深信服aES產(chǎn)品技術(shù)白皮書-V1.5

PAGE深信服科技股份有限公司文件模板編號密級發(fā)布生效日期產(chǎn)品技術(shù)白皮書模板現(xiàn)行版本V1.5頁次第PAGE4/共27頁P(yáng)AGE深信服公司版權(quán)所有 深信服科技股份有限公司文件模板編號密級發(fā)布生效日期產(chǎn)品技術(shù)白皮書模板現(xiàn)行版本V1.0頁次第PAGE1/共27頁 深信服終端安全管理系統(tǒng)aES產(chǎn)品技術(shù)白皮書深信服科技股份有限公司

修訂記錄修訂版本號作者日期簡要說明V10

目錄TOC\o"1-3"\h\z53171背景介紹 587001.1.安全背景與挑戰(zhàn) 59511.2.技術(shù)背景 7324022.總體架構(gòu) 9146682.1.架構(gòu)設(shè)計(jì) 1094512.2.系統(tǒng)數(shù)據(jù)處理流程圖 11301053.產(chǎn)品核心能力 12215393.1.資產(chǎn)管理 12259093.1.1細(xì)粒度資產(chǎn)管理 1242533.1.2資產(chǎn)指紋庫圖譜 1311533.1.3高負(fù)載資產(chǎn) 14206553.1.4基于資產(chǎn)的安全視角統(tǒng)一管理 1456383.1.5資產(chǎn)發(fā)現(xiàn) 1492253.2.風(fēng)險(xiǎn)評估 1532923.2.1漏洞檢測 15212453.2.2熱點(diǎn)漏洞 1549243.2.3風(fēng)險(xiǎn)應(yīng)用檢查 1674993.2.4弱口令檢查 16221833.2.4合規(guī)基線 17154023.2.5暴露面梳理 18200433.3.運(yùn)維管理 19106503.3.1桌面管理 1955173.3.入侵檢測 23325793.3.1高級威脅檢測能力（詳見高級威脅技術(shù)白皮書） 249923.3.1WebShell檢測 2644743.3.3反彈Shell檢測 27133913.3.3內(nèi)存馬檢測（詳見內(nèi)存馬檢測技術(shù)白皮書） 28202443.3.3暴力破解檢測 296173.3.4異常命令檢測 30300023.3.5權(quán)限提升檢測 30285213.3.6端口轉(zhuǎn)發(fā)檢測 30241223.3.7遠(yuǎn)程命令執(zhí)行檢測 30148073.3.8訪問惡意地址檢測 31116493.3.9異常登錄檢測 327553.3.10異常掃描檢測 32259843.5.安全防護(hù) 32308823.5.1漏洞檢測與防御 3293573.5.2惡性病毒處置修復(fù) 36286133.5.3勒索病毒動(dòng)靜態(tài)立體防護(hù) 42257043.5.4網(wǎng)端云聯(lián)動(dòng) 49312463.5.5創(chuàng)新微隔離 51151324.產(chǎn)品價(jià)值優(yōu)勢 5471344.1輕量易用 54204874.2有效對抗 54106704.3網(wǎng)端快速閉環(huán) 55

1背景介紹安全背景與挑戰(zhàn)近年來，傳統(tǒng)的病毒木馬攻擊方式還未落幕，層出不窮的高級攻擊事件不斷上演，勒索病毒、挖礦木馬等安全事件頻發(fā)，如WannaCry爆發(fā)造成全球有150多個(gè)國家，涉及30多萬用戶受到影響，經(jīng)濟(jì)損失達(dá)80億美元，而Globelmpster傳播，國內(nèi)醫(yī)療，金融與教育等行業(yè)深受其害等，嚴(yán)峻的安全形勢給企業(yè)造成了嚴(yán)重的經(jīng)濟(jì)損壞和社會(huì)影響。從外部威脅和事件影響角度來看，隨著攻防新技術(shù)的發(fā)展和應(yīng)用、APT與未知威脅的增多、0day漏洞頻繁爆發(fā)、護(hù)網(wǎng)行動(dòng)等造成網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)日益突出，引起的網(wǎng)絡(luò)安全事件的影響力和破壞性正在加大，并向政治、經(jīng)濟(jì)、文化、社會(huì)、國防等多領(lǐng)域傳導(dǎo)滲透，對網(wǎng)絡(luò)空間安全建設(shè)提出了更高的挑戰(zhàn)與要求。隨著云時(shí)代的到來，網(wǎng)絡(luò)邊界越來越模糊。當(dāng)前黑客普遍采用流量加密、0day利用等多樣化的高級攻擊手段，達(dá)到繞過傳統(tǒng)邊界設(shè)備的目的。基于策略的邊界預(yù)防機(jī)制，已無法滿足在業(yè)務(wù)系統(tǒng)規(guī)模龐大、資源管理復(fù)雜、業(yè)務(wù)連續(xù)性要求高的云場景下的安全需求。云內(nèi)安全同樣面臨較大的挑戰(zhàn)，云內(nèi)業(yè)務(wù)系統(tǒng)規(guī)模大，客觀存在資產(chǎn)梳理及漏洞管理困難、危險(xiǎn)賬號及危險(xiǎn)配置無法收集、內(nèi)網(wǎng)安全事件無法快速響應(yīng)等問題，導(dǎo)致內(nèi)網(wǎng)中會(huì)存在多點(diǎn)漏洞，黑客進(jìn)入內(nèi)網(wǎng)后橫行無阻，對業(yè)務(wù)帶來難以估計(jì)的破壞和損失。新時(shí)代下企業(yè)級終端安全面臨嚴(yán)峻挑戰(zhàn)，相較于個(gè)人終端而言，企業(yè)終端、數(shù)據(jù)等資產(chǎn)價(jià)值更高，由終端、服務(wù)器等不同軟硬件所組成辦公局域網(wǎng)，帶來更為復(fù)雜的病毒來源、感染、傳播途徑，正因此企業(yè)用戶面臨更為嚴(yán)峻的終端安全挑戰(zhàn)，對防護(hù)、管理、應(yīng)用等多方面提出更高要求，所面臨的問題呈現(xiàn)出如下幾點(diǎn)：首先，人工運(yùn)維加劇威脅防御成本。傳統(tǒng)終端安全產(chǎn)品以策略、特征為基礎(chǔ)，輔以組織規(guī)定以及人員操作制度驅(qū)動(dòng)威脅防御，高級威脅一旦產(chǎn)生，將會(huì)不可控的傳播，勢必帶來人工成本的幾何增長，且對企業(yè)運(yùn)維人員專業(yè)性要求極高，有效應(yīng)對威脅難度大。其次，基于特征匹配殺毒無法有效抵御新威脅?；诓《咎卣鲙旆绞竭M(jìn)行殺毒，在高級威脅持續(xù)產(chǎn)生的大環(huán)境下，呈現(xiàn)被動(dòng)、后知后覺等檢測特點(diǎn)，無法及時(shí)有效防御新威脅。另外，網(wǎng)絡(luò)攻擊手法不斷進(jìn)化，人工參與的攻擊行為增多。傳統(tǒng)基于特征庫、靜態(tài)文件的檢測已對此類復(fù)雜攻擊失效，此類APT攻擊可輕松繞過傳統(tǒng)殺軟、傳統(tǒng)終端安全防護(hù)機(jī)制的檢測。第三，病毒特征庫數(shù)量增長加重主機(jī)運(yùn)算資源。本地病毒特征庫數(shù)量日益增多，加重終端存儲、運(yùn)算資源成本，防御威脅過程已嚴(yán)重影響用戶日常辦公，無法適應(yīng)如云化等新的特定場景。第四，網(wǎng)端兩側(cè)安全產(chǎn)品無協(xié)同，造成安全事件難閉環(huán)、總反復(fù)。網(wǎng)絡(luò)側(cè)安全產(chǎn)品基于流量、域名的檢測，終端側(cè)安全產(chǎn)品則是基于文件、進(jìn)程、行為等的檢測。檢測機(jī)制不同則對威脅的檢出結(jié)果不同，網(wǎng)端兩側(cè)無協(xié)同則無法查殺到威脅根因（終端側(cè)的風(fēng)險(xiǎn)進(jìn)程、文件等）。導(dǎo)致威脅總是處置不干凈，安全事件難真閉環(huán)。技術(shù)背景在當(dāng)前的安全形勢下，傳統(tǒng)殺毒解決方案只能解決惡意文件上傳、靜態(tài)文件母體檢測、動(dòng)態(tài)啟發(fā)查殺等問題，無法做到百分百有效攔截病毒和惡意入侵，特別是威脅持續(xù)感染情況下，用戶甚至長期感知不到安全威脅的存在，具備EDR技術(shù)的aES產(chǎn)品正是為解決這種問題而生。EDR技術(shù)為威脅持續(xù)感染、APT入侵攻擊等高級威脅提供IOA行為分析、IOC失陷檢測、取證調(diào)查、響應(yīng)處置等精細(xì)化能力，持續(xù)賦能惡意威脅防護(hù)效果提升，如下圖所示：EDR技術(shù)（端點(diǎn)檢測響應(yīng)）的興起，使得全球涌現(xiàn)出了一批新的終端安全廠商，而傳統(tǒng)的終端安全廠商也在融合這類技術(shù)。具體來說，下一代終端安全公司提供基于機(jī)器學(xué)習(xí)算法的產(chǎn)品，用以封堵傳統(tǒng)及新興威脅。終端檢測和響應(yīng)廠商，則監(jiān)視PC行為，查找異?；顒?dòng)。傳統(tǒng)殺軟“見招拆招”式的響應(yīng)已經(jīng)對新威脅、高級威脅失效。基于靜態(tài)文件的檢測方式只能在病毒母體文件落地后才介入查殺，而對于威脅是怎么進(jìn)入內(nèi)網(wǎng)的、進(jìn)入后對終端做了哪些操作、危害面有多大，以及是否還有潛伏的攻擊行為等都無法判斷，這一切對于殺軟、傳統(tǒng)終端安全防護(hù)產(chǎn)品來說都是不可知的。IT運(yùn)營人員做重復(fù)式查殺，并不了解威脅、攻擊發(fā)生的根因，潛伏的攻擊等。攻擊者可利用脆弱面再次發(fā)起攻擊，或者潛伏在內(nèi)網(wǎng)的殘留威脅等著合適時(shí)機(jī)再次卷土重來。新網(wǎng)絡(luò)環(huán)境下的攻擊手法日漸高級、人工參與的攻擊行為增多，下一代終端安全防護(hù)產(chǎn)品需要“知其然，也知其所以然”，了解攻擊者的行為和意圖洞察，知道終端脆弱面，針對性加固。從源頭保護(hù)終端安全。深信服從一開始就看到了這個(gè)趨勢并瞄準(zhǔn)了這一目標(biāo)，推出一套完整的統(tǒng)一終端安全解決方案。方案由輕量級的端點(diǎn)安全軟件和管理平臺軟件共同組成。深信服終端安全管理系統(tǒng)，采用Gartner提出的自適應(yīng)安全架構(gòu)，從預(yù)防、保護(hù)、檢測、響應(yīng)四個(gè)階段，利用漏洞掃描、基線檢查、弱口令檢測、資產(chǎn)梳理、微隔離、系統(tǒng)完整性保護(hù)、入侵行為檢測、主機(jī)行為檢測、病毒查殺、一鍵響應(yīng)等技術(shù)，解決傳統(tǒng)安全體系被動(dòng)檢測方案的短板，為業(yè)務(wù)系統(tǒng)提供事前、事中、事后的全方位護(hù)航能力。同時(shí)，深信服終端安全管理系統(tǒng)可以與深信服產(chǎn)品的傳統(tǒng)安全檢測設(shè)備對接，實(shí)現(xiàn)端網(wǎng)聯(lián)動(dòng)，守護(hù)數(shù)據(jù)中心安全的最后一公里?？傮w架構(gòu)深信服終端安全管理系統(tǒng)由管理平臺與客戶端組成，管理平臺支持統(tǒng)一的終端資產(chǎn)管理、終端安全體檢、終端合規(guī)檢查。全面采集終端側(cè)系統(tǒng)層、應(yīng)用層行為數(shù)據(jù)，本地分層上報(bào)至平臺關(guān)聯(lián)分析，對攻擊事件精準(zhǔn)研判。最終以可視化的攻擊進(jìn)程鏈形式還原攻擊故事。威脅狩獵則可基于全面采集到的數(shù)據(jù)，細(xì)粒度對全網(wǎng)終端做狩獵查殺，獵捕殘余攻擊。微隔離的訪問控制策略統(tǒng)一管理，支持對安全事件的一鍵隔離處置。端點(diǎn)軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數(shù)據(jù)信息采集上報(bào)、安全事件的一鍵處置等。深信服的aES產(chǎn)品也支持與自家網(wǎng)絡(luò)側(cè)安全產(chǎn)品如NGAF、AC、SIP，以及XDR平臺形成深度聯(lián)動(dòng)，打通網(wǎng)端數(shù)據(jù)，讓網(wǎng)端安全產(chǎn)品協(xié)同，促進(jìn)安全事件徹底閉環(huán)。形成新一代的聯(lián)動(dòng)防護(hù)體系。架構(gòu)設(shè)計(jì)aES產(chǎn)品的防護(hù)體系以預(yù)防、防御、檢測與響應(yīng)這四個(gè)維度的能力來提供事前，事中與事后的服務(wù)。風(fēng)險(xiǎn)發(fā)現(xiàn)：為用戶提供對終端的全網(wǎng)資產(chǎn)指紋清點(diǎn)、影子資產(chǎn)發(fā)現(xiàn)、漏洞補(bǔ)丁管理、安全基線核查、暴露面梳理、應(yīng)用/系統(tǒng)/賬號風(fēng)險(xiǎn)梳理、可信加固、微USB設(shè)備管控、微隔離可視等事前風(fēng)險(xiǎn)梳理能力。威脅檢測：為用戶提供漏斗式檢測、AISAVE人工智能引擎、勒索病毒專項(xiàng)防護(hù)、高級威脅行為檢測、應(yīng)用行為畫像異常行為檢測等能力。防御攔截：為用戶提供二次認(rèn)證、微隔離可控、輕補(bǔ)丁、虛擬補(bǔ)丁、應(yīng)用漏洞防護(hù)、病毒、勒索文件、webshell、暴力破解自動(dòng)處置等防御能力。響應(yīng)處置：為用戶提供基礎(chǔ)處置能力：進(jìn)程阻斷、文件隔離、dns阻斷、ip封堵、主機(jī)隔離；同時(shí)結(jié)合網(wǎng)絡(luò)側(cè)安全產(chǎn)品，XDR平臺云端能力等為用戶提供聯(lián)動(dòng)閉環(huán)、全網(wǎng)威脅定位、威脅事件溯源針對性加固、威脅狩獵等能力。系統(tǒng)數(shù)據(jù)處理流程圖如上圖所示，aES安全系統(tǒng)的數(shù)據(jù)處理流程包含了aES終端Agent、aES管理平臺、云端三大部分，具體描述如下：aES終端AgentAgent包括了內(nèi)核態(tài)及用戶態(tài)部分，通過實(shí)時(shí)收集系統(tǒng)動(dòng)態(tài)行為事件，對事件對象進(jìn)行實(shí)時(shí)的檢測，實(shí)時(shí)發(fā)現(xiàn)威脅并根據(jù)安全策略進(jìn)行相應(yīng)處置。aES管理平臺管理平臺負(fù)責(zé)與云端的威脅查詢及緩存管理功能，為終端提供快速的查詢服務(wù)。云端分析深信服aES在客戶端側(cè)采集到的海量數(shù)據(jù)，本地做有效聚合后上傳至平臺。借助云端算力對數(shù)據(jù)結(jié)合用戶真實(shí)環(huán)境做上下文關(guān)聯(lián)，最終精準(zhǔn)分析出攻擊行為。此高級威脅檢測機(jī)制能有效減少誤報(bào)，提升對新威脅的研判精準(zhǔn)度。此外安全云腦也為全網(wǎng)在線安全設(shè)備提供了文件沙箱服務(wù)，以及文件、DNS、IP等威脅情報(bào)服務(wù)，為已知/未知威脅檢測提供有力支持。產(chǎn)品核心能力資產(chǎn)全景3.1.1細(xì)粒度資產(chǎn)管理圖：資產(chǎn)分組及標(biāo)簽集中管理端（MGR中心端）對云主機(jī)收集的各類資產(chǎn)進(jìn)行分類、整理，統(tǒng)計(jì)，并提供靈活的資產(chǎn)標(biāo)簽、分組機(jī)制、資產(chǎn)分類、高負(fù)載告警，實(shí)現(xiàn)對資產(chǎn)圖書館式的管理，對核心資產(chǎn)，高負(fù)載資產(chǎn)重點(diǎn)關(guān)注。3.1.2資產(chǎn)指紋庫圖譜集中管理端（MGR中心端）自動(dòng)提供了資產(chǎn)總覽圖表，Top高負(fù)載資產(chǎn)視圖；支持對資產(chǎn)的快速索引，模糊搜索，可以幫助用戶快速定位關(guān)鍵資產(chǎn)信息。圖：資產(chǎn)指紋庫圖譜3.1.3高負(fù)載資產(chǎn)深信服云主機(jī)安全保護(hù)平臺持續(xù)監(jiān)控資產(chǎn)狀態(tài)，展示整體資產(chǎn)資源分布情況及Top高負(fù)載資產(chǎn)，及時(shí)發(fā)現(xiàn)和定位定位高負(fù)載資產(chǎn)風(fēng)險(xiǎn)，快速識別環(huán)境中異常主機(jī)，保障業(yè)務(wù)連續(xù)性。圖：高負(fù)載資產(chǎn)3.1.4基于資產(chǎn)的安全視角統(tǒng)一管理資產(chǎn)管理作為其它模塊的支撐，與入侵行為檢測，主機(jī)行為審計(jì)，風(fēng)險(xiǎn)評估，病毒查殺等全面關(guān)聯(lián)，幫助用戶快速鎖定安全問題資產(chǎn)。3.1.5資產(chǎn)發(fā)現(xiàn)通過安裝Agent的主機(jī)，實(shí)現(xiàn)對管理員下發(fā)的ip網(wǎng)段或端口范圍進(jìn)行網(wǎng)絡(luò)探測掃描，獲取到資產(chǎn)的操作系統(tǒng)、ip和mac等信息，再通過與已安裝Agent的資產(chǎn)進(jìn)行對比，從而發(fā)現(xiàn)未安裝Agent的資產(chǎn)。風(fēng)險(xiǎn)評估深信服aES平臺風(fēng)險(xiǎn)評估持續(xù)監(jiān)控與分析資產(chǎn)漏洞，弱口令，合規(guī)基線等脆弱性，實(shí)時(shí)發(fā)現(xiàn)未知威脅及存在的安全隱患，化被動(dòng)未主動(dòng)，提前防御和預(yù)防安全問題的出現(xiàn)，將風(fēng)險(xiǎn)消除在最前延，從而提高攻擊門檻，降低入侵風(fēng)險(xiǎn)。3.2.1漏洞檢測3.2.1.1漏洞風(fēng)險(xiǎn)檢測深信服aES平臺漏洞檢測技術(shù)整合前沿的威脅情報(bào)，資產(chǎn)發(fā)現(xiàn)，文件解析，POC探針，云化升級，檢測結(jié)果加密防泄漏、跨平臺兼容等功能。提供了基于CPE的版本對比，配置檢測，虛擬執(zhí)行、poc探針驗(yàn)證等類型漏洞檢測，支持Windows、Linux，國產(chǎn)化系統(tǒng)，支持容器漏洞檢查，提供了多維度，多視角的資產(chǎn)清點(diǎn)功能，漏洞檢查結(jié)合自研處置優(yōu)先級VPT與實(shí)體補(bǔ)丁，虛擬補(bǔ)?。℉IPS），輕補(bǔ)丁形成實(shí)時(shí)有效的漏洞閉環(huán)解決方案。深信服積累大量高價(jià)值漏洞庫、POC探針腳本，并將持續(xù)關(guān)注國內(nèi)外最新安全動(dòng)態(tài)及漏洞利用方法，快速響應(yīng)，不斷提升檢測能力。圖：漏洞檢測原理3.2.1.2基于VPT的漏洞自排序技術(shù)CVSS基本分值是靜態(tài)的，不隨時(shí)間的推移而變化。單通過CVSS評分進(jìn)行風(fēng)險(xiǎn)排序，不考慮實(shí)際的時(shí)間和環(huán)境因子，會(huì)導(dǎo)致過多的高危漏洞和嚴(yán)重漏洞，導(dǎo)致在有限的資源下漏洞管理效率低下。深信服VPT處置優(yōu)先級，采用SSVC+決策樹的優(yōu)先級排序模型沉淀安全專家經(jīng)驗(yàn)，結(jié)合漏洞影響和外部情報(bào)，科學(xué)的給出評級決策結(jié)果，可以進(jìn)一步聚焦漏洞優(yōu)先級，優(yōu)化漏洞管理效率。評級決策結(jié)果包含：立即響應(yīng)、延后響應(yīng)、暫不響應(yīng)3種結(jié)果。VPT支持除windows補(bǔ)丁之外的漏洞的處置優(yōu)先級評估，包括windows應(yīng)用漏洞，linux系統(tǒng)和應(yīng)用漏洞，國產(chǎn)化系統(tǒng)和應(yīng)用漏洞。圖：漏洞處置優(yōu)先級分析VPT關(guān)聯(lián)核心因素圖：漏洞處置優(yōu)先級分析VPT原理立即處置：此漏洞一旦被利用通常會(huì)造成很大風(fēng)險(xiǎn)，會(huì)造成系統(tǒng)被控制或者大量數(shù)據(jù)泄露，影響范圍大。修復(fù)者需要積極響應(yīng)此漏洞，相關(guān)人員需要第一時(shí)間響應(yīng)處理此漏洞，并通知到內(nèi)外部相關(guān)人員排查風(fēng)險(xiǎn)。建議修復(fù)周期：7天圖：立即處置漏洞判斷和分析圖譜延后處置：此漏洞通常會(huì)造成一定風(fēng)險(xiǎn)，對使用者的生產(chǎn)生活環(huán)境造成一定影響。修復(fù)者需要持續(xù)關(guān)注此漏洞，并通知到此漏洞涉及到的內(nèi)外部相關(guān)人員，并在漏洞生命周期之前積極修復(fù)處理此漏洞。建議修復(fù)周期：30天暫不處置：此漏洞影響較小，某些情況下會(huì)造成一些非緊急的影響。修復(fù)者在資源充裕的情況下，可持續(xù)觀察此漏洞以及后續(xù)影響，并在漏洞生命周期中修復(fù)處理此漏洞。3.2.2漏洞加固防御3.2.2.1虛擬補(bǔ)丁HIPS（詳見虛擬補(bǔ)丁HIPS白皮書）HIPS在主機(jī)側(cè)落地主要用于檢測和阻斷高可利用漏洞的威脅，可以實(shí)現(xiàn)漏洞無效化。防止服務(wù)器被外部攻擊利用高可利用漏洞攻陷主機(jī)，竊取資料和加密文件勒索資金。所以IPS主要關(guān)注入站流量，可以過濾入站流量。又因?yàn)榇蟛糠忠?guī)則都指定了業(yè)務(wù)的開放端口，可以將規(guī)則中的端口集中起來作為驅(qū)動(dòng)過濾的條件，在內(nèi)核層過濾掉無關(guān)端口的流量。工作原理可以簡要概括為三個(gè)步驟：數(shù)據(jù)捕獲、規(guī)則匹配和響應(yīng)。數(shù)據(jù)捕獲：通過網(wǎng)絡(luò)接口捕獲數(shù)據(jù)包，這些數(shù)據(jù)包可以是通過網(wǎng)絡(luò)傳輸?shù)娜魏涡畔?。捕獲到的數(shù)據(jù)包將被送入分析引擎進(jìn)行處理。規(guī)則匹配：使用一套規(guī)則引擎來分析捕獲到的數(shù)據(jù)包，每個(gè)規(guī)則定義了一種特定的攻擊模式或異常行為。規(guī)則由多個(gè)字段組成，包括源地址、目標(biāo)地址、協(xié)議類型、端口號等。當(dāng)數(shù)據(jù)包與規(guī)則匹配時(shí)，將其標(biāo)記為潛在的攻擊。響應(yīng)機(jī)制：當(dāng)檢測到潛在的攻擊時(shí)，它可以采取多種響應(yīng)措施，如記錄日志、發(fā)送警報(bào)、阻斷流量等。這種靈活的響應(yīng)機(jī)制使得不僅能夠發(fā)現(xiàn)潛在的威脅，還能夠迅速應(yīng)對并減小潛在的風(fēng)險(xiǎn)。圖：采集處理流程3.2.2.2基于輕補(bǔ)丁的漏洞免疫技術(shù)（1）原理介紹根據(jù)aES終端安全實(shí)驗(yàn)室數(shù)據(jù)顯示，漏洞利用攻擊在當(dāng)前熱點(diǎn)威脅中擁有最高的使用率，顯然已經(jīng)成為危害最為嚴(yán)重的威脅之一，通過打補(bǔ)丁修復(fù)漏洞成為眾多企業(yè)級用戶的首選方案。然而，傳統(tǒng)的漏洞修復(fù)方法在補(bǔ)丁未及時(shí)發(fā)布（0day漏洞）、微軟停止提供漏洞修補(bǔ)支持（Win7等停更系統(tǒng)）、漏洞修復(fù)導(dǎo)致重啟等場景下，已不能提供快速、有效的防護(hù)能力，企業(yè)用戶的終端存在很大的安全隱患。深信服aES下一代輕補(bǔ)丁漏洞免疫技術(shù)，直接在內(nèi)存里對有漏洞的代碼進(jìn)行修復(fù)，避免遭受漏洞攻擊。通過aES終端安全管理系統(tǒng)提供的高危漏洞免疫模塊，提供業(yè)務(wù)無感知的輕補(bǔ)丁修復(fù)能力。（2）優(yōu)勢說明a、補(bǔ)丁加載輕：相比傳統(tǒng)實(shí)體漏洞補(bǔ)丁的修復(fù)方式存在需要重啟、兼容性問題，深信服aES輕補(bǔ)丁漏洞免疫無需下載補(bǔ)丁，直接修改內(nèi)存運(yùn)行代碼無需服務(wù)重啟，不存在兼容性問題，過程輕量化。b、修復(fù)速度快：微軟補(bǔ)丁文件之間存在依賴關(guān)系，導(dǎo)致補(bǔ)丁安裝失敗情況頻繁發(fā)生。深信服aES輕補(bǔ)丁漏洞免疫針對每個(gè)漏洞提供一個(gè)單獨(dú)的漏洞修補(bǔ)補(bǔ)丁包，無任何依賴關(guān)系。終端安裝aES后會(huì)自動(dòng)檢測高危漏洞并進(jìn)行無感知修復(fù)，并將結(jié)果上報(bào)平臺，保障業(yè)務(wù)的連續(xù)性。

c、防御效果好：深信服aES輕補(bǔ)丁漏洞免疫本身是對漏洞本身進(jìn)行修復(fù)，將源頭堵住，防止威脅攻擊擴(kuò)散，漏洞100%防御。同時(shí)，可使用在停更的Windows系統(tǒng)的高危漏洞防護(hù)上，覆蓋度高，更新速度快。d、性能消耗?。簜鹘y(tǒng)廠商基于網(wǎng)絡(luò)層面的漏洞入侵防御，會(huì)因網(wǎng)絡(luò)流量解析而造成的網(wǎng)絡(luò)延遲和性能下降等問題。深信服aES基于內(nèi)存修復(fù)，代碼恢復(fù)原貌，無需消耗額外的性能且過程平滑無感知，管理平臺可統(tǒng)一控制。3.2.2.3基于規(guī)則匹配的補(bǔ)丁更新技術(shù)（1）原理介紹aES產(chǎn)品支持各種類型不同的操作系統(tǒng)以及不同版本的操作系統(tǒng)的補(bǔ)丁規(guī)則庫的更新，可以做到最新漏洞的實(shí)時(shí)檢測與防御，并提供了漏洞檢測與處置的功能，可以指定不同的終端進(jìn)行全部、高?；蛘咧付┒吹臋z測，得到每一臺終端的全部漏洞信息，并且可指定漏洞進(jìn)行修復(fù)或者忽略處理。（2）優(yōu)勢說明終端根據(jù)最新的補(bǔ)丁規(guī)則庫進(jìn)行系統(tǒng)補(bǔ)丁檢測，匹配來判斷當(dāng)前是否已經(jīng)進(jìn)行補(bǔ)丁的安裝，同時(shí)終端支持多種方式來獲取最新的補(bǔ)丁安裝包，包括微軟補(bǔ)丁服務(wù)器、深信服官方補(bǔ)丁服務(wù)器、管理平臺以及自定義服務(wù)器。保證在網(wǎng)絡(luò)隔離環(huán)境下，終端也可以通過管理平臺來進(jìn)行補(bǔ)丁的升級。aES產(chǎn)品的漏洞檢測、補(bǔ)丁更新，大大提高了管理效率，增強(qiáng)了終端資產(chǎn)的安全性。3.2.3熱點(diǎn)漏洞熱點(diǎn)漏洞專題會(huì)呈現(xiàn)當(dāng)前時(shí)間線最火熱、最新的漏洞情況，支持推送熱點(diǎn)漏洞預(yù)警、實(shí)現(xiàn)一鍵風(fēng)險(xiǎn)自查。幫助掌握當(dāng)前時(shí)間線最需要關(guān)注的漏洞情況。圖：熱點(diǎn)漏洞3.2.4風(fēng)險(xiǎn)應(yīng)用檢查深信服安全團(tuán)隊(duì)持續(xù)性跟蹤最新的技戰(zhàn)術(shù)情報(bào)和攻擊常用的風(fēng)險(xiǎn)工具，產(chǎn)品基于安裝在服務(wù)器上的防護(hù)Agent，通過靜態(tài)特征和動(dòng)態(tài)行為特征識別技術(shù)，能實(shí)時(shí)捕獲服務(wù)器上安裝的風(fēng)險(xiǎn)應(yīng)用并及時(shí)告警，已支持19項(xiàng)風(fēng)險(xiǎn)應(yīng)用檢測，涵蓋主流攻擊入侵點(diǎn)，讓風(fēng)險(xiǎn)檢測更省心；如：CobaltStrike、DUBrute、DefenderControl、Frp 、Fscan、Gmer、KPortScan、Lazykatz、Masscan、Mimikatz、NLBrute、Nasp、Netpass、PCHunter、PortScan、PowerTool、ProcessHacker、PsExec、WebBrowserPassView 3.2.5弱口令檢查弱口令也稱為弱密碼，深信服aES平臺弱密碼檢測技術(shù)整合了資產(chǎn)發(fā)現(xiàn)、文件解析、密碼獲取、密碼強(qiáng)度判定、二次檢測緩存加速、檢測結(jié)果加密防泄漏、跨平臺兼容等功能，提供了多種類型的弱密碼檢測，支持Windows、Linux，國產(chǎn)化系統(tǒng)，支持多輪加鹽哈希、不加鹽哈希、對稱加密、明文等多種不同方式存放密碼的應(yīng)用，包括：SSH、RDP、MySQL、MongoDB、SVN、Redis、PostgreSQL、WebLogic等17項(xiàng)應(yīng)用，并將持續(xù)增加對更多應(yīng)用的支持。另外，弱密碼檢測技術(shù)還提供自定義弱密碼，密碼消失自動(dòng)備注功能，用戶通過自定義弱密碼可定制更加符合自己的業(yè)務(wù)場景，通過密碼消失自動(dòng)備注能夠自動(dòng)記錄弱密碼變更強(qiáng)密碼或者應(yīng)用卸載不存在弱密碼的修復(fù)時(shí)間。弱密碼檢測技術(shù)針對云主機(jī)資源對互聯(lián)網(wǎng)開放的特點(diǎn)，為云主機(jī)提供全方位、多應(yīng)用的檢測，以降低黑客入侵、數(shù)據(jù)泄露的風(fēng)險(xiǎn)，同時(shí)可以與二次認(rèn)證功能形成對SSH和RDP系統(tǒng)賬號有效的檢出與快速閉環(huán)弱密碼解決方案。圖：弱密碼檢測工作原理圖：RDP與SSH弱密碼解決方案3.2.6合規(guī)基線圖：基線檢查深信服aES平臺合規(guī)基線檢查技術(shù)根據(jù)云主機(jī)資源對互聯(lián)網(wǎng)開放的特點(diǎn)，對云主機(jī)的系統(tǒng)，數(shù)據(jù)庫，web服務(wù)器等基礎(chǔ)資產(chǎn)進(jìn)行安全檢測，并提供安全加固建議和指導(dǎo)方法，以降低黑客入侵、數(shù)據(jù)泄露的風(fēng)險(xiǎn)。深信服aES平臺基線檢查技術(shù)整合了資產(chǎn)發(fā)現(xiàn)，自定義基線項(xiàng)，自定義檢查點(diǎn)，快速掃描，忽略過濾，規(guī)則修復(fù)校驗(yàn)，基線規(guī)則升級迭代，二次檢測緩存加速，規(guī)則和結(jié)果加密防泄漏，跨平臺兼容等功能。3.2.7暴露面梳理

深信服aES平臺通過客戶對內(nèi)網(wǎng)地址和代理的配置，對主機(jī)的網(wǎng)絡(luò)日志進(jìn)行分析，精準(zhǔn)識別和記錄外部對終端的訪問行為，并統(tǒng)計(jì)對外暴露的主機(jī)和端口。幫助客戶提前識別和預(yù)防端口入侵行為。圖：暴露面3.2.8惡性病毒處置修復(fù)近年來病毒數(shù)量呈指數(shù)級增長，病毒類型層出不窮，給企業(yè)級用戶造成了很大的安全威脅。其中，經(jīng)深信服千里目安全實(shí)驗(yàn)室分析，以影響業(yè)務(wù)連續(xù)性卻難以處置的惡性病毒影響尤為突出。此類惡意病毒種類多，變化快，且寄生在用戶業(yè)務(wù)系統(tǒng)的正常文件內(nèi)，處置難度極大。刪除文件導(dǎo)致用戶業(yè)務(wù)停止，不處置則全網(wǎng)泛濫。而傳統(tǒng)病毒檢測采用的是基于靜態(tài)特征分析和規(guī)則匹配的方式，面對多變的惡性病毒，無論是檢測能力還是修復(fù)效果上，都存在明顯的不足。1.

規(guī)則庫資源加重，檢測速度慢隨著病毒數(shù)量、變種的增加，與之對應(yīng)的規(guī)則庫資源大，導(dǎo)致基于規(guī)則匹配的病毒檢測速度慢，性能消耗多，影響用戶的正常辦公。2.

基于特征碼分析，漏報(bào)高傳統(tǒng)基于特征碼分析的病毒檢測方式，其本質(zhì)是對文件的字節(jié)信息等靜態(tài)特征進(jìn)行匹配，像autoCAD這類運(yùn)行時(shí)才大批量感染傳播的惡性病毒，無法基于靜態(tài)特征檢測。此外，新型病毒往往難以及時(shí)提取特征碼，導(dǎo)致檢測失效，漏報(bào)率高。3.處置能力差，難以完全修復(fù)傳統(tǒng)的殺毒軟件，即使在檢測出惡性病毒后，處置方式只能是刪除整個(gè)寄生文件，而無法修復(fù)被感染樣本。例如寄生在office文檔模板中的宏病毒，傳統(tǒng)修復(fù)方案往往需要把文檔中所有的宏均刪除，影響用戶的業(yè)務(wù)連續(xù)性。深信服終端安全管理系統(tǒng)aES基于AI賦能，結(jié)合多維度、輕量級漏斗型檢測框架，通過文件信譽(yù)檢測引擎、基因特征檢測引擎、SAVE安全智能檢測引擎、行為引擎、云查引擎等引擎的層層過濾，惡性病毒檢測更快速更精準(zhǔn)。同時(shí)，根據(jù)不同惡性病毒，進(jìn)行代碼層級的細(xì)粒度修復(fù)，實(shí)現(xiàn)根本性無損修復(fù)。檢測響應(yīng)深信服aES平臺基于對資產(chǎn)的動(dòng)態(tài)監(jiān)控，通過采集進(jìn)程創(chuàng)建，執(zhí)行命令，文件變動(dòng)，系統(tǒng)任務(wù)，監(jiān)聽端口，網(wǎng)絡(luò)連接，系統(tǒng)日志等多種資產(chǎn)關(guān)鍵事件，對入侵行為進(jìn)行持續(xù)監(jiān)控與掃描，提供完備的入侵檢測能力。圖：入侵行為檢測3.3.1高級威脅檢測能力（詳見高級威脅技術(shù)白皮書）傳統(tǒng)主防以規(guī)則為檢測手段，通過規(guī)則發(fā)現(xiàn)攻擊威脅，難以覆蓋高級威脅，例如無文件攻擊、模仿攻擊（Mimicry）以及跨重啟跨長時(shí)間窗口的APT攻擊。深信服高級威脅檢測能力在端側(cè)采集全面的數(shù)據(jù)，包括終端、用戶、文件、進(jìn)程、行為等數(shù)據(jù)。數(shù)據(jù)在本地做分層，聚合有效數(shù)據(jù)上傳至平臺。結(jié)合用戶真實(shí)環(huán)境做上下文強(qiáng)關(guān)聯(lián)分析，提升攻擊研判精準(zhǔn)度。行為檢測基于多事件復(fù)雜關(guān)聯(lián)規(guī)則匹配算法，依靠IOA泛化行為規(guī)則提高已知和未知高級威脅攻擊檢測能力，補(bǔ)充復(fù)雜行為關(guān)聯(lián)檢測領(lǐng)域空白，構(gòu)建行為檢測防御層級，增強(qiáng)多層次縱深防御檢測能力，幫忙用戶有效抵御已知和未知高級威脅攻擊。強(qiáng)關(guān)聯(lián)分析技術(shù)，檢測能力強(qiáng)精準(zhǔn)度高。深信服高級威脅檢測能力使用PG（圖計(jì)算）關(guān)聯(lián)分析技術(shù)，基于用戶真實(shí)環(huán)境結(jié)合數(shù)據(jù)做上下文關(guān)聯(lián)，提升檢測精準(zhǔn)度。對采集到的數(shù)據(jù)收斂，過濾正常場景，提取有效數(shù)據(jù)檢測是否為真正攻擊。檢測精準(zhǔn)率高誤報(bào)低。以可視化事件形式展現(xiàn)攻擊，減少用戶自己做告警關(guān)聯(lián)分析的工作量，讓運(yùn)營人員看得懂用的起來；威脅狩獵，挖掘潛伏攻擊，無漏網(wǎng)攻擊。根據(jù)情報(bào)（IOC）、攻擊信息在全網(wǎng)范圍內(nèi)的狩獵，幫助用戶發(fā)現(xiàn)潛伏攻擊，制止攻擊于前期階段。終端數(shù)據(jù)采集能力強(qiáng)，數(shù)據(jù)采集全，所以可以做到更細(xì)粒度的狩獵。再次幫助用戶發(fā)現(xiàn)漏網(wǎng)攻擊。3.3.1.1豐富的行為數(shù)據(jù)采集系統(tǒng)高級威脅檢測系統(tǒng)中層次關(guān)系，依次是：采集系統(tǒng)與檢測系統(tǒng)。其中采集系統(tǒng)主要包含驅(qū)動(dòng)采集和應(yīng)用層采集：windows主要基于驅(qū)動(dòng)和ETW進(jìn)行行為數(shù)據(jù)的采集，驅(qū)動(dòng)層行為支持行為的同步攔截和異步審計(jì)，ETW主要作為驅(qū)動(dòng)采集的補(bǔ)充。Linux采用驅(qū)動(dòng)方案以及無驅(qū)的混合開發(fā)方案，可支持有驅(qū)與無驅(qū)的動(dòng)態(tài)切換。具體采集字段可參考《深信服Windows主機(jī)日志采集》《深信服Linux主機(jī)日志采集》。功能層-功能層負(fù)責(zé)與監(jiān)控驅(qū)驅(qū)動(dòng)通信并暴露功能（Function）接口給邏輯層，為邏輯層根據(jù)產(chǎn)品需求封裝邏輯提供靈活、完善的支持。邏輯層-利用功能層提供的接口、根據(jù)產(chǎn)品需求封裝邏輯功能，例如文件監(jiān)控、訪問控制、行為分析、數(shù)據(jù)采集等。交互層-交互層充當(dāng)邏輯層與監(jiān)控交互模塊的代理角色，為邏輯層提供交互功能接口。3.3.1.2基于圖分析技術(shù)的行為檢測終端上所有行為操作可以抽象為通過圖數(shù)據(jù)結(jié)構(gòu)表示，我們將這種最小行為描述單元稱為原始行為。終端上全部行為操作集合稱為全局圖，所以全局圖是由全體原始行為組成。攻擊行為圖可以看成是全局圖的一個(gè)子圖，惡意行為規(guī)則匹配是匹配攻擊行為圖上部分節(jié)點(diǎn)和邊的過程。實(shí)時(shí)行為檢測本質(zhì)上可以看作是原始行為數(shù)據(jù)匹配惡意行為規(guī)則過程。準(zhǔn)確的框定攻擊行為范圍是提高檢測準(zhǔn)確率和降低誤報(bào)率關(guān)鍵所在。本方案通過基于圖關(guān)聯(lián)分析技術(shù)和自研Rete規(guī)則匹配算法，能夠支持多個(gè)事件間字段復(fù)雜關(guān)聯(lián)規(guī)則匹配，實(shí)時(shí)的檢測單進(jìn)程、跨進(jìn)程惡意行為攻擊。3.3.1.3文件附件釣魚的免殺檢測、精準(zhǔn)定性與自動(dòng)防護(hù)圖一、附件釣魚攻擊流程圖深信服EDR對釣魚攻擊的檢測不依賴文件特征，而是基于文件被打開或執(zhí)行起來之后的行為進(jìn)行持續(xù)檢測，將整個(gè)攻擊過程的所有行為關(guān)聯(lián)起來后進(jìn)行檢測，可實(shí)現(xiàn)對免殺釣魚的有效檢測。不僅能對免殺釣魚檢測和精準(zhǔn)定性釣魚事件，還可以還原出完整攻擊過程進(jìn)行溯源調(diào)查。圖二、釣魚的自動(dòng)研判定性與防護(hù)當(dāng)端點(diǎn)上檢測到可疑行為后，會(huì)自動(dòng)進(jìn)行溯源。如果來自郵件附件或IM，會(huì)精準(zhǔn)定性為釣魚并將該類事件重點(diǎn)突顯出來，同時(shí)會(huì)自動(dòng)對釣魚后的遠(yuǎn)控等惡意行為進(jìn)行攔截?？勺詣?dòng)防護(hù)，實(shí)現(xiàn)及時(shí)止損，避免被擴(kuò)散打穿。如果沒有自動(dòng)防護(hù)，必須7*24小時(shí)值守和及時(shí)處置響應(yīng)。3.3.2WebShell檢測WebShell是指在被黑客入侵的服務(wù)器上安裝的惡意程序或腳本。WebShell是服務(wù)器場景、內(nèi)網(wǎng)場景的核心安全威脅。圖：WebShell檢測深信服aES平臺WebShell是從腳本文件靜態(tài)分析的角度來確定樣本是否具有惡意行為。在技術(shù)上結(jié)合了語法分析、AI檢測等技術(shù)，可以有效地解決各種WebShell變形、繞過。具有檢出能力強(qiáng)，誤報(bào)低,有效識別未知WebShell等特點(diǎn)。3.3.3反彈Shell檢測反彈shell是數(shù)據(jù)中心場景初始入侵階段重要攻擊手法。當(dāng)黑客得到了受害者服務(wù)器的任意代碼執(zhí)行權(quán)限，下一步大多利用控制端監(jiān)聽在某TCP/UDP端口，被控端發(fā)起請求到該端口，并將其命令行的輸入輸出轉(zhuǎn)到控制端從而獲得一個(gè)交互的shell，利用網(wǎng)絡(luò)概念的客戶端與服務(wù)端的角色反轉(zhuǎn)，解決攻防實(shí)戰(zhàn)中防火墻受限、權(quán)限不足、端口被占用等影響攻擊的情形，從而更好的控制受害者服務(wù)器。深信服aES平臺反彈shell檢測方案基于通過行為事件檢測完備覆蓋了方案數(shù)據(jù)中心場景下攻防實(shí)戰(zhàn)中絕大多的攻擊界面并廣譜、泛化行為事件之間的執(zhí)行流、數(shù)據(jù)流關(guān)聯(lián)。針對每一類基本反彈手法沉淀了大量的HW攻防對抗手法的經(jīng)驗(yàn)，有效提升了實(shí)戰(zhàn)攻防技術(shù)門檻。引入了進(jìn)程間fdpipe鏈關(guān)聯(lián)檢測，通過識別進(jìn)程間fdpipe鏈數(shù)據(jù)構(gòu)成特定的src/sink流向異常來從更深層本質(zhì)層次識別識別反彈shell攻擊手法。引入了實(shí)時(shí)內(nèi)存特征檢測技術(shù)，可以精準(zhǔn)識別內(nèi)存注入類的反彈shellshellcode以及Payload特征，從而補(bǔ)全反彈shell威脅圖譜檢測技術(shù)棧。圖：反彈shell檢測方案3.3.4內(nèi)存馬檢測（詳見內(nèi)存馬檢測技術(shù)白皮書）內(nèi)存馬”也被稱為“無文件馬”，是一種僅存在于內(nèi)存中的無文件惡意代碼。圖：內(nèi)存馬檢測范圍圖：內(nèi)存馬檢測框架深信服aES平臺內(nèi)存檢測方案通過對目標(biāo)進(jìn)程的無侵入式的內(nèi)存特征掃描技術(shù)可以第一時(shí)間發(fā)現(xiàn)并精準(zhǔn)確認(rèn)內(nèi)存木馬攻擊。深信服通過深入研究分析WebSehll管理工具之后，完備收集并持續(xù)追蹤其在后滲透階段可能在服務(wù)器機(jī)器上執(zhí)行的操作特征，通過全量檢測活躍在內(nèi)存空間中的代碼來對惡意行為進(jìn)行捕獲，此方案具有很高的檢出率以及極低的誤報(bào)率。目前Web內(nèi)存馬檢測方案支持檢測包括但不限于命令執(zhí)行，Jar文件加載，shellcode注入，自定義代碼執(zhí)行等在內(nèi)的多種危害性極大的惡意行為。同時(shí)也會(huì)覆蓋多種常見的黑客工具如MetaSploit，CobaltStrike等隱蔽攻擊發(fā)現(xiàn)。3.3.5暴力破解檢測深信服aES平臺暴力破解支持單點(diǎn)爆破和分布式爆破檢測，通過實(shí)時(shí)監(jiān)控登錄行為，可及時(shí)發(fā)現(xiàn)黑客使用不同服務(wù)嘗試暴力破解用戶登錄密碼的攻擊行為。單點(diǎn)爆破，分布式爆破支持加入白名單、封堵IP、隔離主機(jī)等響應(yīng)處置方法。暴力破解支持自定義檢測、處置、封堵規(guī)則，可以靈活的根據(jù)特定資產(chǎn)設(shè)置不同安全等級、不同敏感度的檢測和處置措施。圖：單點(diǎn)爆破檢測圖：分布式爆破檢測3.3.6異常命令檢測深信服aES平臺異常命令檢測是指檢測主機(jī)上執(zhí)行的非常規(guī)命令。這類命令的特點(diǎn)是常規(guī)業(yè)務(wù)使用頻率極低而黑客使用頻率較高。深信服云主機(jī)安全保護(hù)平臺基于歷史威脅檢測數(shù)據(jù)實(shí)現(xiàn)了一套精細(xì)的規(guī)則來匹配異常的命令。3.3.7權(quán)限提升檢測深信服aES平臺權(quán)限提升檢測是指檢測黑客利用漏洞或者主機(jī)上的不當(dāng)配置提升自身進(jìn)程權(quán)限的行為，支持4種類型的提權(quán)檢測能力：利用sudo、su漏洞提權(quán)；利用配置不當(dāng)?shù)膕uid程序提權(quán)；利用配置不當(dāng)?shù)膁ocker提權(quán)；利用系統(tǒng)內(nèi)核漏洞提權(quán)?？梢愿采w到linux上絕大部分的提權(quán)檢測手法。3.3.8端口轉(zhuǎn)發(fā)檢測 深信服aES平臺端口轉(zhuǎn)發(fā)檢測是指檢測黑客利用ssh、iptable進(jìn)行端口轉(zhuǎn)移的行為。攻擊者利用這種方式達(dá)到減少對外連接、隱藏訪問關(guān)系的目的。端口檢測通過檢測異常開啟的端口與ssh等進(jìn)程的關(guān)聯(lián)關(guān)系來檢測這種行為。3.3.9遠(yuǎn)程命令執(zhí)行檢測WebRCE是指，攻擊者利用WebServer、中間件、Web框架等出現(xiàn)的漏洞或者弱口令等方式拿到遠(yuǎn)程服務(wù)器應(yīng)用的執(zhí)行權(quán)限包括但不限于命令執(zhí)行、文件操作、網(wǎng)絡(luò)外聯(lián)等攻擊手法。圖：WebRCE檢測技術(shù)總體架構(gòu)深信服aES平臺WebRCE檢測技術(shù)通過采集服務(wù)器主機(jī)包括Linux、Windows等平臺下文件、網(wǎng)絡(luò)、進(jìn)程、注冊表等系統(tǒng)行為信息，檢測多行為事件中間的數(shù)據(jù)流、執(zhí)行流等深度關(guān)聯(lián)來發(fā)現(xiàn)WebRCE攻擊威脅。WebRCE檢測覆蓋了方案數(shù)據(jù)中心場景下攻防實(shí)戰(zhàn)中絕大多的攻擊界面諸如數(shù)據(jù)庫類，Web應(yīng)用類，辦公自動(dòng)化類等幾十種常見的應(yīng)用服務(wù)，針對常見的編碼混淆、惡意下載、文件行為、信息收集、網(wǎng)絡(luò)外聯(lián)、腳本執(zhí)行、系統(tǒng)駐留等十幾類的ATT&CK攻擊手法，支持常見行為對抗繞過，具備廣譜、泛化的檢測能力。同時(shí)WebRCE方案針對每一個(gè)WebRCE告警，提供了諸如威脅發(fā)生時(shí)的進(jìn)程樹、進(jìn)程命令行參數(shù)、受害主機(jī)等WebRCE威脅以及上下文關(guān)鍵信息，支持因果舉證，高亮行為規(guī)則判定依據(jù)。3.3.10訪問惡意地址檢測深信服aES平臺訪問惡意地址檢測會(huì)監(jiān)控主機(jī)上的網(wǎng)絡(luò)請求，如果有對惡意ip或者惡意域名的網(wǎng)絡(luò)訪問，則會(huì)告警。通常挖礦病毒與遠(yuǎn)控木馬會(huì)與黑客控制的服務(wù)器進(jìn)行網(wǎng)絡(luò)信息傳輸。深信服通過大數(shù)據(jù)和自身的威脅情報(bào)系統(tǒng)，能準(zhǔn)確識別惡意的ip與域名；并支持實(shí)時(shí)上報(bào)3.3.11異常登錄檢測深信服aES平臺異常登錄檢測包含異常時(shí)間登錄的檢測與異常地址登錄的檢測。異常的登錄行為通常與黑客行為相關(guān)聯(lián)。3.3.12異常掃描檢測異常掃描是指黑客在內(nèi)網(wǎng)滲透過程中，使用端口掃描工具對其他主機(jī)的敏感端口進(jìn)行連通性測試，從而尋找攻擊入口點(diǎn)。深信服aES平臺異常掃描檢測通過監(jiān)控主機(jī)的網(wǎng)絡(luò)連接和監(jiān)控常規(guī)掃描工具進(jìn)程啟動(dòng)行為，可以穩(wěn)定有效的檢測出主機(jī)上正在運(yùn)行的端口掃描工具。3.3.13網(wǎng)絡(luò)蜜罐網(wǎng)絡(luò)蜜罐通過模擬真實(shí)系統(tǒng)或應(yīng)用程序，以吸引攻擊者并收集他們的攻擊數(shù)據(jù)。網(wǎng)絡(luò)蜜罐的價(jià)值在于以下幾個(gè)方面：收集攻擊數(shù)據(jù)：網(wǎng)絡(luò)蜜罐可以收集攻擊者的攻擊數(shù)據(jù)，包括攻擊方法、攻擊工具、攻擊目標(biāo)等信息，這些信息對于安全團(tuán)隊(duì)分析攻擊行為和制定防御策略非常有價(jià)值。提高安全意識：網(wǎng)絡(luò)蜜罐可以幫助安全團(tuán)隊(duì)了解攻擊者的攻擊手段和目的，從而提高安全意識，加強(qiáng)安全防御。降低風(fēng)險(xiǎn)：通過使用網(wǎng)絡(luò)蜜罐，安全團(tuán)隊(duì)可以在真實(shí)系統(tǒng)之外提供一個(gè)安全的環(huán)境，以吸引攻擊者，從而降低真實(shí)系統(tǒng)受到攻擊的風(fēng)險(xiǎn)。改善安全策略：網(wǎng)絡(luò)蜜罐可以幫助安全團(tuán)隊(duì)了解攻擊者的攻擊行為和目的，從而改善安全策略，提高安全防御能力。3.3.14行為偏離預(yù)警行為偏離預(yù)警是深信服創(chuàng)新研究院提出的一套安全建設(shè)理念，旨在通過“鑒白”的思想，以自動(dòng)化構(gòu)建最小化行為集合為主要管控手段，可實(shí)現(xiàn)攻擊手法的高效檢測、準(zhǔn)確響應(yīng)和風(fēng)險(xiǎn)預(yù)測。應(yīng)用的行為包括應(yīng)用內(nèi)外，涵蓋文件、網(wǎng)絡(luò)、進(jìn)程、關(guān)鍵內(nèi)部API調(diào)用。值得說明的是，不論應(yīng)用內(nèi)行為還是應(yīng)用外行為，行為的主體都是服務(wù)器上開放端口的進(jìn)程，如URL等只是進(jìn)程的某個(gè)屬性。行為偏離預(yù)警能夠?qū)崿F(xiàn)的價(jià)值如下：能夠比較強(qiáng)地檢測出通過開放的應(yīng)用導(dǎo)致的攻擊行為，包括0day。對遠(yuǎn)程代碼執(zhí)行漏洞、任意文件上傳漏洞、任意文件讀取漏洞、javaweb應(yīng)用的SQL注入漏洞具備比較強(qiáng)的檢測能力。能夠歸納收斂當(dāng)前應(yīng)用產(chǎn)生的文件、網(wǎng)絡(luò)、進(jìn)程行為，并支持展示，可以供用戶對自身服務(wù)的行為有一個(gè)比較好把控，特別是服務(wù)對外有哪些網(wǎng)絡(luò)連接的功能對客戶資產(chǎn)行為梳理能起到比較大的作用。3.3.15powershell執(zhí)行無文件攻擊方式利用powershell的命令加載惡意代碼，利用powershell執(zhí)行的方式繞過傳統(tǒng)殺軟的檢測與防護(hù)，該方式快速且具有隱秘性，不易被察覺，被廣泛利用于挖礦，竊密等非法行為上。深信服aES能夠準(zhǔn)確攔截powershell的對惡意代碼的執(zhí)行，實(shí)現(xiàn)實(shí)時(shí)準(zhǔn)確阻斷，防止用戶主機(jī)被利用破壞。安全防御3.4.1防病毒&防勒索3.4.1.1文件信譽(yù)檢測引擎基于傳統(tǒng)的文件hash值建立的輕量級信譽(yù)檢測引擎，主要用于加快檢測速度并有更好的檢出效果，主要有兩種機(jī)制：a、本地緩存信譽(yù)檢測：對終端主機(jī)本地已經(jīng)檢測出來的已知文件檢測結(jié)果緩存處理，加快二次掃描，優(yōu)先檢測未知文件。b、全網(wǎng)信譽(yù)檢測：在管理平臺上構(gòu)建企業(yè)全網(wǎng)的文件信譽(yù)庫，對單臺終端上的文件檢測結(jié)果匯總到平臺，做到一臺發(fā)現(xiàn)威脅，全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡(luò)中的檢測重點(diǎn)落到對未知文件的分析上，減少對已知文件重復(fù)檢測的資源開銷。3.4.1.2基因特征檢測引擎深信服aES的安全運(yùn)營團(tuán)隊(duì)，根據(jù)安全云腦和aES產(chǎn)品的數(shù)據(jù)運(yùn)營，對熱點(diǎn)事件的病毒家族進(jìn)行基因特征的提取，洞見威脅本質(zhì)，使之能應(yīng)對檢測出病毒家族的新變種。相比一般的靜態(tài)特征，基因特征提取更豐富的特征，家族識別更精準(zhǔn)。3.4.1.3SAVE人工智能引擎（1）原理介紹SAVE（SangforAI-basedVanguardEngine）是由深信服創(chuàng)新研究院的博士團(tuán)隊(duì)聯(lián)合aES產(chǎn)品的安全專家，以及安全云腦的大數(shù)據(jù)運(yùn)營專家，共同打造的人工智能惡意文件檢測引擎。該引擎利用深度學(xué)習(xí)技術(shù)對數(shù)億維的原始特征進(jìn)行分析和綜合，結(jié)合安全專家的領(lǐng)域知識，最終挑選了數(shù)千維最有效的高維特征進(jìn)行惡意文件的鑒定。（2）SAVE的核心理念高層特征，穩(wěn)定可靠在現(xiàn)實(shí)世界，不同病毒變種間的底層二進(jìn)制代碼片段在不斷變換。為了識別未知病毒威脅，SAVE不再依賴于前述傳統(tǒng)方法依賴的字節(jié)級特征，而是使用AI技術(shù)提取穩(wěn)定、可靠的高層次特征。當(dāng)病毒變種間為了實(shí)現(xiàn)相似乃至相同的病毒功能，他們代碼的高層次語義特征往往是相似的（如圖1a和1b所示）。正是基于對病毒演化本質(zhì)的深入理解，SAVE通過神經(jīng)網(wǎng)絡(luò)等多種機(jī)器學(xué)習(xí)算法自動(dòng)提取高層次特征。深度神經(jīng)網(wǎng)絡(luò)是由多層的非線性神經(jīng)元構(gòu)成的網(wǎng)絡(luò)計(jì)算模型，它模擬了生物神經(jīng)系統(tǒng)的鏈接方式，能夠在系統(tǒng)中有效、快速的傳遞有效信息（如上圖所示）。深度神經(jīng)網(wǎng)絡(luò)的強(qiáng)大之處在于：通過學(xué)習(xí)海量的正常文件樣本和病毒文件樣本，它能自動(dòng)地、逐層地凝練更高層次的特征。比如說，信息在網(wǎng)絡(luò)傳遞的過程中，其表征的含義從最開始輸入的文件字節(jié)特征（識別一個(gè)字節(jié)），逐漸進(jìn)化到語句特征(識別一個(gè)指令)，函數(shù)特征（識別一個(gè)函數(shù)）和語義特征（識別一個(gè)操作/行為，比如勒索病毒通常具有的加密操作），最后完全自動(dòng)化的構(gòu)建出穩(wěn)定可靠的高層次病毒特征。實(shí)中，取決于網(wǎng)絡(luò)結(jié)構(gòu)和深度的不同，信息演化的路徑不盡相同，但大體上是沿著這樣的方式。比起只利用字節(jié)特征的傳統(tǒng)方案形成明顯優(yōu)勢，SAVE具有很強(qiáng)的泛化能力。能夠更好的識別未曾見過的病毒樣本，抵御抗病毒變種和新病毒家族等未知威脅。博采眾長，各個(gè)擊破病毒有非常多的家族和類型，不同類型間惡意行為差異很大，很難通過單一模型對所有病毒都有很好的識別效果。為了解決這一問題，我們一方面進(jìn)行了精細(xì)的特征工程。公司的病毒專家在多年的實(shí)戰(zhàn)中，總結(jié)了很多病毒檢測的有效特征，識別經(jīng)驗(yàn)以及技巧。SAVE除了通過深度神經(jīng)網(wǎng)絡(luò)從原始文件信息中自動(dòng)構(gòu)建高層次特征，也會(huì)使用主成分分析（PCA）等方法從病毒專家多年積累的經(jīng)驗(yàn)中，提取高層次特征。另一方面，我們的決策模塊也通過集成學(xué)習(xí)框架，綜合了深度神經(jīng)網(wǎng)絡(luò)、隨機(jī)森林、支持向量機(jī)等多個(gè)機(jī)器學(xué)習(xí)決策模型，對文件作出精確分類。比如說，某些模型對于勒索病毒有很高的檢出率，某些模型對于木馬有很高的檢出率。集成學(xué)習(xí)機(jī)制可以自動(dòng)識別各個(gè)模型的優(yōu)勢，相互補(bǔ)充，達(dá)到對所有病毒的檢出率最優(yōu)。左右互搏，持續(xù)演進(jìn)除了使用AI技術(shù)大幅提升檢測能力，SAVE還在云端通過生成對抗網(wǎng)絡(luò)（GAN）的思想（如圖3），采用“左右互搏”的方式持續(xù)學(xué)習(xí)，增強(qiáng)模型健壯性和檢測能力。一方面，GAN框架中的“生成器”模塊能夠模擬病毒變種的制作過程，不斷生成新的病毒變種文件，以逃逸當(dāng)前版本引擎的檢測。這些病毒文件將為SAVE持續(xù)提供模擬未知威脅的訓(xùn)練數(shù)據(jù)，促使SAVE不斷加強(qiáng)對未知威脅的檢測能力。另一方面，SAVE的檢測結(jié)果也會(huì)反饋給“生成器”，促使其生成更有威脅的病毒文件。通過兩個(gè)模塊的循環(huán)促進(jìn)，提升SAVE的檢測能力。SAVE的檢測架構(gòu)上圖描述了SAVE的本地檢測框架。首先，SAVE會(huì)從文件的頭、節(jié)、資源和簽名等多個(gè)部分提取信息，作為判別輸入。對于原始二進(jìn)制文件，SAVE通過多種方法（詞向量嵌入，主成分分析，深度神經(jīng)網(wǎng)絡(luò)等）提取出信息量豐富、類間界限明顯，穩(wěn)定可靠的的高層次向量化特征?；谔卣飨蛄浚琒AVE利用集成學(xué)習(xí)，綜合多種分類算法（隨機(jī)森林，神經(jīng)網(wǎng)絡(luò)，支持向量機(jī)等）進(jìn)行鑒定。最后，綜合評分系統(tǒng)整合各模型檢測結(jié)果，綜合判斷文件黑白屬性。（3）優(yōu)勢說明強(qiáng)大的泛化能力，甚至能夠做到在不更新模型的情況下識別新出現(xiàn)的未知病毒；對勒索病毒檢測達(dá)到業(yè)界領(lǐng)先的檢出率，包括影響廣泛的WannaCry、BadRabbit等病毒；云+端聯(lián)動(dòng)，依托于深信服安全云腦基于海量大數(shù)據(jù)的運(yùn)營分析，SAVE能夠持續(xù)進(jìn)化，不斷更新模型并提升檢測能力，從而形成本地傳統(tǒng)引擎、人工智能檢測引擎和云端查殺引擎的完美結(jié)合。3.4.1.4勒索病毒動(dòng)靜態(tài)立體防護(hù)新型勒索病毒層出不窮，全球各大企業(yè)遭受勒索病毒的事件持續(xù)發(fā)生，給各行各業(yè)造成了巨額的經(jīng)濟(jì)損失。據(jù)深信服云腦數(shù)據(jù)統(tǒng)計(jì)，深信服的安全團(tuán)隊(duì)在2020年已應(yīng)急響應(yīng)了數(shù)千起勒索事件，面對復(fù)雜的勒索病毒攻擊鏈，傳統(tǒng)的防護(hù)方案失效安全形式不容樂觀。勒索病毒的攻擊鏈一般分為三大步：感染病毒、加密勒索、橫向傳播，首先進(jìn)行病毒從外網(wǎng)到內(nèi)網(wǎng)的感染，然后漏洞利用提權(quán)加密勒索，最后威脅橫向持續(xù)擴(kuò)散。面對復(fù)雜的勒索病毒攻擊，傳統(tǒng)的防護(hù)方案難以防住。病毒感染難預(yù)防：由于病毒更新快速，變種多，并使用無需落地到磁盤的無文件攻擊方式；傳統(tǒng)基于特征檢測的殺毒軟件無法及時(shí)察覺，難以發(fā)現(xiàn)。加密勒索難定位：在進(jìn)入內(nèi)網(wǎng)后，開始運(yùn)行加密程序，而內(nèi)網(wǎng)資產(chǎn)數(shù)量龐大，一旦被加密，傳統(tǒng)防護(hù)方案網(wǎng)端割裂，無法聯(lián)動(dòng)并快速分析病毒的傳播環(huán)節(jié)，定位到所有感染主機(jī)。橫向傳播難控制：通過RDP遠(yuǎn)程爆破登錄，并迅速擴(kuò)散；即使檢測出了勒索病毒，但無法找到感染的根因，無法控制，即使業(yè)務(wù)系統(tǒng)恢復(fù)后，也有可能導(dǎo)致再次感染。深信服aES基于主流攻擊方式的技術(shù)研究，以及勒索病毒攻擊鏈原理分析，覆蓋勒索病毒全生命周期，提供預(yù)防、防御、檢測與響應(yīng)三個(gè)階段的4-6-6三層立體防護(hù)，滿足Gartner的安全要求，為終端提供全面、實(shí)時(shí)、快速、有效的安全防護(hù)能力，讓勒索病毒無所遁形，保護(hù)組織終端業(yè)務(wù)安全。3.4.1.5勒索靜態(tài)文件AI引擎（1）原理介紹多智能體模型推薦算法架構(gòu)，未知勒索高檢出病毒變種千變?nèi)f化，僅實(shí)現(xiàn)已知病毒檢測能力，在實(shí)際應(yīng)用中不足以滿足客戶對終端安全的保障需求?；谶@一目的，深信服aES在新版本引入多智能體模型推薦架構(gòu)增強(qiáng)未知病毒的檢測能力，通過對AI模型(隨機(jī)森林和神經(jīng)網(wǎng)絡(luò))深度和層級的加深，增強(qiáng)了AI模型泛化性和檢出精度。同時(shí)，多智能體模型推薦架構(gòu)不僅依賴于原有提取的通用性特征，同時(shí)新增AI技術(shù)對罕見性特征進(jìn)行深度提取，獲得更為穩(wěn)定、可靠的高層次特征。能夠更好的識別未曾見過的病毒樣本，抵御新型抗病毒變種和新病毒家族等未知病毒。優(yōu)勢說明深信服aES在新版本對未知勒索威脅的檢測能力進(jìn)行全新升級，引入多智能體模型推薦架構(gòu)增加AI泛化能力，對可疑文件進(jìn)行多重AI檢測，提升對未知威脅的檢測能力，同時(shí)對判黑的威脅文件通過可拔插式AI判別是否為勒索病毒。可以清楚的告知客戶幫其防住了勒索病毒，提升客戶感知。通過對抗性AI訓(xùn)練，深信服aES對勒索的精準(zhǔn)率已提升到99.47%，暫居國內(nèi)top1。用戶可直觀地掌握內(nèi)網(wǎng)終端是否中了勒索病毒，影響范圍有多大，快速采取響應(yīng)措施。技術(shù)優(yōu)勢如下：海量高質(zhì)量樣本：深信服擁有大量企業(yè)客戶，而這些客戶是勒索的重災(zāi)區(qū)，深信服在響應(yīng)的同時(shí)獲得了大量勒索軟件樣本數(shù)據(jù)。并且深信服有專門的勒索研究團(tuán)隊(duì)，能夠針對這類高質(zhì)量樣本進(jìn)行數(shù)據(jù)預(yù)處理及特征篩選，最大限度保證機(jī)器學(xué)習(xí)的效果；訓(xùn)練算法突破：深信服在算法上再進(jìn)步（多智能體模型算法推薦架構(gòu)），使得AI模型效果盡可能最優(yōu)。并在訓(xùn)練平臺上再改進(jìn)，通過分布式訓(xùn)練平臺，實(shí)現(xiàn)可訓(xùn)練樣本提升3.5倍，實(shí)現(xiàn)模型效果顯著提升，同時(shí)檢出下誤報(bào)下降5倍；高效迭代：深信服由于加大資源投入及技術(shù)積累/進(jìn)步，原來由一年一次的AI模型更新提前到三個(gè)月一次，更新及發(fā)布周期頻率加快，勒索檢測效果再度提升；雙AI技術(shù)模型：除通用惡意文件AI檢測模型之外，深信服專門針對勒索病毒開發(fā)了專用的勒索AI檢測模型。大小模型結(jié)合，識別效果更精準(zhǔn)；引擎能力端側(cè)落地：深信服是國內(nèi)為數(shù)不多的能在終端側(cè)落地AI檢測能力的廠商，保證檢測防護(hù)時(shí)效性，檢測效果不受網(wǎng)絡(luò)、并發(fā)情況影響，離線也能精準(zhǔn)檢測。3.4.1.6勒索動(dòng)態(tài)行為AI引擎（1）原理介紹國內(nèi)首創(chuàng)通用白進(jìn)程利用勒索防護(hù)，信任區(qū)勒索防護(hù)。全新獨(dú)家上線“勒索行為AI引擎”，客戶就算被黑客攻陷，都能夠在勒索載荷落地執(zhí)行階段防住，AI引擎通過對主流勒索病毒加密行為的學(xué)習(xí)、檢測、打分，能夠精確定位勒索攻擊行為，實(shí)現(xiàn)自動(dòng)阻斷，遏制勒索蔓延。病毒加殼、混淆、注入白進(jìn)程等繞過手段層出不窮，靜態(tài)防護(hù)存在能力邊界，總有部分勒索病毒通過某種方式執(zhí)行起來，造成用戶數(shù)據(jù)損失。若在病毒執(zhí)行初始階段，發(fā)現(xiàn)并阻止加密進(jìn)程，能夠有效保護(hù)數(shù)據(jù)進(jìn)一步受損，為此提出基于行為的勒索病毒檢測方案。通過采集用戶操作系統(tǒng)進(jìn)程調(diào)用的API序列、進(jìn)程動(dòng)作序列、文件操作行為序列，并基于專家知識完成可疑行為模式篩選，最終采用模型融合的方式，實(shí)現(xiàn)勒索行為的高精度識別。勒索行為檢測流程如下：勒索行為檢測過程其中行為模型產(chǎn)出步驟如下圖所示，根據(jù)API序列、進(jìn)程動(dòng)作、文件操作等原始數(shù)據(jù)構(gòu)建行為圖，行為圖有助于發(fā)現(xiàn)不同行為之間存在的映射關(guān)系，基于該圖對行為本身、行為操作對象進(jìn)行量化，形成可計(jì)算的行為向量，而行為作為一種序列化的數(shù)據(jù)，需要具備針對長序列的處理方案，這里采用時(shí)序網(wǎng)絡(luò)對長序列進(jìn)行Embedding，進(jìn)一步地完成行為向量壓縮與行為特征提取。至此獲得了已采集數(shù)據(jù)的特征向量，后續(xù)結(jié)合貝葉斯分類、SVM、決策樹等多個(gè)模型完成最終的分類任務(wù)。（2）優(yōu)勢說明通過分析勒索攻擊事件攻擊過程，采集其一系列可疑操作行為（如注冊表修改、執(zhí)行命令、釋放文件、創(chuàng)建進(jìn)程等），針對不同勒索家族類型的攻擊步驟進(jìn)行關(guān)聯(lián)分析，構(gòu)建定制化攻擊事件鏈條。實(shí)現(xiàn)勒索攻擊過程中攻擊模式抽取，若在端側(cè)匹配到相應(yīng)攻擊模式，則能夠?qū)崿F(xiàn)勒索加密發(fā)生前對勒索病毒的阻斷，保護(hù)用戶數(shù)據(jù)遭受損失。3.4.1.7防勒索動(dòng)態(tài)備份回滾（1）原理介紹備份恢復(fù)技術(shù)用于對抗勒索病毒很有效，因?yàn)橛捎谡`操作、安全策略配置不當(dāng)可能導(dǎo)致檢測、防護(hù)能力被繞過，所以還需要備份恢復(fù)能力做技術(shù)兜底。區(qū)別于傳統(tǒng)備份系統(tǒng)，aES動(dòng)態(tài)備份回滾不存在以下問題：搭建備份系統(tǒng)部署周期久，投入較大，對系統(tǒng)資源占用較大；備份系統(tǒng)不具備識別勒索加密文件的能力，無論文件是否被加密，備份系統(tǒng)都會(huì)進(jìn)行備份，不僅增加系統(tǒng)的資源占用，而且會(huì)導(dǎo)致備份系統(tǒng)中數(shù)據(jù)受到污染；備份系統(tǒng)無法防范勒索攻擊，勒索病毒同樣會(huì)破壞備份數(shù)據(jù)，導(dǎo)致備份系統(tǒng)的數(shù)據(jù)庫無法使用，給客戶造成嚴(yán)重的數(shù)據(jù)損失。為解決上述問題，aES創(chuàng)新研發(fā)基于行為AI的防勒索動(dòng)態(tài)備份能力，實(shí)現(xiàn)原理如下：防勒索系統(tǒng)安裝后，任何文件的操作均會(huì)觸發(fā)防勒索的安全檢查，可信應(yīng)用文件操作放行，非可信應(yīng)用文件操作將觸發(fā)備份動(dòng)作，在備份入庫前，防勒索系統(tǒng)會(huì)檢查入庫數(shù)據(jù)的安全性，通過文件名、后綴名、信息熵、方差值完成文件是否被勒索加密的判斷。我們知道，勒索病毒加密的文件會(huì)被修改文件名、后綴名，文件的熵值和方差值會(huì)發(fā)生顯著變化，基于此防勒索系統(tǒng)可識別被勒索加密的文件，已經(jīng)被勒索加密的文件將直接丟棄，并對操作該文件的進(jìn)程進(jìn)行終止和隔離操作，被識別為正常的數(shù)據(jù)文件則經(jīng)過重復(fù)檢查后進(jìn)入備份區(qū)。此外，勒索事中數(shù)據(jù)智能備份機(jī)制，數(shù)據(jù)智能備份機(jī)制并非是全盤備份，而是配合勒索行為AI引擎經(jīng)過巧妙設(shè)計(jì)按需觸發(fā)，既可以實(shí)現(xiàn)勒索病毒的精準(zhǔn)防范，又能備份緩解勒索行為AI引擎攔截時(shí)損失的少量文件，還能確保最小的系統(tǒng)資源消耗。（2）優(yōu)勢說明基于AI的智能備份：深信服EDR勒索備份機(jī)制基于深信服EDR勒索AI引擎，對勒索行為實(shí)現(xiàn)智能化、高準(zhǔn)確、低誤報(bào)識別，確保備份模塊按需啟動(dòng)，完美結(jié)合可用性與安全性，大幅降低終端勒索備份復(fù)雜性。多層防護(hù)，精準(zhǔn)檢測：深信服EDR勒索行為檢測以勒索行為AI引擎為基礎(chǔ)，在國內(nèi)居于領(lǐng)先地位，而勒索備份機(jī)制以勒索行為檢測為核心，通過未知勒索病毒靜態(tài)檢測，勒索誘餌防護(hù)，黑客工具防護(hù)，內(nèi)存掃描防護(hù)，無文件攻擊防護(hù)以及遠(yuǎn)程登錄防護(hù)在事前對終端進(jìn)行整體防護(hù)；在事中通過動(dòng)態(tài)引擎對勒索行為進(jìn)行檢測與防護(hù)，并且以檢測結(jié)果為基礎(chǔ)，通過小文件實(shí)時(shí)備份與關(guān)鍵目錄隔離防護(hù)對小微文件與關(guān)鍵的業(yè)務(wù)目錄進(jìn)行備份與勒索防御；在事后通過終端一鍵回滾完成對被加密文件的回滾與恢復(fù)；形成多層次，高精準(zhǔn)防護(hù)機(jī)制，實(shí)現(xiàn)對客戶終端環(huán)境的全面防護(hù)。低成本，省心可靠：深信服EDR對文件實(shí)現(xiàn)精準(zhǔn)按需備份，靜態(tài)增量快照減少終端占用資源，進(jìn)而降低用戶辦公感知，對客戶日常業(yè)務(wù)不造成影響；并且將所有備份存儲在終端本地，不增加外部存儲從而大幅降低成本。防御閉環(huán)，一鍵回滾：對勒索行為事件，通過智能檢測，主動(dòng)防御，一鍵回滾形成終端防勒索閉環(huán)，大幅降低終端勒索風(fēng)險(xiǎn)。3.4.1.8勒索誘餌防護(hù)（1）原理介紹勒索病毒在入侵主機(jī)會(huì)進(jìn)行橫向傳播擴(kuò)散，影響范圍十分廣泛，一臺終端重病，全網(wǎng)業(yè)務(wù)癱瘓。深信服aES通過在系統(tǒng)關(guān)鍵目錄，放置誘餌文件，并且保證這些誘餌文件會(huì)被優(yōu)先枚舉到。當(dāng)有勒索程序?qū)φT餌文件進(jìn)行修改或刪除時(shí)，將觸發(fā)驅(qū)動(dòng)攔截該進(jìn)程行為，并將該進(jìn)程信息上報(bào)給應(yīng)用層進(jìn)行病毒文件查殺。（2）優(yōu)勢說明針對性的勒索誘捕方案，主動(dòng)進(jìn)行勒索病毒的防御，及時(shí)阻止勒索病毒的大范圍傳播，全面阻止業(yè)務(wù)不可逆終端，保護(hù)主機(jī)安全。3.4.1.9服務(wù)器遠(yuǎn)程登錄防護(hù)（1）原理介紹RDP、SSH遠(yuǎn)程暴破登錄是目前黑客攻擊的常用手段之一，而企業(yè)運(yùn)維管理人員常因?yàn)榉?wù)器眾多，為方便管理運(yùn)維而使用安全性較低的登錄密碼，極容易爆破而導(dǎo)致被勒索。深信服aES推出服務(wù)器遠(yuǎn)程登錄的多因素認(rèn)證技術(shù)，通過監(jiān)聽RDP、SSH會(huì)話消息，當(dāng)檢測到有新會(huì)話接入時(shí)，自動(dòng)切換到二次認(rèn)證桌面，該桌面只有二次密碼驗(yàn)證的窗口，僅允許輸入密碼驗(yàn)證，禁止其他操作。也支持僅允許指定IP或網(wǎng)段的主機(jī)訪問服務(wù)器，實(shí)現(xiàn)服務(wù)器遠(yuǎn)程登錄的統(tǒng)一認(rèn)證管理。（2）優(yōu)勢說明通過服務(wù)器遠(yuǎn)程登錄防護(hù)，預(yù)防黑客通過RDP、SSH爆破方式攻擊服務(wù)器，大大減少了被勒索病毒入侵從而導(dǎo)致業(yè)務(wù)癱瘓、經(jīng)濟(jì)受損等風(fēng)險(xiǎn)，為組織提供全面的勒索立體防護(hù)。3.4.1.10服務(wù)器可信進(jìn)程加固防護(hù)企業(yè)服務(wù)器常承載關(guān)鍵業(yè)務(wù)運(yùn)行，系統(tǒng)極少運(yùn)行與業(yè)務(wù)無關(guān)的進(jìn)程，因此為防止非法進(jìn)程運(yùn)行占用系統(tǒng)資源干擾業(yè)務(wù)。aES推出的基于可信進(jìn)程的加固防護(hù)技術(shù)，實(shí)現(xiàn)從進(jìn)程學(xué)習(xí)、可信進(jìn)程確認(rèn)到可信進(jìn)程生效的防護(hù)策略，既支持服務(wù)器全系統(tǒng)可信進(jìn)程防護(hù)，也支持指定服務(wù)器目錄防護(hù)，從而阻止非可信進(jìn)程的運(yùn)行。可信進(jìn)程加固包括兩個(gè)步驟，首先是學(xué)習(xí)階段，在該階段主要是采集終端運(yùn)行過的所有的進(jìn)程信息，學(xué)習(xí)停止后，由用戶根據(jù)采集到的進(jìn)程信息進(jìn)一步確認(rèn)并生成可信進(jìn)程的規(guī)則；第二階段是加固生效階段，可信進(jìn)程規(guī)則下發(fā)到終端上，終端在系統(tǒng)內(nèi)核中監(jiān)控進(jìn)程的創(chuàng)建行為，當(dāng)檢測到新進(jìn)程創(chuàng)建，獲取進(jìn)程信息并與可信進(jìn)程規(guī)則進(jìn)行匹配，如果匹配失敗，則阻斷進(jìn)程的創(chuàng)建行為。3.4.2應(yīng)用安全防護(hù)RASP（詳見RASP技術(shù)白皮書）“Runtimeapplicationself-protection”簡稱為RASP，屬于一種新型應(yīng)用安全保護(hù)技術(shù)，它將防護(hù)功能"注入"到應(yīng)用程序中，與應(yīng)用程序融為一體，通過Hook少量關(guān)鍵函數(shù)，實(shí)時(shí)觀測程序運(yùn)行期間的內(nèi)部情況。當(dāng)應(yīng)用出現(xiàn)可疑行為時(shí)，RASP根據(jù)當(dāng)前上下文環(huán)境精準(zhǔn)識別攻擊事件，并給予實(shí)時(shí)阻斷，使應(yīng)用程序具備自我防護(hù)能力，而不需要進(jìn)行人工干預(yù)。LRASP引擎是一個(gè)基于RASP技術(shù)實(shí)現(xiàn)的、由探針和控制端組成的輕量級應(yīng)用安全自保護(hù)引擎。通過啟動(dòng)時(shí)hook/運(yùn)行時(shí)hook技術(shù)將探針插樁到目標(biāo)應(yīng)用。其中具備虛擬運(yùn)行時(shí)的開發(fā)語言（如Java/python/PHP等）借助虛擬運(yùn)行時(shí)提供的機(jī)制如Java的JVMTI，可以對運(yùn)行時(shí)程序進(jìn)行切面織入。目前引擎已實(shí)現(xiàn)了Java應(yīng)用自保護(hù)，通過插樁進(jìn)行Java字節(jié)碼增強(qiáng)，達(dá)到檢測/阻斷攻擊的效果。深信服aES支持手動(dòng)部署與自動(dòng)部署兩種RASP部署方式，采用了模塊化的設(shè)計(jì)，即將探針與安全能力進(jìn)行分離，將安全能力模塊化，支持按需控制檢測項(xiàng)，最大化地適應(yīng)部署了RASP防護(hù)的應(yīng)用。支持完備的熔斷策略，保證部署了RASP防護(hù)的業(yè)務(wù)的正常運(yùn)行。探針本體與安全能力模塊均支持熱加載與熱卸載的功能，可以在不影響業(yè)務(wù)的前提下，接近無感地進(jìn)行能力的更新，保證已部署了RASP防護(hù)的應(yīng)用的安全性與穩(wěn)定性。3.4.3網(wǎng)頁防篡改網(wǎng)絡(luò)攻擊者通常會(huì)利用被攻擊網(wǎng)站中存在的漏洞，通過在網(wǎng)頁中植入非法暗鏈對網(wǎng)頁內(nèi)容進(jìn)行篡改等方式，進(jìn)行非法牟利或者惡意商業(yè)攻擊等活動(dòng)。網(wǎng)頁被惡意篡改會(huì)影響您正常訪問網(wǎng)頁內(nèi)容，還可能會(huì)導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失、品牌損失甚至是政治風(fēng)險(xiǎn)。網(wǎng)頁防篡改服務(wù)，可實(shí)時(shí)監(jiān)控網(wǎng)站目錄保障重要系統(tǒng)的網(wǎng)站信息不被惡意篡改，防止出現(xiàn)掛馬、黑鏈、非法植入恐怖威脅、色情等內(nèi)容。網(wǎng)站防篡改的核心體現(xiàn)在篡改檢測技術(shù)上，主要分為三類：外掛輪詢技術(shù)、核心內(nèi)嵌技術(shù)和增強(qiáng)型事件觸發(fā)技術(shù)。外掛輪詢技術(shù)：這種技術(shù)是通過定期輪詢網(wǎng)站的文件或目錄，與之前的快照進(jìn)行比對，以檢測是否有篡改發(fā)生。如果發(fā)現(xiàn)篡改，系統(tǒng)會(huì)進(jìn)行相應(yīng)的補(bǔ)償措施，恢復(fù)被篡改的內(nèi)容。然而，這種技術(shù)無法實(shí)時(shí)阻斷篡改，只能在篡改發(fā)生后進(jìn)行恢復(fù)。核心內(nèi)嵌技術(shù)：這種技術(shù)是將篡改檢測功能嵌入網(wǎng)站的核心代碼中，通過監(jiān)控文件的變化來檢測篡改。當(dāng)發(fā)現(xiàn)篡改時(shí)，系統(tǒng)會(huì)采取相應(yīng)的措施進(jìn)行恢復(fù)。與外掛輪詢技術(shù)類似，核心內(nèi)嵌技術(shù)也是事后補(bǔ)償?shù)乃悸?，無法實(shí)時(shí)阻斷篡改。增強(qiáng)型事件觸發(fā)技術(shù)：這種技術(shù)是基于操作系統(tǒng)內(nèi)核底層文件系統(tǒng)驅(qū)動(dòng)的保護(hù)技術(shù)。它通過監(jiān)控被保護(hù)的網(wǎng)站目錄或文件的變化，實(shí)時(shí)進(jìn)行合法性檢查。當(dāng)檢測到篡改發(fā)生時(shí)，系統(tǒng)可以立即進(jìn)行實(shí)時(shí)檢測和實(shí)時(shí)阻斷。這種技術(shù)能夠更加及時(shí)地發(fā)現(xiàn)篡改，并采取相應(yīng)的措施進(jìn)行阻斷?？偟膩碚f，aES采用的增強(qiáng)型事件觸發(fā)技術(shù)是一種更加高效和實(shí)時(shí)的篡改檢測技術(shù)，能夠在篡改發(fā)生時(shí)立即進(jìn)行檢測和阻斷。而外掛輪詢技術(shù)和核心內(nèi)嵌技術(shù)則是事后補(bǔ)償?shù)乃悸罚荒茉诖鄹陌l(fā)生后進(jìn)行恢復(fù)。由于不需要像數(shù)字水印技術(shù)那樣對水印值先存儲再對比，不但篡改檢測效率高，對服務(wù)器本身資源占用也較低，尤其在應(yīng)對大規(guī)模自動(dòng)化、連續(xù)性篡改時(shí)，該技術(shù)這樣的特點(diǎn)具有明顯的優(yōu)勢。因此，此類技術(shù)較核心內(nèi)嵌技術(shù)和外掛輪詢兩類技術(shù)有更優(yōu)的性能表現(xiàn)。圖：aES防篡改優(yōu)勢能力3.4.4微隔離（1）原理介紹從近幾年的黑客攻擊形勢看，內(nèi)網(wǎng)的攻擊逐漸增多。然而，當(dāng)前不少組織單位的安全防御思路依然僅靠層層邊界防御，卻忽略了內(nèi)網(wǎng)的安全防護(hù)。當(dāng)攻擊者有機(jī)會(huì)拿到內(nèi)網(wǎng)一個(gè)跳板機(jī)時(shí)，即可暢通無阻在內(nèi)部網(wǎng)絡(luò)中橫向傳播威脅，對業(yè)務(wù)造成爆破式影響。因此，為了適應(yīng)新的攻防形勢，行業(yè)開始重新分析和審視內(nèi)部網(wǎng)絡(luò)隔離的重要性。實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)隔離的有多種，傳統(tǒng)網(wǎng)絡(luò)隔離方案基本都是基于網(wǎng)絡(luò)層面進(jìn)行工作，部署物理硬件防火墻，并配置相應(yīng)的策略，從網(wǎng)絡(luò)層進(jìn)行訪問控制；a、調(diào)用系統(tǒng)主機(jī)防火墻，需要單獨(dú)對主機(jī)進(jìn)行策略配置，從而進(jìn)行訪問控制；b、VLAN隔離技術(shù)根據(jù)特定的策略進(jìn)行區(qū)域邏輯網(wǎng)段分離。但隨著組織內(nèi)部網(wǎng)絡(luò)架構(gòu)的演進(jìn)，從傳統(tǒng)的IT架構(gòu)向虛擬化、混合云升級變遷，虛擬化極大化擴(kuò)充資產(chǎn)數(shù)量，傳統(tǒng)隔離方案在以靈活為核心的新IT架構(gòu)下落地變得困難重重，難以適應(yīng)當(dāng)下的環(huán)境：1、無法做到細(xì)粒度的隔離措施：傳統(tǒng)網(wǎng)絡(luò)隔離最小粒度只能做到域的隔離，意味著只能針對南北向流量進(jìn)行隔離，而同一域內(nèi)的東西流量無法有效隔離，從而無法有效防范威脅橫向擴(kuò)散，內(nèi)部一旦被突破一點(diǎn)，感染成面，損失巨大；2、維護(hù)不夠靈活：面對眾多分散的虛機(jī)控制點(diǎn)，以及變化的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)隔離策略無法做到實(shí)時(shí)更新與自適應(yīng)防護(hù)，反而因?yàn)榘踩绊懥藰I(yè)務(wù)的靈活性，最終因?yàn)椴呗詮?fù)雜不能真正落地；3、訪問關(guān)系不可視：業(yè)務(wù)系統(tǒng)之間的訪問關(guān)系完全不可視，難以確定隔離的有效性，甚至外部供應(yīng)商網(wǎng)絡(luò)與內(nèi)部涉密生產(chǎn)系統(tǒng)交互頻繁卻不自知。當(dāng)越來越多的用戶開始轉(zhuǎn)為更為靈活的微隔離方案時(shí)，選擇哪種技術(shù)路線成為了問題的關(guān)鍵。當(dāng)前微隔離方案技術(shù)路線主要有三種，而主機(jī)代理微隔離才更適應(yīng)當(dāng)前多變的用戶業(yè)務(wù)環(huán)境。深信服aES微隔離下一代主機(jī)隔離技術(shù)，架構(gòu)于主機(jī)防火墻之上，致力解決病毒東西向、橫向移動(dòng)和內(nèi)網(wǎng)擴(kuò)散和處置問題，提出了一種基于安全域應(yīng)用角色之間的流量訪問控制的系統(tǒng)解決方案，提供全面基于主機(jī)應(yīng)用角色之間的訪問控制，做到可視化的安全訪問策略配置，簡單高效地對應(yīng)用服務(wù)之間訪問進(jìn)行隔離技術(shù)實(shí)現(xiàn)。windows上采用WFP架構(gòu)實(shí)現(xiàn)，應(yīng)用層采用WFP基本篩選引擎（BaseFilteringEngine）接口實(shí)現(xiàn)網(wǎng)絡(luò)訪問關(guān)系的控制，驅(qū)動(dòng)層采用WFP內(nèi)核態(tài)過濾引擎實(shí)現(xiàn)網(wǎng)絡(luò)流量的監(jiān)控。Linux上采用NetFilter/iptables實(shí)現(xiàn)網(wǎng)絡(luò)關(guān)系的訪問控制，采用網(wǎng)絡(luò)連接跟蹤的技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)流量的監(jiān)控。（2）優(yōu)勢說明訪問關(guān)系精細(xì)化管控：在東西向訪問關(guān)系控制上，優(yōu)先對所有的服務(wù)器進(jìn)行業(yè)務(wù)安全域的邏輯劃域隔離，并對業(yè)務(wù)區(qū)域內(nèi)的服務(wù)器提供的服務(wù)進(jìn)行應(yīng)用角色劃分，對不同應(yīng)用角色之間服務(wù)訪問進(jìn)行訪問控制配置，減少了對物理、虛擬的服務(wù)器被攻擊的機(jī)會(huì)，集中統(tǒng)一管理服務(wù)器的訪問控制策略。并且基于安裝輕量級主機(jī)Agent軟件的訪問控制，不受虛擬化平臺的影響，不受物理機(jī)器和虛擬機(jī)器的影響。東西向流量可視：采用統(tǒng)一管理的方式對終端的網(wǎng)絡(luò)訪問關(guān)系進(jìn)行圖形化展示，可以看到每個(gè)業(yè)務(wù)域內(nèi)部各個(gè)終端的訪問關(guān)系展示以及訪問記錄，也可以看到每個(gè)業(yè)務(wù)域之間的訪問關(guān)系展示以及每個(gè)業(yè)務(wù)域的流量狀態(tài)、訪問趨勢、流量排行，同時(shí)可以根據(jù)每個(gè)訪問關(guān)系會(huì)生成訪問關(guān)系控制策略，讓用戶決定是否啟用該策略，減少了手動(dòng)新增策略的工作量，提高了安全管理的效率。網(wǎng)端聯(lián)動(dòng)縱深防御（AF\XDR\SIP等）3.5.1網(wǎng)端聯(lián)動(dòng)-防遠(yuǎn)控、防擴(kuò)散、可根除傳統(tǒng)的網(wǎng)端聯(lián)動(dòng)，由于網(wǎng)端引擎不一致，會(huì)導(dǎo)致端側(cè)的查殺結(jié)果無法與網(wǎng)側(cè)的安全事件進(jìn)行對應(yīng)。針對一些復(fù)雜高危的威脅行為，傳統(tǒng)的病毒查殺行為很有可能讓病毒“死而復(fù)生”，導(dǎo)致網(wǎng)端告警復(fù)發(fā)。針對復(fù)雜高危的威脅行為，深信服aES產(chǎn)品能與NGAF（下一代防火墻）、SIP（態(tài)勢感知）進(jìn)行協(xié)同聯(lián)動(dòng)響應(yīng)，網(wǎng)側(cè)檢測出威脅訪問的惡意流量，由端側(cè)對威脅的行為進(jìn)行分析處置。例如網(wǎng)絡(luò)側(cè)發(fā)現(xiàn)一個(gè)惡意流量，在網(wǎng)側(cè)產(chǎn)生一個(gè)告警。管理員可在網(wǎng)絡(luò)側(cè)下發(fā)一個(gè)針對此惡意訪問流量的處置請求到端側(cè)。端側(cè)收到此惡意流量的處置請求后，自動(dòng)對整個(gè)進(jìn)程鏈完成溯源、分析、舉證、匹配等系列動(dòng)作，最后自動(dòng)完成威脅處置，并且把處置結(jié)果完成的返回到網(wǎng)絡(luò)側(cè)，實(shí)現(xiàn)威脅處置的自閉環(huán)。新網(wǎng)端處置可以分為下面三個(gè)維度：防遠(yuǎn)控針對遠(yuǎn)控類威脅，端側(cè)會(huì)針對其域名訪問行為、進(jìn)程創(chuàng)建行為等等進(jìn)行阻斷，全面封鎖遠(yuǎn)控類病毒威脅防擴(kuò)散針對感染性強(qiáng)的威脅，端側(cè)會(huì)單獨(dú)針對感染性病毒進(jìn)程及其已感染的進(jìn)程網(wǎng)絡(luò)訪問行為進(jìn)行嚴(yán)格限制，遏制感染型病毒對于重要服務(wù)器的網(wǎng)絡(luò)訪問，能在保證業(yè)務(wù)正常運(yùn)行的基礎(chǔ)上，更好的限制感染型病毒的擴(kuò)散行為徹底根除針對已確認(rèn)的病毒威脅，在保證終端業(yè)務(wù)正常運(yùn)行的基礎(chǔ)上，對已確認(rèn)的病毒威脅創(chuàng)建的進(jìn)程、文件、注冊表等行為做徹底清除，從根源上消除病毒所帶來的風(fēng)險(xiǎn)。相對于以前的聯(lián)動(dòng)溯源舉證能力，防遠(yuǎn)控、防擴(kuò)散、可根除的一些系列能力大大減少了管理員的運(yùn)維成本，可以把威脅處置、安全防護(hù)完全托管到新的網(wǎng)端聯(lián)動(dòng)體系中，做到威脅事件徹底閉環(huán)處置。3.5.2云內(nèi)態(tài)勢感知（東西向流量采集）傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)分析會(huì)在交換機(jī)上配置網(wǎng)絡(luò)數(shù)據(jù)鏡像，將Packet復(fù)制后發(fā)送到目標(biāo)機(jī)器，實(shí)現(xiàn)網(wǎng)絡(luò)流量鏡像的功能。而在云平臺上，云廠商并未對用戶提供流量鏡像功能，即使是私有云，單獨(dú)定制流量鏡像功能也十分昂貴。深信服云主機(jī)安全保護(hù)平臺能夠作為軟探針存在，采用代理流量轉(zhuǎn)發(fā)方式實(shí)現(xiàn)，基于libpcap/npcap+GRE/VXLAN封裝技術(shù)的轉(zhuǎn)發(fā)流量數(shù)據(jù)，支持所有協(xié)議全流量采集或自定義過濾采集，支持轉(zhuǎn)發(fā)速率閾值自定義設(shè)置，將流量數(shù)據(jù)轉(zhuǎn)發(fā)給STA分析器，STA分析流量數(shù)據(jù)產(chǎn)生風(fēng)險(xiǎn)日志上報(bào)SIP平臺分析展示，其使用十分簡單，適用于各類公有云和私有云，是云平臺目前最優(yōu)的網(wǎng)絡(luò)流量鏡像方案。圖：流量采集原理示意圖將云內(nèi)東西向流量上報(bào)給SIP，實(shí)現(xiàn)云環(huán)境下的安全態(tài)勢感知，通過端網(wǎng)聯(lián)動(dòng)，可以實(shí)現(xiàn)整體攻擊鏈溯源，建立縱深防御體系。圖:多設(shè)備智能聯(lián)動(dòng)桌面管理3.6.1遠(yuǎn)程桌面控制企業(yè)運(yùn)維管理員在維護(hù)終端主機(jī)時(shí)往往需要親自到現(xiàn)場操作物理主機(jī)，這種方式效率很低；再或者需開啟主機(jī)自帶的遠(yuǎn)程功能，通過主機(jī)的IP地址、賬號、密碼登陸后才能操作主機(jī)，而主機(jī)的這些登陸信息常常容易發(fā)生變化，一旦主機(jī)數(shù)量很大時(shí)，很難維護(hù)這些遠(yuǎn)程登錄信息。通過集成遠(yuǎn)程控制功能，基于遠(yuǎn)程控制開源軟件UltraVNC（分為客戶端和服務(wù)端），aES客戶端默認(rèn)附帶UltraVNC服務(wù)端程序。通過在aES管理平臺發(fā)起遠(yuǎn)程，下載運(yùn)行UltraVNC客戶端程序，輸入被遠(yuǎn)程端的IP、端口以及授權(quán)碼即可實(shí)現(xiàn)遠(yuǎn)程控制。（2）優(yōu)勢說明a、快速：在終端用戶同意的情況下，1~2分鐘內(nèi)快速