資產總覽圖表，Top高負載資產視圖；支持對資產的快速索引，模糊搜索，可以幫助用戶快速定位關鍵資產信息。圖：資產指紋庫圖譜3.1.3高負載資產深信服云主機安全保護平臺持續監控資產狀態，展示整體資產資源分布情況及Top高負載資產，及時發現和定位定位高負載資產風險，快速識別環境中異常主機，保障業務連續性。圖：高負載資產3.1.4基于資產的安全視角統一管理資產管理作為其它模塊的支撐，與入侵行為檢測，主機行為審計，風險評估，病毒查殺等全面關聯，幫助用戶快速鎖定安全問題資產。3.1.5資產發現通過安裝Agent的主機，實現對管理員下發的ip網段或端口范圍進行網絡探測掃描，獲取到資產的操作系統、ip和mac等信息，再通過與已安裝Agent的資產進行對比，從而發現未安裝Agent的資產。風險評估深信服aES平臺風險評估持續監控與分析資產漏洞，弱口令，合規基線等脆弱性，實時發現未知威脅及存在的安全隱患，化被動未主動，提前防御和預防安全問題的出現，將風險消除在最前延，從而提高攻擊門檻，降低入侵風險。3.2.1漏洞檢測3.2.1.1漏洞風險檢測深信服aES平臺漏洞檢測技術整合前沿的威脅情報，資產發現，文件解析，POC探針，云化升級，檢測結果加密防泄漏、跨平臺兼容等功能。提供了基于CPE的版本對比，配置檢測，虛擬執行、poc探針驗證等類型漏洞檢測，支持Windows、Linux，國產化系統，支持容器漏洞檢查，提供了多維度，多視角的資產清點功能，漏洞檢查結合自研處置優先級VPT與實體補丁，虛擬補?。℉IPS），輕補丁形成實時有效的漏洞閉環解決方案。深信服積累大量高價值漏洞庫、POC探針腳本，并將持續關注國內外最新安全動態及漏洞利用方法，快速響應，不斷提升檢測能力。圖：漏洞檢測原理3.2.1.2基于VPT的漏洞自排序技術CVSS基本分值是靜態的，不隨時間的推移而變化。單通過CVSS評分進行風險排序，不考慮實際的時間和環境因子，會導致過多的高危漏洞和嚴重漏洞，導致在有限的資源下漏洞管理效率低下。深信服VPT處置優先級，采用SSVC+決策樹的優先級排序模型沉淀安全專家經驗，結合漏洞影響和外部情報，科學的給出評級決策結果，可以進一步聚焦漏洞優先級，優化漏洞管理效率。評級決策結果包含：立即響應、延后響應、暫不響應3種結果。VPT支持除windows補丁之外的漏洞的處置優先級評估，包括windows應用漏洞，linux系統和應用漏洞，國產化系統和應用漏洞。圖：漏洞處置優先級分析VPT關聯核心因素圖：漏洞處置優先級分析VPT原理立即處置：此漏洞一旦被利用通常會造成很大風險，會造成系統被控制或者大量數據泄露，影響范圍大。修復者需要積極響應此漏洞，相關人員需要第一時間響應處理此漏洞，并通知到內外部相關人員排查風險。建議修復周期：7天圖：立即處置漏洞判斷和分析圖譜延后處置：此漏洞通常會造成一定風險，對使用者的生產生活環境造成一定影響。修復者需要持續關注此漏洞，并通知到此漏洞涉及到的內外部相關人員，并在漏洞生命周期之前積極修復處理此漏洞。建議修復周期：30天暫不處置：此漏洞影響較小，某些情況下會造成一些非緊急的影響。修復者在資源充裕的情況下，可持續觀察此漏洞以及后續影響，并在漏洞生命周期中修復處理此漏洞。3.2.2漏洞加固防御3.2.2.1虛擬補丁HIPS（詳見虛擬補丁HIPS白皮書）HIPS在主機側落地主要用于檢測和阻斷高可利用漏洞的威脅，可以實現漏洞無效化。防止服務器被外部攻擊利用高可利用漏洞攻陷主機，竊取資料和加密文件勒索資金。所以IPS主要關注入站流量，可以過濾入站流量。又因為大部分規則都指定了業務的開放端口，可以將規則中的端口集中起來作為驅動過濾的條件，在內核層過濾掉無關端口的流量。工作原理可以簡要概括為三個步驟：數據捕獲、規則匹配和響應。數據捕獲：通過網絡接口捕獲數據包，這些數據包可以是通過網絡傳輸的任何信息。捕獲到的數據包將被送入分析引擎進行處理。規則匹配：使用一套規則引擎來分析捕獲到的數據包，每個規則定義了一種特定的攻擊模式或異常行為。規則由多個字段組成，包括源地址、目標地址、協議類型、端口號等。當數據包與規則匹配時，將其標記為潛在的攻擊。響應機制：當檢測到潛在的攻擊時，它可以采取多種響應措施，如記錄日志、發送警報、阻斷流量等。這種靈活的響應機制使得不僅能夠發現潛在的威脅，還能夠迅速應對并減小潛在的風險。圖：采集處理流程3.2.2.2基于輕補丁的漏洞免疫技術（1）原理介紹根據aES終端安全實驗室數據顯示，漏洞利用攻擊在當前熱點威脅中擁有最高的使用率，顯然已經成為危害最為嚴重的威脅之一，通過打補丁修復漏洞成為眾多企業級用戶的首選方案。然而，傳統的漏洞修復方法在補丁未及時發布（0day漏洞）、微軟停止提供漏洞修補支持（Win7等停更系統）、漏洞修復導致重啟等場景下，已不能提供快速、有效的防護能力，企業用戶的終端存在很大的安全隱患。深信服aES下一代輕補丁漏洞免疫技術，直接在內存里對有漏洞的代碼進行修復，避免遭受漏洞攻擊。通過aES終端安全管理系統提供的高危漏洞免疫模塊，提供業務無感知的輕補丁修復能力。（2）優勢說明a、補丁加載輕：相比傳統實體漏洞補丁的修復方式存在需要重啟、兼容性問題，深信服aES輕補丁漏洞免疫無需下載補丁，直接修改內存運行代碼無需服務重啟，不存在兼容性問題，過程輕量化。b、修復速度快：微軟補丁文件之間存在依賴關系，導致補丁安裝失敗情況頻繁發生。深信服aES輕補丁漏洞免疫針對每個漏洞提供一個單獨的漏洞修補補丁包，無任何依賴關系。終端安裝aES后會自動檢測高危漏洞并進行無感知修復，并將結果上報平臺，保障業務的連續性。

c、防御效果好：深信服aES輕補丁漏洞免疫本身是對漏洞本身進行修復，將源頭堵住，防止威脅攻擊擴散，漏洞100%防御。同時，可使用在停更的Windows系統的高危漏洞防護上，覆蓋度高，更新速度快。d、性能消耗?。簜鹘y廠商基于網絡層面的漏洞入侵防御，會因網絡流量解析而造成的網絡延遲和性能下降等問題。深信服aES基于內存修復，代碼恢復原貌，無需消耗額外的性能且過程平滑無感知，管理平臺可統一控制。3.2.2.3基于規則匹配的補丁更新技術（1）原理介紹aES產品支持各種類型不同的操作系統以及不同版本的操作系統的補丁規則庫的更新，可以做到最新漏洞的實時檢測與防御，并提供了漏洞檢測與處置的功能，可以指定不同的終端進行全部、高?；蛘咧付┒吹臋z測，得到每一臺終端的全部漏洞信息，并且可指定漏洞進行修復或者忽略處理。（2）優勢說明終端根據最新的補丁規則庫進行系統補丁檢測，匹配來判斷當前是否已經進行補丁的安裝，同時終端支持多種方式來獲取最新的補丁安裝包，包括微軟補丁服務器、深信服官方補丁服務器、管理平臺以及自定義服務器。保證在網絡隔離環境下，終端也可以通過管理平臺來進行補丁的升級。aES產品的漏洞檢測、補丁更新，大大提高了管理效率，增強了終端資產的安全性。3.2.3熱點漏洞熱點漏洞專題會呈現當前時間線最火熱、最新的漏洞情況，支持推送熱點漏洞預警、實現一鍵風險自查。幫助掌握當前時間線最需要關注的漏洞情況。圖：熱點漏洞3.2.4風險應用檢查深信服安全團隊持續性跟蹤最新的技戰術情報和攻擊常用的風險工具，產品基于安裝在服務器上的防護Agent，通過靜態特征和動態行為特征識別技術，能實時捕獲服務器上安裝的風險應用并及時告警，已支持19項風險應用檢測，涵蓋主流攻擊入侵點，讓風險檢測更省心；如：CobaltStrike、DUBrute、DefenderControl、Frp 、Fscan、Gmer、KPortScan、Lazykatz、Masscan、Mimikatz、NLBrute、Nasp、Netpass、PCHunter、PortScan、PowerTool、ProcessHacker、PsExec、WebBrowserPassView 3.2.5弱口令檢查弱口令也稱為弱密碼，深信服aES平臺弱密碼檢測技術整合了資產發現、文件解析、密碼獲取、密碼強度判定、二次檢測緩存加速、檢測結果加密防泄漏、跨平臺兼容等功能，提供了多種類型的弱密碼檢測，支持Windows、Linux，國產化系統，支持多輪加鹽哈希、不加鹽哈希、對稱加密、明文等多種不同方式存放密碼的應用，包括：SSH、RDP、MySQL、MongoDB、SVN、Redis、PostgreSQL、WebLogic等17項應用，并將持續增加對更多應用的支持。另外，弱密碼檢測技術還提供自定義弱密碼，密碼消失自動備注功能，用戶通過自定義弱密碼可定制更加符合自己的業務場景，通過密碼消失自動備注能夠自動記錄弱密碼變更強密碼或者應用卸載不存在弱密碼的修復時間。弱密碼檢測技術針對云主機資源對互聯網開放的特點，為云主機提供全方位、多應用的檢測，以降低黑客入侵、數據泄露的風險，同時可以與二次認證功能形成對SSH和RDP系統賬號有效的檢出與快速閉環弱密碼解決方案。圖：弱密碼檢測工作原理圖：RDP與SSH弱密碼解決方案3.2.6合規基線圖：基線檢查深信服aES平臺合規基線檢查技術根據云主機資源對互聯網開放的特點，對云主機的系統，數據庫，web服務器等基礎資產進行安全檢測，并提供安全加固建議和指導方法，以降低黑客入侵、數據泄露的風險。深信服aES平臺基線檢查技術整合了資產發現，自定義基線項，自定義檢查點，快速掃描，忽略過濾，規則修復校驗，基線規則升級迭代，二次檢測緩存加速，規則和結果加密防泄漏，跨平臺兼容等功能。3.2.7暴露面梳理

深信服aES平臺通過客戶對內網地址和代理的配置，對主機的網絡日志進行分析，精準識別和記錄外部對終端的訪問行為，并統計對外暴露的主機和端口。幫助客戶提前識別和預防端口入侵行為。圖：暴露面3.2.8惡性病毒處置修復近年來病毒數量呈指數級增長，病毒類型層出不窮，給企業級用戶造成了很大的安全威脅。其中，經深信服千里目安全實驗室分析，以影響業務連續性卻難以處置的惡性病毒影響尤為突出。此類惡意病毒種類多，變化快，且寄生在用戶業務系統的正常文件內，處置難度極大。刪除文件導致用戶業務停止，不處置則全網泛濫。而傳統病毒檢測采用的是基于靜態特征分析和規則匹配的方式，面對多變的惡性病毒，無論是檢測能力還是修復效果上，都存在明顯的不足。1.

規則庫資源加重，檢測速度慢隨著病毒數量、變種的增加，與之對應的規則庫資源大，導致基于規則匹配的病毒檢測速度慢，性能消耗多，影響用戶的正常辦公。2.

基于特征碼分析，漏報高傳統基于特征碼分析的病毒檢測方式，其本質是對文件的字節信息等靜態特征進行匹配，像autoCAD這類運行時才大批量感染傳播的惡性病毒，無法基于靜態特征檢測。此外，新型病毒往往難以及時提取特征碼，導致檢測失效，漏報率高。3.處置能力差，難以完全修復傳統的殺毒軟件，即使在檢測出惡性病毒后，處置方式只能是刪除整個寄生文件，而無法修復被感染樣本。例如寄生在office文檔模板中的宏病毒，傳統修復方案往往需要把文檔中所有的宏均刪除，影響用戶的業務連續性。深信服終端安全管理系統aES基于AI賦能，結合多維度、輕量級漏斗型檢測框架，通過文件信譽檢測引擎、基因特征檢測引擎、SAVE安全智能檢測引擎、行為引擎、云查引擎等引擎的層層過濾，惡性病毒檢測更快速更精準。同時，根據不同惡性病毒，進行代碼層級的細粒度修復，實現根本性無損修復。檢測響應深信服aES平臺基于對資產的動態監控，通過采集進程創建，執行命令，文件變動，系統任務，監聽端口，網絡連接，系統日志等多種資產關鍵事件，對入侵行為進行持續監控與掃描，提供完備的入侵檢測能力。圖：入侵行為檢測3.3.1高級威脅檢測能力（詳見高級威脅技術白皮書）傳統主防以規則為檢測手段，通過規則發現攻擊威脅，難以覆蓋高級威脅，例如無文件攻擊、模仿攻擊（Mimicry）以及跨重啟跨長時間窗口的APT攻擊。深信服高級威脅檢測能力在端側采集全面的數據，包括終端、用戶、文件、進程、行為等數據。數據在本地做分層，聚合有效數據上傳至平臺。結合用戶真實環境做上下文強關聯分析，提升攻擊研判精準度。行為檢測基于多事件復雜關聯規則匹配算法，依靠IOA泛化行為規則提高已知和未知高級威脅攻擊檢測能力，補充復雜行為關聯檢測領域空白，構建行為檢測防御層級，增強多層次縱深防御檢測能力，幫忙用戶有效抵御已知和未知高級威脅攻擊。強關聯分析技術，檢測能力強精準度高。深信服高級威脅檢測能力使用PG（圖計算）關聯分析技術，基于用戶真實環境結合數據做上下文關聯，提升檢測精準度。對采集到的數據收斂，過濾正常場景，提取有效數據檢測是否為真正攻擊。檢測精準率高誤報低。以可視化事件形式展現攻擊，減少用戶自己做告警關聯分析的工作量，讓運營人員看得懂用的起來；威脅狩獵，挖掘潛伏攻擊，無漏網攻擊。根據情報（IOC）、攻擊信息在全網范圍內的狩獵，幫助用戶發現潛伏攻擊，制止攻擊于前期階段。終端數據采集能力強，數據采集全，所以可以做到更細粒度的狩獵。再次幫助用戶發現漏網攻擊。3.3.1.1豐富的行為數據采集系統高級威脅檢測系統中層次關系，依次是：采集系統與檢測系統。其中采集系統主要包含驅動采集和應用層采集：windows主要基于驅動和ETW進行行為數據的采集，驅動層行為支持行為的同步攔截和異步審計，ETW主要作為驅動采集的補充。Linux采用驅動方案以及無驅的混合開發方案，可支持有驅與無驅的動態切換。具體采集字段可參考《深信服Windows主機日志采集》《深信服Linux主機日志采集》。功能層-功能層負責與監控驅驅動通信并暴露功能（Function）接口給邏輯層，為邏輯層根據產品需求封裝邏輯提供靈活、完善的支持。邏輯層-利用功能層提供的接口、根據產品需求封裝邏輯功能，例如文件監控、訪問控制、行為分析、數據采集等。交互層-交互層充當邏輯層與監控交互模塊的代理角色，為邏輯層提供交互功能接口。3.3.1.2基于圖分析技術的行為檢測終端上所有行為操作可以抽象為通過圖數據結構表示，我們將這種最小行為描述單元稱為原始行為。終端上全部行為操作集合稱為全局圖，所以全局圖是由全體原始行為組成。攻擊行為圖可以看成是全局圖的一個子圖，惡意行為規則匹配是匹配攻擊行為圖上部分節點和邊的過程。實時行為檢測本質上可以看作是原始行為數據匹配惡意行為規則過程。準確的框定攻擊行為范圍是提高檢測準確率和降低誤報率關鍵所在。本方案通過基于圖關聯分析技術和自研Rete規則匹配算法，能夠支持多個事件間字段復雜關聯規則匹配，實時的檢測單進程、跨進程惡意行為攻擊。3.3.1.3文件附件釣魚的免殺檢測、精準定性與自動防護圖一、附件釣魚攻擊流程圖深信服EDR對釣魚攻擊的檢測不依賴文件特征，而是基于文件被打開或執行起來之后的行為進行持續檢測，將整個攻擊過程的所有行為關聯起來后進行檢測，可實現對免殺釣魚的有效檢測。不僅能對免殺釣魚檢測和精準定性釣魚事件，還可以還原出完整攻擊過程進行溯源調查。圖二、釣魚的自動研判定性與防護當端點上檢測到可疑行為后，會自動進行溯源。如果來自郵件附件或IM，會精準定性為釣魚并將該類事件重點突顯出來，同時會自動對釣魚后的遠控等惡意行為進行攔截。可自動防護，實現及時止損，避免被擴散打穿。如果沒有自動防護，必須7*24小時值守和及時處置響應。3.3.2WebShell檢測WebShell是指在被黑客入侵的服務器上安裝的惡意程序或腳本。WebShell是服務器場景、內網場景的核心安全威脅。圖：WebShell檢測深信服aES平臺WebShell是從腳本文件靜態分析的角度來確定樣本是否具有惡意行為。在技術上結合了語法分析、AI檢測等技術，可以有效地解決各種WebShell變形、繞過。具有檢出能力強，誤報低,有效識別未知WebShell等特點。3.3.3反彈Shell檢測反彈shell是數據中心場景初始入侵階段重要攻擊手法。當黑客得到了受害者服務器的任意代碼執行權限，下一步大多利用控制端監聽在某TCP/UDP端口，被控端發起請求到該端口，并將其命令行的輸入輸出轉到控制端從而獲得一個交互的shell，利用網絡概念的客戶端與服務端的角色反轉，解決攻防實戰中防火墻受限、權限不足、端口被占用等影響攻擊的情形，從而更好的控制受害者服務器。深信服aES平臺反彈shell檢測方案基于通過行為事件檢測完備覆蓋了方案數據中心場景下攻防實戰中絕大多的攻擊界面并廣譜、泛化行為事件之間的執行流、數據流關聯。針對每一類基本反彈手法沉淀了大量的HW攻防對抗手法的經驗，有效提升了實戰攻防技術門檻。引入了進程間fdpipe鏈關聯檢測，通過識別進程間fdpipe鏈數據構成特定的src/sink流向異常來從更深層本質層次識別識別反彈shell攻擊手法。引入了實時內存特征檢測技術，可以精準識別內存注入類的反彈shellshellcode以及Payload特征，從而補全反彈shell威脅圖譜檢測技術棧。圖：反彈shell檢測方案3.3.4內存馬檢測（詳見內存馬檢測技術白皮書）內存馬”也被稱為“無文件馬”，是一種僅存在于內存中的無文件惡意代碼。圖：內存馬檢測范圍圖：內存馬檢測框架深信服aES平臺內存檢測方案通過對目標進程的無侵入式的內存特征掃描技術可以第一時間發現并精準確認內存木馬攻擊。深信服通過深入研究分析WebSehll管理工具之后，完備收集并持續追蹤其在后滲透階段可能在服務器機器上執行的操作特征，通過全量檢測活躍在內存空間中的代碼來對惡意行為進行捕獲，此方案具有很高的檢出率以及極低的誤報率。目前Web內存馬檢測方案支持檢測包括但不限于命令執行，Jar文件加載，shellcode注入，自定義代碼執行等在內的多種危害性極大的惡意行為。同時也會覆蓋多種常見的黑客工具如MetaSploit，CobaltStrike等隱蔽攻擊發現。3.3.5暴力破解檢測深信服aES平臺暴力破解支持單點爆破和分布式爆破檢測，通過實時監控登錄行為，可及時發現黑客使用不同服務嘗試暴力破解用戶登錄密碼的攻擊行為。單點爆破，分布式爆破支持加入白名單、封堵IP、隔離主機等響應處置方法。暴力破解支持自定義檢測、處置、封堵規則，可以靈活的根據特定資產設置不同安全等級、不同敏感度的檢測和處置措施。圖：單點爆破檢測圖：分布式爆破檢測3.3.6異常命令檢測深信服aES平臺異常命令檢測是指檢測主機上執行的非常規命令。這類命令的特點是常規業務使用頻率極低而黑客使用頻率較高。深信服云主機安全保護平臺基于歷史威脅檢測數據實現了一套精細的規則來匹配異常的命令。3.3.7權限提升檢測深信服aES平臺權限提升檢測是指檢測黑客利用漏洞或者主機上的不當配置提升自身進程權限的行為，支持4種類型的提權檢測能力：利用sudo、su漏洞提權；利用配置不當的suid程序提權；利用配置不當的docker提權；利用系統內核漏洞提權?？梢愿采w到linux上絕大部分的提權檢測手法。3.3.8端口轉發檢測 深信服aES平臺端口轉發檢測是指檢測黑客利用ssh、iptable進行端口轉移的行為。攻擊者利用這種方式達到減少對外連接、隱藏訪問關系的目的。端口檢測通過檢測異常開啟的端口與ssh等進程的關聯關系來檢測這種行為。3.3.9遠程命令執行檢測WebRCE是指，攻擊者利用WebServer、中間件、Web框架等出現的漏洞或者弱口令等方式拿到遠程服務器應用的執行權限包括但不限于命令執行、文件操作、網絡外聯等攻擊手法。圖：WebRCE檢測技術總體架構深信服aES平臺WebRCE檢測技術通過采集服務器主機包括Linux、Windows等平臺下文件、網絡、進程、注冊表等系統行為信息，檢測多行為事件中間的數據流、執行流等深度關聯來發現WebRCE攻擊威脅。WebRCE檢測覆蓋了方案數據中心場景下攻防實戰中絕大多的攻擊界面諸如數據庫類，Web應用類，辦公自動化類等幾十種常見的應用服務，針對常見的編碼混淆、惡意下載、文件行為、信息收集、網絡外聯、腳本執行、系統駐留等十幾類的ATT&CK攻擊手法，支持常見行為對抗繞過，具備廣譜、泛化的檢測能力。同時WebRCE方案針對每一個WebRCE告警，提供了諸如威脅發生時的進程樹、進程命令行參數、受害主機等WebRCE威脅以及上下文關鍵信息，支持因果舉證，高亮行為規則判定依據。3.3.10訪問惡意地址檢測深信服aES平臺訪問惡意地址檢測會監控主機上的網絡請求，如果有對惡意ip或者惡意域名的網絡訪問，則會告警。通常挖礦病毒與遠控木馬會與黑客控制的服務器進行網絡信息傳輸。深信服通過大數據和自身的威脅情報系統，能準確識別惡意的ip與域名；并支持實時上報3.3.11異常登錄檢測深信服aES平臺異常登錄檢測包含異常時間登錄的檢測與異常地址登錄的檢測。異常的登錄行為通常與黑客行為相關聯。3.3.12異常掃描檢測異常掃描是指黑客在內網滲透過程中，使用端口掃描工具對其他主機的敏感端口進行連通性測試，從而尋找攻擊入口點。深信服aES平臺異常掃描檢測通過監控主機的網絡連接和監控常規掃描工具進程啟動行為，可以穩定有效的檢測出主機上正在運行的端口掃描工具。3.3.13網絡蜜罐網絡蜜罐通過模擬真實系統或應用程序，以吸引攻擊者并收集他們的攻擊數據。網絡蜜罐的價值在于以下幾個方面：收集攻擊數據：網絡蜜罐可以收集攻擊者的攻擊數據，包括攻擊方法、攻擊工具、攻擊目標等信息，這些信息對于安全團隊分析攻擊行為和制定防御策略非常有價值。提高安全意識：網絡蜜罐可以幫助安全團隊了解攻擊者的攻擊手段和目的，從而提高安全意識，加強安全防御。降低風險：通過使用網絡蜜罐，安全團隊可以在真實系統之外提供一個安全的環境，以吸引攻擊者，從而降低真實系統受到攻擊的風險。改善安全策略：網絡蜜罐可以幫助安全團隊了解攻擊者的攻擊行為和目的，從而改善安全策略，提高安全防御能力。3.3.14行為偏離預警行為偏離預警是深信服創新研究院提出的一套安全建設理念，旨在通過“鑒白”的思想，以自動化構建最小化行為集合為主要管控手段，可實現攻擊手法的高效檢測、準確響應和風險預測。應用的行為包括應用內外，涵蓋文件、網絡、進程、關鍵內部API調用。值得說明的是，不論應用內行為還是應用外行為，行為的主體都是服務器上開放端口的進程，如URL等只是進程的某個屬性。行為偏離預警能夠實現的價值如下：能夠比較強地檢測出通過開放的應用導致的攻擊行為，包括0day。對遠程代碼執行漏洞、任意文件上傳漏洞、任意文件讀取漏洞、javaweb應用的SQL注入漏洞具備比較強的檢測能力。能夠歸納收斂當前應用產生的文件、網絡、進程行為，并支持展示，可以供用戶對自身服務的行為有一個比較好把控，特別是服務對外有哪些網絡連接的功能對客戶資產行為梳理能起到比較大的作用。3.3.15powershell執行無文件攻擊方式利用powershell的命令加載惡意代碼，利用powershell執行的方式繞過傳統殺軟的檢測與防護，該方式快速且具有隱秘性，不易被察覺，被廣泛利用于挖礦，竊密等非法行為上。深信服aES能夠準確攔截powershell的對惡意代碼的執行，實現實時準確阻斷，防止用戶主機被利用破壞。安全防御3.4.1防病毒&防勒索3.4.1.1文件信譽檢測引擎基于傳統的文件hash值建立的輕量級信譽檢測引擎，主要用于加快檢測速度并有更好的檢出效果，主要有兩種機制：a、本地緩存信譽檢測：對終端主機本地已經檢測出來的已知文件檢測結果緩存處理，加快二次掃描，優先檢測未知文件。b、全網信譽檢測：在管理平臺上構建企業全網的文件信譽庫，對單臺終端上的文件檢測結果匯總到平臺，做到一臺發現威脅，全網威脅感知的效果。并且在企業網絡中的檢測重點落到對未知文件的分析上，減少對已知文件重復檢測的資源開銷。3.4.1.2基因特征檢測引擎深信服aES的安全運營團隊，根據安全云腦和aES產品的數據運營，對熱點事件的病毒家族進行基因特征的提取，洞見威脅本質，使之能應對檢測出病毒家族的新變種。相比一般的靜態特征，基因特征提取更豐富的特征，家族識別更精準。3.4.1.3SAVE人工智能引擎（1）原理介紹SAVE（SangforAI-basedVanguardEngine）是由深信服創新研究院的博士團隊聯合aES產品的安全專家，以及安全云腦的大數據運營專家，共同打造的人工智能惡意文件檢測引擎。該引擎利用深度學習技術對數億維的原始特征進行分析和綜合，結合安全專家的領域知識，最終挑選了數千維最有效的高維特征進行惡意文件的鑒定。（2）SAVE的核心理念高層特征，穩定可靠在現實世界，不同病毒變種間的底層二進制代碼片段在不斷變換。為了識別未知病毒威脅，SAVE不再依賴于前述傳統方法依賴的字節級特征，而是使用AI技術提取穩定、可靠的高層次特征。當病毒變種間為了實現相似乃至相同的病毒功能，他們代碼的高層次語義特征往往是相似的（如圖1a和1b所示）。正是基于對病毒演化本質的深入理解，SAVE通過神經網絡等多種機器學習算法自動提取高層次特征。深度神經網絡是由多層的非線性神經元構成的網絡計算模型，它模擬了生物神經系統的鏈接方式，能夠在系統中有效、快速的傳遞有效信息（如上圖所示）。深度神經網絡的強大之處在于：通過學習海量的正常文件樣本和病毒文件樣本，它能自動地、逐層地凝練更高層次的特征。比如說，信息在網絡傳遞的過程中，其表征的含義從最開始輸入的文件字節特征（識別一個字節），逐漸進化到語句特征(識別一個指令)，函數特征（識別一個函數）和語義特征（識別一個操作/行為，比如勒索病毒通常具有的加密操作），最后完全自動化的構建出穩定可靠的高層次病毒特征。實中，取決于網絡結構和深度的不同，信息演化的路徑不盡相同，但大體上是沿著這樣的方式。比起只利用字節特征的傳統方案形成明顯優勢，SAVE具有很強的泛化能力。能夠更好的識別未曾見過的病毒樣本，抵御抗病毒變種和新病毒家族等未知威脅。博采眾長，各個擊破病毒有非常多的家族和類型，不同類型間惡意行為差異很大，很難通過單一模型對所有病毒都有很好的識別效果。為了解決這一問題，我們一方面進行了精細的特征工程。公司的病毒專家在多年的實戰中，總結了很多病毒檢測的有效特征，識別經驗以及技巧。SAVE除了通過深度神經網絡從原始文件信息中自動構建高層次特征，也會使用主成分分析（PCA）等方法從病毒專家多年積累的經驗中，提取高層次特征。另一方面，我們的決策模塊也通過集成學習框架，綜合了深度神經網絡、隨機森林、支持向量機等多個機器學習決策模型，對文件作出精確分類。比如說，某些模型對于勒索病毒有很高的檢出率，某些模型對于木馬有很高的檢出率。集成學習機制可以自動識別各個模型的優勢，相互補充，達到對所有病毒的檢出率最優。左右互搏，持續演進除了使用AI技術大幅提升檢測能力，SAVE還在云端通過生成對抗網絡（GAN）的思想（如圖3），采用“左右互搏”的方式持續學習，增強模型健壯性和檢測能力。一方面，GAN框架中的“生成器”模塊能夠模擬病毒變種的制作過程，不斷生成新的病毒變種文件，以逃逸當前版本引擎的檢測。這些病毒文件將為SAVE持續提供模擬未知威脅的訓練數據，促使SAVE不斷加強對未知威脅的檢測能力。另一方面，SAVE的檢測結果也會反饋給“生成器”，促使其生成更有威脅的病毒文件。通過兩個模塊的循環促進，提升SAVE的檢測能力。SAVE的檢測架構上圖描述了SAVE的本地檢測框架。首先，SAVE會從文件的頭、節、資源和簽名等多個部分提取信息，作為判別輸入。對于原始二進制文件，SAVE通過多種方法（詞向量嵌入，主成分分析，深度神經網絡等）提取出信息量豐富、類間界限明顯，穩定可靠的的高層次向量化特征?；谔卣飨蛄浚琒AVE利用集成學習，綜合多種分類算法（隨機森林，神經網絡，支持向量機等）進行鑒定。最后，綜合評分系統整合各模型檢測結果，綜合判斷文件黑白屬性。（3）優勢說明強大的泛化能力，甚至能夠做到在不更新模型的情況下識別新出現的未知病毒；對勒索病毒檢測達到業界領先的檢出率，包括影響廣泛的WannaCry、BadRabbit等病毒；云+端聯動，依托于深信服安全云腦基于海量大數據的運營分析，SAVE能夠持續進化，不斷更新模型并提升檢測能力，從而形成本地傳統引擎、人工智能檢測引擎和云端查殺引擎的完美結合。3.4.1.4勒索病毒動靜態立體防護新型勒索病毒層出不窮，全球各大企業遭受勒索病毒的事件持續發生，給各行各業造成了巨額的經濟損失。據深信服云腦數據統計，深信服的安全團隊在2020年已應急響應了數千起勒索事件，面對復雜的勒索病毒攻擊鏈，傳統的防護方案失效安全形式不容樂觀。勒索病毒的攻擊鏈一般分為三大步：感染病毒、加密勒索、橫向傳播，首先進行病毒從外網到內網的感染，然后漏洞利用提權加密勒索，最后威脅橫向持續擴散。面對復雜的勒索病毒攻擊，傳統的防護方案難以防住。病毒感染難預防：由于病毒更新快速，變種多，并使用無需落地到磁盤的無文件攻擊方式；傳統基于特征檢測的殺毒軟件無法及時察覺，難以發現。加密勒索難定位：在進入內網后，開始運行加密程序，而內網資產數量龐大，一旦被加密，傳統防護方案網端割裂，無法聯動并快速分析病毒的傳播環節，定位到所有感染主機。橫向傳播難控制：通過RDP遠程爆破登錄，并迅速擴散；即使檢測出了勒索病毒，但無法找到感染的根因，無法控制，即使業務系統恢復后，也有可能導致再次感染。深信服aES基于主流攻擊方式的技術研究，以及勒索病毒攻擊鏈原理分析，覆蓋勒索病毒全生命周期，提供預防、防御、檢測與響應三個階段的4-6-6三層立體防護，滿足Gartner的安全要求，為終端提供全面、實時、快速、有效的安全防護能力，讓勒索病毒無所遁形，保護組織終端業務安全。3.4.1.5勒索靜態文件AI引擎（1）原理介紹多智能體模型推薦算法架構，未知勒索高檢出病毒變種千變萬化，僅實現已知病毒檢測能力，在實際應用中不足以滿足客戶對終端安全的保障需求。基于這一目的，深信服aES在新版本引入多智能體模型推薦架構增強未知病毒的檢測能力，通過對AI模型(隨機森林和神經網絡)深度和層級的加深，增強了AI模型泛化性和檢出精度。同時，多智能體模型推薦架構不僅依賴于原有提取的通用性特征，同時新增AI技術對罕見性特征進行深度提取，獲得更為穩定、可靠的高層次特征。能夠更好的識別未曾見過的病毒樣本，抵御新型抗病毒變種和新病毒家族等未知病毒。優勢說明深信服aES在新版本對未知勒索威脅的檢測能力進行全新升級，引入多智能體模型推薦架構增加AI泛化能力，對可疑文件進行多重AI檢測，提升對未知威脅的檢測能力，同時對判黑的威脅文件通過可拔插式AI判別是否為勒索病毒。可以清楚的告知客戶幫其防住了勒索病毒，提升客戶感知。通過對抗性AI訓練，深信服aES對勒索的精準率已提升到99.47%，暫居國內top1。用戶可直觀地掌握內網終端是否中了勒索病毒，影響范圍有多大，快速采取響應措施。技術優勢如下：海量高質量樣本：深信服擁有大量企業客戶，而這些客戶是勒索的重災區，深信服在響應的同時獲得了大量勒索軟件樣本數據。并且深信服有專門的勒索研究團隊，能夠針對這類高質量樣本進行數據預處理及特征篩選，最大限度保證機器學習的效果；訓練算法突破：深信服在算法上再進步（多智能體模型算法推薦架構），使得AI模型效果盡可能最優。并在訓練平臺上再改進，通過分布式訓練平臺，實現可訓練樣本提升3.5倍，實現模型效果顯著提升，同時檢出下誤報下降5倍；高效迭代：深信服由于加大資源投入及技術積累/進步，原來由一年一次的AI模型更新提前到三個月一次，更新及發布周期頻率加快，勒索檢測效果再度提升；雙AI技術模型：除通用惡意文件AI檢測模型之外，深信服專門針對勒索病毒開發了專用的勒索AI檢測模型。大小模型結合，識別效果更精準；引擎能力端側落地：深信服是國內為數不多的能在終端側落地AI檢測能力的廠商，保證檢測防護時效性，檢測效果不受網絡、并發情況影響，離線也能精準檢測。3.4.1.6勒索動態行為AI引擎（1）原理介紹國內首創通用白進程利用勒索防護，信任區勒索防護。全新獨家上線“勒索行為AI引擎”，客戶就算被黑客攻陷，都能夠在勒索載荷落地執行階段防住，AI引擎通過對主流勒索病毒加密行為的學習、檢測、打分，能夠精確定位勒索攻擊行為，實現自動阻斷，遏制勒索蔓延。病毒加殼、混淆、注入白進程等繞過手段層出不窮，靜態防護存在能力邊界，總有部分勒索病毒通過某種方式執行起來，造成用戶數據損失。若在病毒執行初始階段，發現并阻止加密進程，能夠有效保護數據進一步受損，為此提出基于行為的勒索病毒檢測方案。通過采集用戶操作系統進程調用的API序列、進程動作序列、文件操作行為序列，并基于專家知識完成可疑行為模式篩選，最終采用模型融合的方式，實現勒索行為的高精度識別。勒索行為檢測流程如下：勒索行為檢測過程其中行為模型產出步驟如下圖所示，根據API序列、進程動作、文件操作等原始數據構建行為圖，行為圖有助于發現不同行為之間存在的映射關系，基于該圖對行為本身、行為操作對象進行量化，形成可計算的行為向量，而行為作為一種序列化的數據，需要具備針對長序列的處理方案，這里采用時序網絡對長序列進行Embedding，進一步地完成行為向量壓縮與行為特征提取。至此獲得了已采集數據的特征向量，后續結合貝葉斯分類、SVM、決策樹等多個模型完成最終的分類任務。（2）優勢說明通過分析勒索攻擊事件攻擊過程，采集其一系列可疑操作行為（如注冊表修改、執行命令、釋放文件、創建進程等），針對不同勒索家族類型的攻擊步驟進行關聯分析，構建定制化攻擊事件鏈條。實現勒索攻擊過程中攻擊模式抽取，若在端側匹配到相應攻擊模式，則能夠實現勒索加密發生前對勒索病毒的阻斷，保護用戶數據遭受損失。3.4.1.7防勒索動態備份回滾（1）原理介紹備份恢復技術用于對抗勒索病毒很有效，因為由于誤操作、安全策略配置不當可能導致檢測、防護能力被繞過，所以還需要備份恢復能力做技術兜底。區別于傳統備份系統，aES動態備份回滾不存在以下問題：搭建備份系統部署周期久，投入較大，對系統資源占用較大；備份系統不具備識別勒索加密文件的能力，無論文件是否被加密，備份系統都會進行備份，不僅增加系統的資源占用，而且會導致備份系統中數據受到污染；備份系統無法防范勒索攻擊，勒索病毒同樣會破壞備份數據，導致備份系統的數據庫無法使用，給客戶造成嚴重的數據損失。為解決上述問題，aES創新研發基于行為AI的防勒索動態備份能力，實現原理如下：防勒索系統安裝后，任何文件的操作均會觸發防勒索的安全檢查，可信應用文件操作放行，非可信應用文件操作將觸發備份動作，在備份入庫前，防勒索系統會檢查入庫數據的安全性，通過文件名、后綴名、信息熵、方差值完成文件是否被勒索加密的判斷。我們知道，勒索病毒加密的文件會被修改文件名、后綴名，文件的熵值和方差值會發生顯著變化，基于此防勒索系統可識別被勒索加密的文件，已經被勒索加密的文件將直接丟棄，并對操作該文件的進程進行終止和隔離操作，被識別為正常的數據文件則經過重復檢查后進入備份區。此外，勒索事中數據智能備份機制，數據智能備份機制并非是全盤備份，而是配合勒索行為AI引擎經過巧妙設計按需觸發，既可以實現勒索病毒的精準防范，又能備份緩解勒索行為AI引擎攔截時損失的少量文件，還能確保最小的系統資源消耗。（2）優勢說明基于AI的智能備份：深信服EDR勒索備份機制基于深信服EDR勒索AI引擎，對勒索行為實現智能化、高準確、低誤報識別，確保備份模塊按需啟動，完美結合可用性與安全性，大幅降低終端勒索備份復雜性。多層防護，精準檢測：深信服EDR勒索行為檢測以勒索行為AI引擎為基礎，在國內居于領先地位，而勒索備份機制以勒索行為檢測為核心，通過未知勒索病毒靜態檢測，勒索誘餌防護，黑客工具防護，內存掃描防護，無文件攻擊防護以及遠程登錄防護在事前對終端進行整體防護；在事中通過動態引擎對勒索行為進行檢測與防護，并且以檢測結果為基礎，通過小文件實時備份與關鍵目錄隔離防護對小微文件與關鍵的業務目錄進行備份與勒索防御；在事后通過終端一鍵回滾完成對被加密文件的回滾與恢復；形成多層次，高精準防護機制，實現對客戶終端環境的全面防護。低成本，省心可靠：深信服EDR對文件實現精準按需備份，靜態增量快照減少終端占用資源，進而降低用戶辦公感知，對客戶日常業務不造成影響；并且將所有備份存儲在終端本地，不增加外部存儲從而大幅降低成本。防御閉環，一鍵回滾：對勒索行為事件，通過智能檢測，主動防御，一鍵回滾形成終端防勒索閉環，大幅降低終端勒索風險。3.4.1.8勒索誘餌防護（1）原理介紹勒索病毒在入侵主機會進行橫向傳播擴散，影響范圍十分廣泛，一臺終端重病，全網業務癱瘓。深信服aES通過在系統關鍵目錄，放置誘餌文件，并且保證這些誘餌文件會被優先枚舉到。當有勒索程序對誘餌文件進行修改或刪除時，將觸發驅動攔截該進程行為，并將該進程信息上報給應用層進行病毒文件查殺。（2）優勢說明針對性的勒索誘捕方案，主動進行勒索病毒的防御，及時阻止勒索病毒的大范圍傳播，全面阻止業務不可逆終端，保護主機安全。3.4.1.9服務器遠程登錄防護（1）原理介紹RDP、SSH遠程暴破登錄是目前黑客攻擊的常用手段之一，而企業運維管理人員常因為服務器眾多，為方便管理運維而使用安全性較低的登錄密碼，極容易爆破而導致被勒索。深信服aES推出服務器遠程登錄的多因素認證技術，通過監聽RDP、SSH會話消息，當檢測到有新會話接入時，自動切換到二次認證桌面，該桌面只有二次密碼驗證的窗口，僅允許輸入密碼驗證，禁止其他操作。也支持僅允許指定IP或網段的主機訪問服務器，實現服務器遠程登錄的統一認證管理。（2）優勢說明通過服務器遠程登錄防護，預防黑客通過RDP、SSH爆破方式攻擊服務器，大大減少了被勒索病毒入侵從而導致業務癱瘓、經濟受損等風險，為組織提供全面的勒索立體防護。3.4.1.10服務器可信進程加固防護企業服務器常承載關鍵業務運行，系統極少運行與業務無關的進程，因此為防止非法進程運行占用系統資源干擾業務。aES推出的基于可信進程的加固防護技術，實現從進程學習、可信進程確認到可信進程生效的防護策略，既支持服務器全系統可信進程防護，也支持指定服務器目錄防護，從而阻止非可信進程的運行?？尚胚M程加固包括兩個步驟，首先是學習階段，在該階段主要是采集終端運行過的所有的進程信息，學習停止后，由用戶根據采集到的進程信息進一步確認并生成可信進程的規則；第二階段是加固生效階段，可信進程規則下發到終端上，終端在系統內核中監控進程的創建行為，當檢測到新進程創建，獲取進程信息并與可信進程規則進行匹配，如果匹配失敗，則阻斷進程的創建行為。3.4.2應用安全防護RASP（詳見RASP技術白皮書）“Runtimeapplicationself-protection”簡稱為RASP，屬于一種新型應用安全保護技術，它將防護功能"注入"到應用程序中，與應用程序融為一體，通過Hook少量關鍵函數，實時觀測程序運行期間的內部情況。當應用出現可疑行為時，RASP根據當前上下文環境精準識別攻擊事件，并給予實時阻斷，使應用程序具備自我防護能力，而不需要進行人工干預。LRASP引擎是一個基于RASP技術實現的、由探針和控制端組成的輕量級應用安全自保護引擎。通過啟動時hook/運行時hook技術將探針插樁到目標應用。其中具備虛擬運行時的開發語言（如Java/python/PHP等）借助虛擬運行時提供的機制如Java的JVMTI，可以對運行時程序進行切面織入。目前引擎已實現了Java應用自保護，通過插樁進行Java字節碼增強，達到檢測/阻斷攻擊的效果。深信服aES支持手動部署與自動部署兩種RASP部署方式，采用了模塊化的設計，即將探針與安全能力進行分離，將安全能力模塊化，支持按需控制檢測項，最大化地適應部署了RASP防護的應用。支持完備的熔斷策略，保證部署了RASP防護的業務的正常運行。探針本體與安全能力模塊均支持熱加載與熱卸載的功能，可以在不影響業務的前提下，接近無感地進行能力的更新，保證已部署了RASP防護的應用的安全性與穩定性。3.4.3網頁防篡改網絡攻擊者通常會利用被攻擊網站中存在的漏洞，通過在網頁中植入非法暗鏈對網頁內容進行篡改等方式，進行非法牟利或者惡意商業攻擊等活動。網頁被惡意篡改會影響您正常訪問網頁內容，還可能會導致嚴重的經濟損失、品牌損失甚至是政治風險。網頁防篡改服務，可實時監控網站目錄保障重要系統的網站信息不被惡意篡改，防止出現掛馬、黑鏈、非法植入恐怖威脅、色情等內容。網站防篡改的核心體現在篡改檢測技術上，主要分為三類：外掛輪詢技術、核心內嵌技術和增強型事件觸發技術。外掛輪詢技術：這種技術是通過定期輪詢網站的文件或目錄，與之前的快照進行比對，以檢測是否有篡改發生。如果發現篡改，系統會進行相應的補償措施，恢復被篡改的內容。然而，這種技術無法實時阻斷篡改，只能在篡改發生后進行恢復。核心內嵌技術：這種技術是將篡改檢測功能嵌入網站的核心代碼中，通過監控文件的變化來檢測篡改。當發現篡改時，系統會采取相應的措施進行恢復。與外掛輪詢技術類似，核心內嵌技術也是事后補償的思路，無法實時阻斷篡改。增強型事件觸發技術：這種技術是基于操作系統內核底層文件系統驅動的保護技術。它通過監控被保護的網站目錄或文件的變化，實時進行合法性檢查。當檢測到篡改發生時，系統可以立即進行實時檢測和實時阻斷。這種技術能夠更加及時地發現篡改，并采取相應的措施進行阻斷?？偟膩碚f，aES采用的增強型事件觸發技術是一種更加高效和實時的篡改檢測技術，能夠在篡改發生時立即進行檢測和阻斷。而外掛輪詢技術和核心內嵌技術則是事后補償的思路，只能在篡改發生后進行恢復。由于不需要像數字水印技術那樣對水印值先存儲再對比，不但篡改檢測效率高，對服務器本身資源占用也較低，尤其在應對大規模自動化、連續性篡改時，該技術這樣的特點具有明顯的優勢。因此，此類技術較核心內嵌技術和外掛輪詢兩類技術有更優的性能表現。圖：aES防篡改優勢能力3.4.4微隔離（1）原理介紹從近幾年的黑客攻擊形勢看，內網的攻擊逐漸增多。然而，當前不少組織單位的安全防御思路依然僅靠層層邊界防御，卻忽略了內網的安全防護。當攻擊者有機會拿到內網一個跳板機時，即可暢通無阻在內部網絡中橫向傳播威脅，對業務造成爆破式影響。因此，為了適應新的攻防形勢，行業開始重新分析和審視內部網絡隔離的重要性。實現內部網絡隔離的有多種，傳統網絡隔離方案基本都是基于網絡層面進行工作，部署物理硬件防火墻，并配置相應的策略，從網絡層進行訪問控制；a、調用系統主機防火墻，需要單獨對主機進行策略配置，從而進行訪問控制；b、VLAN隔離技術根據特定的策略進行區域邏輯網段分離。但隨著組織內部網絡架構的演進，從傳統的IT架構向虛擬化、混合云升級變遷，虛擬化極大化擴充資產數量，傳統隔離方案在以靈活為核心的新IT架構下落地變得困難重重，難以適應當下的環境：1、無法做到細粒度的隔離措施：傳統網絡隔離最小粒度只能做到域的隔離，意味著只能針對南北向流量進行隔離，而同一域內的東西流量無法有效隔離，從而無法有效防范威脅橫向擴散，內部一旦被突破一點，感染成面，損失巨大；2、維護不夠靈活：面對眾多分散的虛機控制點，以及變化的網絡環境，傳統隔離策略無法做到實時更新與自適應防護，反而因為安全影響了業務的靈活性，最終因為策略復雜不能真正落地；3、訪問關系不可視：業務系統之間的訪問關系完全不可視，難以確定隔離的有效性，甚至外部供應商網絡與內部涉密生產系統交互頻繁卻不自知。當越來越多的用戶開始轉為更為靈活的微隔離方案時，選擇哪種技術路線成為了問題的關鍵。當前微隔離方案技術路線主要有三種，而主機代理微隔離才更適應當前多變的用戶業務環境。深信服aES微隔離下一代主機隔離技術，架構于主機防火墻之上，致力解決病毒東西向、橫向移動和內網擴散和處置問題，提出了一種基于安全域應用角色之間的流量訪問控制的系統解決方案，提供全面基于主機應用角色之間的訪問控制，做到可視化的安全訪問策略配置，簡單高效地對應用服務之間訪問進行隔離技術實現。windows上采用WFP架構實現，應用層采用WFP基本篩選引擎（BaseFilteringEngine）接口實現網絡訪問關系的控制，驅動層采用WFP內核態過濾引擎實現網絡流量的監控。Linux上采用NetFilter/iptables實現網絡關系的訪問控制，采用網絡連接跟蹤的技術實現網絡流量的監控。（2）優勢說明訪問關系精細化管控：在東西向訪問關系控制上，優先對所有的服務器進行業務安全域的邏輯劃域隔離，并對業務區域內的服務器提供的服務進行應用角色劃分，對不同應用角色之間服務訪問進行訪問控制配置，減少了對物理、虛擬的服務器被攻擊的機會，集中統一管理服務器的訪問控制策略。并且基于安裝輕量級主機Agent軟件的訪問控制，不受虛擬化平臺的影響，不受物理機器和虛擬機器的影響。東西向流量可視：采用統一管理的方式對終端的網絡訪問關系進行圖形化展示，可以看到每個業務域內部各個終端的訪問關系展示以及訪問記錄，也可以看到每個業務域之間的訪問關系展示以及每個業務域的流量狀態、訪問趨勢、流量排行，同時可以根據每個訪問關系會生成訪問關系控制策略，讓用戶決定是否啟用該策略，減少了手動新增策略的工作量，提高了安全管理的效率。網端聯動縱深防御（AF\XDR\SIP等）3.5.1網端聯動-防遠控、防擴散、可根除傳統的網端聯動，由于網端引擎不一致，會導致端側的查殺結果無法與網側的安全事件進行對應。針對一些復雜高危的威脅行為，傳統的病毒查殺行為很有可能讓病毒“死而復生”，導致網端告警復發。針對復雜高危的威脅行為，深信服aES產品能與NGAF（下一代防火墻）、SIP（態勢感知）進行協同聯動響應，網側檢測出威脅訪問的惡意流量，由端側對威脅的行為進行分析處置。例如網絡側發現一個惡意流量，在網側產生一個告警。管理員可在網絡側下發一個針對此惡意訪問流量的處置請求到端側。端側收到此惡意流量的處置請求后，自動對整個進程鏈完成溯源、分析、舉證、匹配等系列動作，最后自動完成威脅處置，并且把處置結果完成的返回到網絡側，實現威脅處置的自閉環。新網端處置可以分為下面三個維度：防遠控針對遠控類威脅，端側會針對其域名訪問行為、進程創建行為等等進行阻斷，全面封鎖遠控類病毒威脅防擴散針對感染性強的威脅，端側會單獨針對感染性病毒進程及其已感染的進程網絡訪問行為進行嚴格限制，遏制感染型病毒對于重要服務器的網絡訪問，能在保證業務正常運行的基礎上，更好的限制感染型病毒的擴散行為徹底根除針對已確認的病毒威脅，在保證終端業務正常運行的基礎上，對已確認的病毒威脅創建的進程、文件、注冊表等行為做徹底清除，從根源上消除病毒所帶來的風險。相對于以前的聯動溯源舉證能力，防遠控、防擴散、可根除的一些系列能力大大減少了管理員的運維成本，可以把威脅處置、安全防護完全托管到新的網端聯動體系中，做到威脅事件徹底閉環處置。3.5.2云內態勢感知（東西向流量采集）傳統網絡數據分析會在交換機上配置網絡數據鏡像，將Packet復制后發送到目標機器，實現網絡流量鏡像的功能。而在云平臺上，云廠商并未對用戶提供流量鏡像功能，即使是私有云，單獨定制流量鏡像功能也十分昂貴。深信服云主機安全保護平臺能夠作為軟探針存在，采用代理流量轉發方式實現，基于libpcap/npcap+GRE/VXLAN封裝技術的轉發流量數據，支持所有協議全流量采集或自定義過濾采集，支持轉發速率閾值自定義設置，將流量數據轉發給STA分析器，STA分析流量數據產生風險日志上報SIP平臺分析展示，其使用十分簡單，適用于各類公有云和私有云，是云平臺目前最優的網絡流量鏡像方案。圖：流量采集原理示意圖將云內東西向流量上報給SIP，實現云環境下的安全態勢感知，通過端網聯動，可以實現整體攻擊鏈溯源，建立縱深防御體系。圖:多設備智能聯動桌面管理3.6.1遠程桌面控制企業運維管理員在維護終端主機時往往需要親自到現場操作物理主機，這種方式效率很低；再或者需開啟主機自帶的遠程功能，通過主機的IP地址、賬號、密碼登陸后才能操作主機，而主機的這些登陸信息常常容易發生變化，一旦主機數量很大時，很難維護這些遠程登錄信息。通過集成遠程控制功能，基于遠程控制開源軟件UltraVNC（分為客戶端和服務端），aES客戶端默認附帶UltraVNC服務端程序。通過在aES管理平臺發起遠程，下載運行UltraVNC客戶端程序，輸入被遠程端的IP、端口以及授權碼即可實現遠程控制。（2）優勢說明a、快速：在終端用戶同意的情況下，1~2分鐘內快速