深信服aES產(chǎn)品技術(shù)白皮書-V1.5

PAGE深信服科技股份有限公司文件模板編號(hào)密級(jí)發(fā)布生效日期產(chǎn)品技術(shù)白皮書模板現(xiàn)行版本V1.5頁(yè)次第PAGE4/共27頁(yè)P(yáng)AGE深信服公司版權(quán)所有 深信服科技股份有限公司文件模板編號(hào)密級(jí)發(fā)布生效日期產(chǎn)品技術(shù)白皮書模板現(xiàn)行版本V1.0頁(yè)次第PAGE1/共27頁(yè) 深信服終端安全管理系統(tǒng)aES產(chǎn)品技術(shù)白皮書深信服科技股份有限公司

修訂記錄修訂版本號(hào)作者日期簡(jiǎn)要說(shuō)明V10

目錄TOC\o"1-3"\h\z53171背景介紹 587001.1.安全背景與挑戰(zhàn) 59511.2.技術(shù)背景 7324022.總體架構(gòu) 9146682.1.架構(gòu)設(shè)計(jì) 1094512.2.系統(tǒng)數(shù)據(jù)處理流程圖 11301053.產(chǎn)品核心能力 12215393.1.資產(chǎn)管理 12259093.1.1細(xì)粒度資產(chǎn)管理 1242533.1.2資產(chǎn)指紋庫(kù)圖譜 1311533.1.3高負(fù)載資產(chǎn) 14206553.1.4基于資產(chǎn)的安全視角統(tǒng)一管理 1456383.1.5資產(chǎn)發(fā)現(xiàn) 1492253.2.風(fēng)險(xiǎn)評(píng)估 1532923.2.1漏洞檢測(cè) 15212453.2.2熱點(diǎn)漏洞 1549243.2.3風(fēng)險(xiǎn)應(yīng)用檢查 1674993.2.4弱口令檢查 16221833.2.4合規(guī)基線 17154023.2.5暴露面梳理 18200433.3.運(yùn)維管理 19106503.3.1桌面管理 1955173.3.入侵檢測(cè) 23325793.3.1高級(jí)威脅檢測(cè)能力（詳見(jiàn)高級(jí)威脅技術(shù)白皮書） 249923.3.1WebShell檢測(cè) 2644743.3.3反彈Shell檢測(cè) 27133913.3.3內(nèi)存馬檢測(cè)（詳見(jiàn)內(nèi)存馬檢測(cè)技術(shù)白皮書） 28202443.3.3暴力破解檢測(cè) 296173.3.4異常命令檢測(cè) 30300023.3.5權(quán)限提升檢測(cè) 30285213.3.6端口轉(zhuǎn)發(fā)檢測(cè) 30241223.3.7遠(yuǎn)程命令執(zhí)行檢測(cè) 30148073.3.8訪問(wèn)惡意地址檢測(cè) 31116493.3.9異常登錄檢測(cè) 327553.3.10異常掃描檢測(cè) 32259843.5.安全防護(hù) 32308823.5.1漏洞檢測(cè)與防御 3293573.5.2惡性病毒處置修復(fù) 36286133.5.3勒索病毒動(dòng)靜態(tài)立體防護(hù) 42257043.5.4網(wǎng)端云聯(lián)動(dòng) 49312463.5.5創(chuàng)新微隔離 51151324.產(chǎn)品價(jià)值優(yōu)勢(shì) 5471344.1輕量易用 54204874.2有效對(duì)抗 54106704.3網(wǎng)端快速閉環(huán) 55

1背景介紹安全背景與挑戰(zhàn)近年來(lái)，傳統(tǒng)的病毒木馬攻擊方式還未落幕，層出不窮的高級(jí)攻擊事件不斷上演，勒索病毒、挖礦木馬等安全事件頻發(fā)，如WannaCry爆發(fā)造成全球有150多個(gè)國(guó)家，涉及30多萬(wàn)用戶受到影響，經(jīng)濟(jì)損失達(dá)80億美元，而Globelmpster傳播，國(guó)內(nèi)醫(yī)療，金融與教育等行業(yè)深受其害等，嚴(yán)峻的安全形勢(shì)給企業(yè)造成了嚴(yán)重的經(jīng)濟(jì)損壞和社會(huì)影響。從外部威脅和事件影響角度來(lái)看，隨著攻防新技術(shù)的發(fā)展和應(yīng)用、APT與未知威脅的增多、0day漏洞頻繁爆發(fā)、護(hù)網(wǎng)行動(dòng)等造成網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)日益突出，引起的網(wǎng)絡(luò)安全事件的影響力和破壞性正在加大，并向政治、經(jīng)濟(jì)、文化、社會(huì)、國(guó)防等多領(lǐng)域傳導(dǎo)滲透，對(duì)網(wǎng)絡(luò)空間安全建設(shè)提出了更高的挑戰(zhàn)與要求。隨著云時(shí)代的到來(lái)，網(wǎng)絡(luò)邊界越來(lái)越模糊。當(dāng)前黑客普遍采用流量加密、0day利用等多樣化的高級(jí)攻擊手段，達(dá)到繞過(guò)傳統(tǒng)邊界設(shè)備的目的。基于策略的邊界預(yù)防機(jī)制，已無(wú)法滿足在業(yè)務(wù)系統(tǒng)規(guī)模龐大、資源管理復(fù)雜、業(yè)務(wù)連續(xù)性要求高的云場(chǎng)景下的安全需求。云內(nèi)安全同樣面臨較大的挑戰(zhàn)，云內(nèi)業(yè)務(wù)系統(tǒng)規(guī)模大，客觀存在資產(chǎn)梳理及漏洞管理困難、危險(xiǎn)賬號(hào)及危險(xiǎn)配置無(wú)法收集、內(nèi)網(wǎng)安全事件無(wú)法快速響應(yīng)等問(wèn)題，導(dǎo)致內(nèi)網(wǎng)中會(huì)存在多點(diǎn)漏洞，黑客進(jìn)入內(nèi)網(wǎng)后橫行無(wú)阻，對(duì)業(yè)務(wù)帶來(lái)難以估計(jì)的破壞和損失。新時(shí)代下企業(yè)級(jí)終端安全面臨嚴(yán)峻挑戰(zhàn)，相較于個(gè)人終端而言，企業(yè)終端、數(shù)據(jù)等資產(chǎn)價(jià)值更高，由終端、服務(wù)器等不同軟硬件所組成辦公局域網(wǎng)，帶來(lái)更為復(fù)雜的病毒來(lái)源、感染、傳播途徑，正因此企業(yè)用戶面臨更為嚴(yán)峻的終端安全挑戰(zhàn)，對(duì)防護(hù)、管理、應(yīng)用等多方面提出更高要求，所面臨的問(wèn)題呈現(xiàn)出如下幾點(diǎn)：首先，人工運(yùn)維加劇威脅防御成本。傳統(tǒng)終端安全產(chǎn)品以策略、特征為基礎(chǔ)，輔以組織規(guī)定以及人員操作制度驅(qū)動(dòng)威脅防御，高級(jí)威脅一旦產(chǎn)生，將會(huì)不可控的傳播，勢(shì)必帶來(lái)人工成本的幾何增長(zhǎng)，且對(duì)企業(yè)運(yùn)維人員專業(yè)性要求極高，有效應(yīng)對(duì)威脅難度大。其次，基于特征匹配殺毒無(wú)法有效抵御新威脅。基于病毒特征庫(kù)方式進(jìn)行殺毒，在高級(jí)威脅持續(xù)產(chǎn)生的大環(huán)境下，呈現(xiàn)被動(dòng)、后知后覺(jué)等檢測(cè)特點(diǎn)，無(wú)法及時(shí)有效防御新威脅。另外，網(wǎng)絡(luò)攻擊手法不斷進(jìn)化，人工參與的攻擊行為增多。傳統(tǒng)基于特征庫(kù)、靜態(tài)文件的檢測(cè)已對(duì)此類復(fù)雜攻擊失效，此類APT攻擊可輕松繞過(guò)傳統(tǒng)殺軟、傳統(tǒng)終端安全防護(hù)機(jī)制的檢測(cè)。第三，病毒特征庫(kù)數(shù)量增長(zhǎng)加重主機(jī)運(yùn)算資源。本地病毒特征庫(kù)數(shù)量日益增多，加重終端存儲(chǔ)、運(yùn)算資源成本，防御威脅過(guò)程已嚴(yán)重影響用戶日常辦公，無(wú)法適應(yīng)如云化等新的特定場(chǎng)景。第四，網(wǎng)端兩側(cè)安全產(chǎn)品無(wú)協(xié)同，造成安全事件難閉環(huán)、總反復(fù)。網(wǎng)絡(luò)側(cè)安全產(chǎn)品基于流量、域名的檢測(cè)，終端側(cè)安全產(chǎn)品則是基于文件、進(jìn)程、行為等的檢測(cè)。檢測(cè)機(jī)制不同則對(duì)威脅的檢出結(jié)果不同，網(wǎng)端兩側(cè)無(wú)協(xié)同則無(wú)法查殺到威脅根因（終端側(cè)的風(fēng)險(xiǎn)進(jìn)程、文件等）。導(dǎo)致威脅總是處置不干凈，安全事件難真閉環(huán)。技術(shù)背景在當(dāng)前的安全形勢(shì)下，傳統(tǒng)殺毒解決方案只能解決惡意文件上傳、靜態(tài)文件母體檢測(cè)、動(dòng)態(tài)啟發(fā)查殺等問(wèn)題，無(wú)法做到百分百有效攔截病毒和惡意入侵，特別是威脅持續(xù)感染情況下，用戶甚至長(zhǎng)期感知不到安全威脅的存在，具備EDR技術(shù)的aES產(chǎn)品正是為解決這種問(wèn)題而生。EDR技術(shù)為威脅持續(xù)感染、APT入侵攻擊等高級(jí)威脅提供IOA行為分析、IOC失陷檢測(cè)、取證調(diào)查、響應(yīng)處置等精細(xì)化能力，持續(xù)賦能惡意威脅防護(hù)效果提升，如下圖所示：EDR技術(shù)（端點(diǎn)檢測(cè)響應(yīng)）的興起，使得全球涌現(xiàn)出了一批新的終端安全廠商，而傳統(tǒng)的終端安全廠商也在融合這類技術(shù)。具體來(lái)說(shuō)，下一代終端安全公司提供基于機(jī)器學(xué)習(xí)算法的產(chǎn)品，用以封堵傳統(tǒng)及新興威脅。終端檢測(cè)和響應(yīng)廠商，則監(jiān)視PC行為，查找異?；顒?dòng)。傳統(tǒng)殺軟“見(jiàn)招拆招”式的響應(yīng)已經(jīng)對(duì)新威脅、高級(jí)威脅失效?；陟o態(tài)文件的檢測(cè)方式只能在病毒母體文件落地后才介入查殺，而對(duì)于威脅是怎么進(jìn)入內(nèi)網(wǎng)的、進(jìn)入后對(duì)終端做了哪些操作、危害面有多大，以及是否還有潛伏的攻擊行為等都無(wú)法判斷，這一切對(duì)于殺軟、傳統(tǒng)終端安全防護(hù)產(chǎn)品來(lái)說(shuō)都是不可知的。IT運(yùn)營(yíng)人員做重復(fù)式查殺，并不了解威脅、攻擊發(fā)生的根因，潛伏的攻擊等。攻擊者可利用脆弱面再次發(fā)起攻擊，或者潛伏在內(nèi)網(wǎng)的殘留威脅等著合適時(shí)機(jī)再次卷土重來(lái)。新網(wǎng)絡(luò)環(huán)境下的攻擊手法日漸高級(jí)、人工參與的攻擊行為增多，下一代終端安全防護(hù)產(chǎn)品需要“知其然，也知其所以然”，了解攻擊者的行為和意圖洞察，知道終端脆弱面，針對(duì)性加固。從源頭保護(hù)終端安全。深信服從一開始就看到了這個(gè)趨勢(shì)并瞄準(zhǔn)了這一目標(biāo)，推出一套完整的統(tǒng)一終端安全解決方案。方案由輕量級(jí)的端點(diǎn)安全軟件和管理平臺(tái)軟件共同組成。深信服終端安全管理系統(tǒng)，采用Gartner提出的自適應(yīng)安全架構(gòu)，從預(yù)防、保護(hù)、檢測(cè)、響應(yīng)四個(gè)階段，利用漏洞掃描、基線檢查、弱口令檢測(cè)、資產(chǎn)梳理、微隔離、系統(tǒng)完整性保護(hù)、入侵行為檢測(cè)、主機(jī)行為檢測(cè)、病毒查殺、一鍵響應(yīng)等技術(shù)，解決傳統(tǒng)安全體系被動(dòng)檢測(cè)方案的短板，為業(yè)務(wù)系統(tǒng)提供事前、事中、事后的全方位護(hù)航能力。同時(shí)，深信服終端安全管理系統(tǒng)可以與深信服產(chǎn)品的傳統(tǒng)安全檢測(cè)設(shè)備對(duì)接，實(shí)現(xiàn)端網(wǎng)聯(lián)動(dòng)，守護(hù)數(shù)據(jù)中心安全的最后一公里?？傮w架構(gòu)深信服終端安全管理系統(tǒng)由管理平臺(tái)與客戶端組成，管理平臺(tái)支持統(tǒng)一的終端資產(chǎn)管理、終端安全體檢、終端合規(guī)檢查。全面采集終端側(cè)系統(tǒng)層、應(yīng)用層行為數(shù)據(jù)，本地分層上報(bào)至平臺(tái)關(guān)聯(lián)分析，對(duì)攻擊事件精準(zhǔn)研判。最終以可視化的攻擊進(jìn)程鏈形式還原攻擊故事。威脅狩獵則可基于全面采集到的數(shù)據(jù)，細(xì)粒度對(duì)全網(wǎng)終端做狩獵查殺，獵捕殘余攻擊。微隔離的訪問(wèn)控制策略統(tǒng)一管理，支持對(duì)安全事件的一鍵隔離處置。端點(diǎn)軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數(shù)據(jù)信息采集上報(bào)、安全事件的一鍵處置等。深信服的aES產(chǎn)品也支持與自家網(wǎng)絡(luò)側(cè)安全產(chǎn)品如NGAF、AC、SIP，以及XDR平臺(tái)形成深度聯(lián)動(dòng)，打通網(wǎng)端數(shù)據(jù)，讓網(wǎng)端安全產(chǎn)品協(xié)同，促進(jìn)安全事件徹底閉環(huán)。形成新一代的聯(lián)動(dòng)防護(hù)體系。架構(gòu)設(shè)計(jì)aES產(chǎn)品的防護(hù)體系以預(yù)防、防御、檢測(cè)與響應(yīng)這四個(gè)維度的能力來(lái)提供事前，事中與事后的服務(wù)。風(fēng)險(xiǎn)發(fā)現(xiàn)：為用戶提供對(duì)終端的全網(wǎng)資產(chǎn)指紋清點(diǎn)、影子資產(chǎn)發(fā)現(xiàn)、漏洞補(bǔ)丁管理、安全基線核查、暴露面梳理、應(yīng)用/系統(tǒng)/賬號(hào)風(fēng)險(xiǎn)梳理、可信加固、微USB設(shè)備管控、微隔離可視等事前風(fēng)險(xiǎn)梳理能力。威脅檢測(cè)：為用戶提供漏斗式檢測(cè)、AISAVE人工智能引擎、勒索病毒專項(xiàng)防護(hù)、高級(jí)威脅行為檢測(cè)、應(yīng)用行為畫像異常行為檢測(cè)等能力。防御攔截：為用戶提供二次認(rèn)證、微隔離可控、輕補(bǔ)丁、虛擬補(bǔ)丁、應(yīng)用漏洞防護(hù)、病毒、勒索文件、webshell、暴力破解自動(dòng)處置等防御能力。響應(yīng)處置：為用戶提供基礎(chǔ)處置能力：進(jìn)程阻斷、文件隔離、dns阻斷、ip封堵、主機(jī)隔離；同時(shí)結(jié)合網(wǎng)絡(luò)側(cè)安全產(chǎn)品，XDR平臺(tái)云端能力等為用戶提供聯(lián)動(dòng)閉環(huán)、全網(wǎng)威脅定位、威脅事件溯源針對(duì)性加固、威脅狩獵等能力。系統(tǒng)數(shù)據(jù)處理流程圖如上圖所示，aES安全系統(tǒng)的數(shù)據(jù)處理流程包含了aES終端Agent、aES管理平臺(tái)、云端三大部分，具體描述如下：aES終端AgentAgent包括了內(nèi)核態(tài)及用戶態(tài)部分，通過(guò)實(shí)時(shí)收集系統(tǒng)動(dòng)態(tài)行為事件，對(duì)事件對(duì)象進(jìn)行實(shí)時(shí)的檢測(cè)，實(shí)時(shí)發(fā)現(xiàn)威脅并根據(jù)安全策略進(jìn)行相應(yīng)處置。aES管理平臺(tái)管理平臺(tái)負(fù)責(zé)與云端的威脅查詢及緩存管理功能，為終端提供快速的查詢服務(wù)。云端分析深信服aES在客戶端側(cè)采集到的海量數(shù)據(jù)，本地做有效聚合后上傳至平臺(tái)。借助云端算力對(duì)數(shù)據(jù)結(jié)合用戶真實(shí)環(huán)境做上下文關(guān)聯(lián)，最終精準(zhǔn)分析出攻擊行為。此高級(jí)威脅檢測(cè)機(jī)制能有效減少誤報(bào)，提升對(duì)新威脅的研判精準(zhǔn)度。此外安全云腦也為全網(wǎng)在線安全設(shè)備提供了文件沙箱服務(wù)，以及文件、DNS、IP等威脅情報(bào)服務(wù)，為已知/未知威脅檢測(cè)提供有力支持。產(chǎn)品核心能力資產(chǎn)全景3.1.1細(xì)粒度資產(chǎn)管理圖：資產(chǎn)分組及標(biāo)簽集中管理端（MGR中心端）對(duì)云主機(jī)收集的各類資產(chǎn)進(jìn)行分類、整理，統(tǒng)計(jì)，并提供靈活的資產(chǎn)標(biāo)簽、分組機(jī)制、資產(chǎn)分類、高負(fù)載告警，實(shí)現(xiàn)對(duì)資產(chǎn)圖書館式的管理，對(duì)核心資產(chǎn)，高負(fù)載資產(chǎn)重點(diǎn)關(guān)注。3.1.2資產(chǎn)指紋庫(kù)圖譜集中管理端（MGR中心端）自動(dòng)提供了資產(chǎn)總覽圖表，Top高負(fù)載資產(chǎn)視圖；支持對(duì)資產(chǎn)的快速索引，模糊搜索，可以幫助用戶快速定位關(guān)鍵資產(chǎn)信息。圖：資產(chǎn)指紋庫(kù)圖譜3.1.3高負(fù)載資產(chǎn)深信服云主機(jī)安全保護(hù)平臺(tái)持續(xù)監(jiān)控資產(chǎn)狀態(tài)，展示整體資產(chǎn)資源分布情況及Top高負(fù)載資產(chǎn)，及時(shí)發(fā)現(xiàn)和定位定位高負(fù)載資產(chǎn)風(fēng)險(xiǎn)，快速識(shí)別環(huán)境中異常主機(jī)，保障業(yè)務(wù)連續(xù)性。圖：高負(fù)載資產(chǎn)3.1.4基于資產(chǎn)的安全視角統(tǒng)一管理資產(chǎn)管理作為其它模塊的支撐，與入侵行為檢測(cè)，主機(jī)行為審計(jì)，風(fēng)險(xiǎn)評(píng)估，病毒查殺等全面關(guān)聯(lián)，幫助用戶快速鎖定安全問(wèn)題資產(chǎn)。3.1.5資產(chǎn)發(fā)現(xiàn)通過(guò)安裝Agent的主機(jī)，實(shí)現(xiàn)對(duì)管理員下發(fā)的ip網(wǎng)段或端口范圍進(jìn)行網(wǎng)絡(luò)探測(cè)掃描，獲取到資產(chǎn)的操作系統(tǒng)、ip和mac等信息，再通過(guò)與已安裝Agent的資產(chǎn)進(jìn)行對(duì)比，從而發(fā)現(xiàn)未安裝Agent的資產(chǎn)。風(fēng)險(xiǎn)評(píng)估深信服aES平臺(tái)風(fēng)險(xiǎn)評(píng)估持續(xù)監(jiān)控與分析資產(chǎn)漏洞，弱口令，合規(guī)基線等脆弱性，實(shí)時(shí)發(fā)現(xiàn)未知威脅及存在的安全隱患，化被動(dòng)未主動(dòng)，提前防御和預(yù)防安全問(wèn)題的出現(xiàn)，將風(fēng)險(xiǎn)消除在最前延，從而提高攻擊門檻，降低入侵風(fēng)險(xiǎn)。3.2.1漏洞檢測(cè)3.2.1.1漏洞風(fēng)險(xiǎn)檢測(cè)深信服aES平臺(tái)漏洞檢測(cè)技術(shù)整合前沿的威脅情報(bào)，資產(chǎn)發(fā)現(xiàn)，文件解析，POC探針，云化升級(jí)，檢測(cè)結(jié)果加密防泄漏、跨平臺(tái)兼容等功能。提供了基于CPE的版本對(duì)比，配置檢測(cè)，虛擬執(zhí)行、poc探針驗(yàn)證等類型漏洞檢測(cè)，支持Windows、Linux，國(guó)產(chǎn)化系統(tǒng)，支持容器漏洞檢查，提供了多維度，多視角的資產(chǎn)清點(diǎn)功能，漏洞檢查結(jié)合自研處置優(yōu)先級(jí)VPT與實(shí)體補(bǔ)丁，虛擬補(bǔ)?。℉IPS），輕補(bǔ)丁形成實(shí)時(shí)有效的漏洞閉環(huán)解決方案。深信服積累大量高價(jià)值漏洞庫(kù)、POC探針腳本，并將持續(xù)關(guān)注國(guó)內(nèi)外最新安全動(dòng)態(tài)及漏洞利用方法，快速響應(yīng)，不斷提升檢測(cè)能力。圖：漏洞檢測(cè)原理3.2.1.2基于VPT的漏洞自排序技術(shù)CVSS基本分值是靜態(tài)的，不隨時(shí)間的推移而變化。單通過(guò)CVSS評(píng)分進(jìn)行風(fēng)險(xiǎn)排序，不考慮實(shí)際的時(shí)間和環(huán)境因子，會(huì)導(dǎo)致過(guò)多的高危漏洞和嚴(yán)重漏洞，導(dǎo)致在有限的資源下漏洞管理效率低下。深信服VPT處置優(yōu)先級(jí)，采用SSVC+決策樹的優(yōu)先級(jí)排序模型沉淀安全專家經(jīng)驗(yàn)，結(jié)合漏洞影響和外部情報(bào)，科學(xué)的給出評(píng)級(jí)決策結(jié)果，可以進(jìn)一步聚焦漏洞優(yōu)先級(jí)，優(yōu)化漏洞管理效率。評(píng)級(jí)決策結(jié)果包含：立即響應(yīng)、延后響應(yīng)、暫不響應(yīng)3種結(jié)果。VPT支持除windows補(bǔ)丁之外的漏洞的處置優(yōu)先級(jí)評(píng)估，包括windows應(yīng)用漏洞，linux系統(tǒng)和應(yīng)用漏洞，國(guó)產(chǎn)化系統(tǒng)和應(yīng)用漏洞。圖：漏洞處置優(yōu)先級(jí)分析VPT關(guān)聯(lián)核心因素圖：漏洞處置優(yōu)先級(jí)分析VPT原理立即處置：此漏洞一旦被利用通常會(huì)造成很大風(fēng)險(xiǎn)，會(huì)造成系統(tǒng)被控制或者大量數(shù)據(jù)泄露，影響范圍大。修復(fù)者需要積極響應(yīng)此漏洞，相關(guān)人員需要第一時(shí)間響應(yīng)處理此漏洞，并通知到內(nèi)外部相關(guān)人員排查風(fēng)險(xiǎn)。建議修復(fù)周期：7天圖：立即處置漏洞判斷和分析圖譜延后處置：此漏洞通常會(huì)造成一定風(fēng)險(xiǎn)，對(duì)使用者的生產(chǎn)生活環(huán)境造成一定影響。修復(fù)者需要持續(xù)關(guān)注此漏洞，并通知到此漏洞涉及到的內(nèi)外部相關(guān)人員，并在漏洞生命周期之前積極修復(fù)處理此漏洞。建議修復(fù)周期：30天暫不處置：此漏洞影響較小，某些情況下會(huì)造成一些非緊急的影響。修復(fù)者在資源充裕的情況下，可持續(xù)觀察此漏洞以及后續(xù)影響，并在漏洞生命周期中修復(fù)處理此漏洞。3.2.2漏洞加固防御3.2.2.1虛擬補(bǔ)丁HIPS（詳見(jiàn)虛擬補(bǔ)丁HIPS白皮書）HIPS在主機(jī)側(cè)落地主要用于檢測(cè)和阻斷高可利用漏洞的威脅，可以實(shí)現(xiàn)漏洞無(wú)效化。防止服務(wù)器被外部攻擊利用高可利用漏洞攻陷主機(jī)，竊取資料和加密文件勒索資金。所以IPS主要關(guān)注入站流量，可以過(guò)濾入站流量。又因?yàn)榇蟛糠忠?guī)則都指定了業(yè)務(wù)的開放端口，可以將規(guī)則中的端口集中起來(lái)作為驅(qū)動(dòng)過(guò)濾的條件，在內(nèi)核層過(guò)濾掉無(wú)關(guān)端口的流量。工作原理可以簡(jiǎn)要概括為三個(gè)步驟：數(shù)據(jù)捕獲、規(guī)則匹配和響應(yīng)。數(shù)據(jù)捕獲：通過(guò)網(wǎng)絡(luò)接口捕獲數(shù)據(jù)包，這些數(shù)據(jù)包可以是通過(guò)網(wǎng)絡(luò)傳輸?shù)娜魏涡畔?。捕獲到的數(shù)據(jù)包將被送入分析引擎進(jìn)行處理。規(guī)則匹配：使用一套規(guī)則引擎來(lái)分析捕獲到的數(shù)據(jù)包，每個(gè)規(guī)則定義了一種特定的攻擊模式或異常行為。規(guī)則由多個(gè)字段組成，包括源地址、目標(biāo)地址、協(xié)議類型、端口號(hào)等。當(dāng)數(shù)據(jù)包與規(guī)則匹配時(shí)，將其標(biāo)記為潛在的攻擊。響應(yīng)機(jī)制：當(dāng)檢測(cè)到潛在的攻擊時(shí)，它可以采取多種響應(yīng)措施，如記錄日志、發(fā)送警報(bào)、阻斷流量等。這種靈活的響應(yīng)機(jī)制使得不僅能夠發(fā)現(xiàn)潛在的威脅，還能夠迅速應(yīng)對(duì)并減小潛在的風(fēng)險(xiǎn)。圖：采集處理流程3.2.2.2基于輕補(bǔ)丁的漏洞免疫技術(shù)（1）原理介紹根據(jù)aES終端安全實(shí)驗(yàn)室數(shù)據(jù)顯示，漏洞利用攻擊在當(dāng)前熱點(diǎn)威脅中擁有最高的使用率，顯然已經(jīng)成為危害最為嚴(yán)重的威脅之一，通過(guò)打補(bǔ)丁修復(fù)漏洞成為眾多企業(yè)級(jí)用戶的首選方案。然而，傳統(tǒng)的漏洞修復(fù)方法在補(bǔ)丁未及時(shí)發(fā)布（0day漏洞）、微軟停止提供漏洞修補(bǔ)支持（Win7等停更系統(tǒng)）、漏洞修復(fù)導(dǎo)致重啟等場(chǎng)景下，已不能提供快速、有效的防護(hù)能力，企業(yè)用戶的終端存在很大的安全隱患。深信服aES下一代輕補(bǔ)丁漏洞免疫技術(shù)，直接在內(nèi)存里對(duì)有漏洞的代碼進(jìn)行修復(fù)，避免遭受漏洞攻擊。通過(guò)aES終端安全管理系統(tǒng)提供的高危漏洞免疫模塊，提供業(yè)務(wù)無(wú)感知的輕補(bǔ)丁修復(fù)能力。（2）優(yōu)勢(shì)說(shuō)明a、補(bǔ)丁加載輕：相比傳統(tǒng)實(shí)體漏洞補(bǔ)丁的修復(fù)方式存在需要重啟、兼容性問(wèn)題，深信服aES輕補(bǔ)丁漏洞免疫無(wú)需下載補(bǔ)丁，直接修改內(nèi)存運(yùn)行代碼無(wú)需服務(wù)重啟，不存在兼容性問(wèn)題，過(guò)程輕量化。b、修復(fù)速度快：微軟補(bǔ)丁文件之間存在依賴關(guān)系，導(dǎo)致補(bǔ)丁安裝失敗情況頻繁發(fā)生。深信服aES輕補(bǔ)丁漏洞免疫針對(duì)每個(gè)漏洞提供一個(gè)單獨(dú)的漏洞修補(bǔ)補(bǔ)丁包，無(wú)任何依賴關(guān)系。終端安裝aES后會(huì)自動(dòng)檢測(cè)高危漏洞并進(jìn)行無(wú)感知修復(fù)，并將結(jié)果上報(bào)平臺(tái)，保障業(yè)務(wù)的連續(xù)性。

c、防御效果好：深信服aES輕補(bǔ)丁漏洞免疫本身是對(duì)漏洞本身進(jìn)行修復(fù)，將源頭堵住，防止威脅攻擊擴(kuò)散，漏洞100%防御。同時(shí)，可使用在停更的Windows系統(tǒng)的高危漏洞防護(hù)上，覆蓋度高，更新速度快。d、性能消耗?。簜鹘y(tǒng)廠商基于網(wǎng)絡(luò)層面的漏洞入侵防御，會(huì)因網(wǎng)絡(luò)流量解析而造成的網(wǎng)絡(luò)延遲和性能下降等問(wèn)題。深信服aES基于內(nèi)存修復(fù)，代碼恢復(fù)原貌，無(wú)需消耗額外的性能且過(guò)程平滑無(wú)感知，管理平臺(tái)可統(tǒng)一控制。3.2.2.3基于規(guī)則匹配的補(bǔ)丁更新技術(shù)（1）原理介紹aES產(chǎn)品支持各種類型不同的操作系統(tǒng)以及不同版本的操作系統(tǒng)的補(bǔ)丁規(guī)則庫(kù)的更新，可以做到最新漏洞的實(shí)時(shí)檢測(cè)與防御，并提供了漏洞檢測(cè)與處置的功能，可以指定不同的終端進(jìn)行全部、高危或者指定漏洞的檢測(cè)，得到每一臺(tái)終端的全部漏洞信息，并且可指定漏洞進(jìn)行修復(fù)或者忽略處理。（2）優(yōu)勢(shì)說(shuō)明終端根據(jù)最新的補(bǔ)丁規(guī)則庫(kù)進(jìn)行系統(tǒng)補(bǔ)丁檢測(cè)，匹配來(lái)判斷當(dāng)前是否已經(jīng)進(jìn)行補(bǔ)丁的安裝，同時(shí)終端支持多種方式來(lái)獲取最新的補(bǔ)丁安裝包，包括微軟補(bǔ)丁服務(wù)器、深信服官方補(bǔ)丁服務(wù)器、管理平臺(tái)以及自定義服務(wù)器。保證在網(wǎng)絡(luò)隔離環(huán)境下，終端也可以通過(guò)管理平臺(tái)來(lái)進(jìn)行補(bǔ)丁的升級(jí)。aES產(chǎn)品的漏洞檢測(cè)、補(bǔ)丁更新，大大提高了管理效率，增強(qiáng)了終端資產(chǎn)的安全性。3.2.3熱點(diǎn)漏洞熱點(diǎn)漏洞專題會(huì)呈現(xiàn)當(dāng)前時(shí)間線最火熱、最新的漏洞情況，支持推送熱點(diǎn)漏洞預(yù)警、實(shí)現(xiàn)一鍵風(fēng)險(xiǎn)自查。幫助掌握當(dāng)前時(shí)間線最需要關(guān)注的漏洞情況。圖：熱點(diǎn)漏洞3.2.4風(fēng)險(xiǎn)應(yīng)用檢查深信服安全團(tuán)隊(duì)持續(xù)性跟蹤最新的技戰(zhàn)術(shù)情報(bào)和攻擊常用的風(fēng)險(xiǎn)工具，產(chǎn)品基于安裝在服務(wù)器上的防護(hù)Agent，通過(guò)靜態(tài)特征和動(dòng)態(tài)行為特征識(shí)別技術(shù)，能實(shí)時(shí)捕獲服務(wù)器上安裝的風(fēng)險(xiǎn)應(yīng)用并及時(shí)告警，已支持19項(xiàng)風(fēng)險(xiǎn)應(yīng)用檢測(cè)，涵蓋主流攻擊入侵點(diǎn)，讓風(fēng)險(xiǎn)檢測(cè)更省心；如：CobaltStrike、DUBrute、DefenderControl、Frp 、Fscan、Gmer、KPortScan、Lazykatz、Masscan、Mimikatz、NLBrute、Nasp、Netpass、PCHunter、PortScan、PowerTool、ProcessHacker、PsExec、WebBrowserPassView 3.2.5弱口令檢查弱口令也稱為弱密碼，深信服aES平臺(tái)弱密碼檢測(cè)技術(shù)整合了資產(chǎn)發(fā)現(xiàn)、文件解析、密碼獲取、密碼強(qiáng)度判定、二次檢測(cè)緩存加速、檢測(cè)結(jié)果加密防泄漏、跨平臺(tái)兼容等功能，提供了多種類型的弱密碼檢測(cè)，支持Windows、Linux，國(guó)產(chǎn)化系統(tǒng)，支持多輪加鹽哈希、不加鹽哈希、對(duì)稱加密、明文等多種不同方式存放密碼的應(yīng)用，包括：SSH、RDP、MySQL、MongoDB、SVN、Redis、PostgreSQL、WebLogic等17項(xiàng)應(yīng)用，并將持續(xù)增加對(duì)更多應(yīng)用的支持。另外，弱密碼檢測(cè)技術(shù)還提供自定義弱密碼，密碼消失自動(dòng)備注功能，用戶通過(guò)自定義弱密碼可定制更加符合自己的業(yè)務(wù)場(chǎng)景，通過(guò)密碼消失自動(dòng)備注能夠自動(dòng)記錄弱密碼變更強(qiáng)密碼或者應(yīng)用卸載不存在弱密碼的修復(fù)時(shí)間。弱密碼檢測(cè)技術(shù)針對(duì)云主機(jī)資源對(duì)互聯(lián)網(wǎng)開放的特點(diǎn)，為云主機(jī)提供全方位、多應(yīng)用的檢測(cè)，以降低黑客入侵、數(shù)據(jù)泄露的風(fēng)險(xiǎn)，同時(shí)可以與二次認(rèn)證功能形成對(duì)SSH和RDP系統(tǒng)賬號(hào)有效的檢出與快速閉環(huán)弱密碼解決方案。圖：弱密碼檢測(cè)工作原理圖：RDP與SSH弱密碼解決方案3.2.6合規(guī)基線圖：基線檢查深信服aES平臺(tái)合規(guī)基線檢查技術(shù)根據(jù)云主機(jī)資源對(duì)互聯(lián)網(wǎng)開放的特點(diǎn)，對(duì)云主機(jī)的系統(tǒng)，數(shù)據(jù)庫(kù)，web服務(wù)器等基礎(chǔ)資產(chǎn)進(jìn)行安全檢測(cè)，并提供安全加固建議和指導(dǎo)方法，以降低黑客入侵、數(shù)據(jù)泄露的風(fēng)險(xiǎn)。深信服aES平臺(tái)基線檢查技術(shù)整合了資產(chǎn)發(fā)現(xiàn)，自定義基線項(xiàng)，自定義檢查點(diǎn)，快速掃描，忽略過(guò)濾，規(guī)則修復(fù)校驗(yàn)，基線規(guī)則升級(jí)迭代，二次檢測(cè)緩存加速，規(guī)則和結(jié)果加密防泄漏，跨平臺(tái)兼容等功能。3.2.7暴露面梳理

深信服aES平臺(tái)通過(guò)客戶對(duì)內(nèi)網(wǎng)地址和代理的配置，對(duì)主機(jī)的網(wǎng)絡(luò)日志進(jìn)行分析，精準(zhǔn)識(shí)別和記錄外部對(duì)終端的訪問(wèn)行為，并統(tǒng)計(jì)對(duì)外暴露的主機(jī)和端口。幫助客戶提前識(shí)別和預(yù)防端口入侵行為。圖：暴露面3.2.8惡性病毒處置修復(fù)近年來(lái)病毒數(shù)量呈指數(shù)級(jí)增長(zhǎng)，病毒類型層出不窮，給企業(yè)級(jí)用戶造成了很大的安全威脅。其中，經(jīng)深信服千里目安全實(shí)驗(yàn)室分析，以影響業(yè)務(wù)連續(xù)性卻難以處置的惡性病毒影響尤為突出。此類惡意病毒種類多，變化快，且寄生在用戶業(yè)務(wù)系統(tǒng)的正常文件內(nèi)，處置難度極大。刪除文件導(dǎo)致用戶業(yè)務(wù)停止，不處置則全網(wǎng)泛濫。而傳統(tǒng)病毒檢測(cè)采用的是基于靜態(tài)特征分析和規(guī)則匹配的方式，面對(duì)多變的惡性病毒，無(wú)論是檢測(cè)能力還是修復(fù)效果上，都存在明顯的不足。1.

規(guī)則庫(kù)資源加重，檢測(cè)速度慢隨著病毒數(shù)量、變種的增加，與之對(duì)應(yīng)的規(guī)則庫(kù)資源大，導(dǎo)致基于規(guī)則匹配的病毒檢測(cè)速度慢，性能消耗多，影響用戶的正常辦公。2.

基于特征碼分析，漏報(bào)高傳統(tǒng)基于特征碼分析的病毒檢測(cè)方式，其本質(zhì)是對(duì)文件的字節(jié)信息等靜態(tài)特征進(jìn)行匹配，像autoCAD這類運(yùn)行時(shí)才大批量感染傳播的惡性病毒，無(wú)法基于靜態(tài)特征檢測(cè)。此外，新型病毒往往難以及時(shí)提取特征碼，導(dǎo)致檢測(cè)失效，漏報(bào)率高。3.處置能力差，難以完全修復(fù)傳統(tǒng)的殺毒軟件，即使在檢測(cè)出惡性病毒后，處置方式只能是刪除整個(gè)寄生文件，而無(wú)法修復(fù)被感染樣本。例如寄生在office文檔模板中的宏病毒，傳統(tǒng)修復(fù)方案往往需要把文檔中所有的宏均刪除，影響用戶的業(yè)務(wù)連續(xù)性。深信服終端安全管理系統(tǒng)aES基于AI賦能，結(jié)合多維度、輕量級(jí)漏斗型檢測(cè)框架，通過(guò)文件信譽(yù)檢測(cè)引擎、基因特征檢測(cè)引擎、SAVE安全智能檢測(cè)引擎、行為引擎、云查引擎等引擎的層層過(guò)濾，惡性病毒檢測(cè)更快速更精準(zhǔn)。同時(shí)，根據(jù)不同惡性病毒，進(jìn)行代碼層級(jí)的細(xì)粒度修復(fù)，實(shí)現(xiàn)根本性無(wú)損修復(fù)。檢測(cè)響應(yīng)深信服aES平臺(tái)基于對(duì)資產(chǎn)的動(dòng)態(tài)監(jiān)控，通過(guò)采集進(jìn)程創(chuàng)建，執(zhí)行命令，文件變動(dòng)，系統(tǒng)任務(wù)，監(jiān)聽端口，網(wǎng)絡(luò)連接，系統(tǒng)日志等多種資產(chǎn)關(guān)鍵事件，對(duì)入侵行為進(jìn)行持續(xù)監(jiān)控與掃描，提供完備的入侵檢測(cè)能力。圖：入侵行為檢測(cè)3.3.1高級(jí)威脅檢測(cè)能力（詳見(jiàn)高級(jí)威脅技術(shù)白皮書）傳統(tǒng)主防以規(guī)則為檢測(cè)手段，通過(guò)規(guī)則發(fā)現(xiàn)攻擊威脅，難以覆蓋高級(jí)威脅，例如無(wú)文件攻擊、模仿攻擊（Mimicry）以及跨重啟跨長(zhǎng)時(shí)間窗口的APT攻擊。深信服高級(jí)威脅檢測(cè)能力在端側(cè)采集全面的數(shù)據(jù)，包括終端、用戶、文件、進(jìn)程、行為等數(shù)據(jù)。數(shù)據(jù)在本地做分層，聚合有效數(shù)據(jù)上傳至平臺(tái)。結(jié)合用戶真實(shí)環(huán)境做上下文強(qiáng)關(guān)聯(lián)分析，提升攻擊研判精準(zhǔn)度。行為檢測(cè)基于多事件復(fù)雜關(guān)聯(lián)規(guī)則匹配算法，依靠IOA泛化行為規(guī)則提高已知和未知高級(jí)威脅攻擊檢測(cè)能力，補(bǔ)充復(fù)雜行為關(guān)聯(lián)檢測(cè)領(lǐng)域空白，構(gòu)建行為檢測(cè)防御層級(jí)，增強(qiáng)多層次縱深防御檢測(cè)能力，幫忙用戶有效抵御已知和未知高級(jí)威脅攻擊。強(qiáng)關(guān)聯(lián)分析技術(shù)，檢測(cè)能力強(qiáng)精準(zhǔn)度高。深信服高級(jí)威脅檢測(cè)能力使用PG（圖計(jì)算）關(guān)聯(lián)分析技術(shù)，基于用戶真實(shí)環(huán)境結(jié)合數(shù)據(jù)做上下文關(guān)聯(lián)，提升檢測(cè)精準(zhǔn)度。對(duì)采集到的數(shù)據(jù)收斂，過(guò)濾正常場(chǎng)景，提取有效數(shù)據(jù)檢測(cè)是否為真正攻擊。檢測(cè)精準(zhǔn)率高誤報(bào)低。以可視化事件形式展現(xiàn)攻擊，減少用戶自己做告警關(guān)聯(lián)分析的工作量，讓運(yùn)營(yíng)人員看得懂用的起來(lái)；威脅狩獵，挖掘潛伏攻擊，無(wú)漏網(wǎng)攻擊。根據(jù)情報(bào)（IOC）、攻擊信息在全網(wǎng)范圍內(nèi)的狩獵，幫助用戶發(fā)現(xiàn)潛伏攻擊，制止攻擊于前期階段。終端數(shù)據(jù)采集能力強(qiáng)，數(shù)據(jù)采集全，所以可以做到更細(xì)粒度的狩獵。再次幫助用戶發(fā)現(xiàn)漏網(wǎng)攻擊。3.3.1.1豐富的行為數(shù)據(jù)采集系統(tǒng)高級(jí)威脅檢測(cè)系統(tǒng)中層次關(guān)系，依次是：采集系統(tǒng)與檢測(cè)系統(tǒng)。其中采集系統(tǒng)主要包含驅(qū)動(dòng)采集和應(yīng)用層采集：windows主要基于驅(qū)動(dòng)和ETW進(jìn)行行為數(shù)據(jù)的采集，驅(qū)動(dòng)層行為支持行為的同步攔截和異步審計(jì)，ETW主要作為驅(qū)動(dòng)采集的補(bǔ)充。Linux采用驅(qū)動(dòng)方案以及無(wú)驅(qū)的混合開發(fā)方案，可支持有驅(qū)與無(wú)驅(qū)的動(dòng)態(tài)切換。具體采集字段可參考《深信服Windows主機(jī)日志采集》《深信服Linux主機(jī)日志采集》。功能層-功能層負(fù)責(zé)與監(jiān)控驅(qū)驅(qū)動(dòng)通信并暴露功能（Function）接口給邏輯層，為邏輯層根據(jù)產(chǎn)品需求封裝邏輯提供靈活、完善的支持。邏輯層-利用功能層提供的接口、根據(jù)產(chǎn)品需求封裝邏輯功能，例如文件監(jiān)控、訪問(wèn)控制、行為分析、數(shù)據(jù)采集等。交互層-交互層充當(dāng)邏輯層與監(jiān)控交互模塊的代理角色，為邏輯層提供交互功能接口。3.3.1.2基于圖分析技術(shù)的行為檢測(cè)終端上所有行為操作可以抽象為通過(guò)圖數(shù)據(jù)結(jié)構(gòu)表示，我們將這種最小行為描述單元稱為原始行為。終端上全部行為操作集合稱為全局圖，所以全局圖是由全體原始行為組成。攻擊行為圖可以看成是全局圖的一個(gè)子圖，惡意行為規(guī)則匹配是匹配攻擊行為圖上部分節(jié)點(diǎn)和邊的過(guò)程。實(shí)時(shí)行為檢測(cè)本質(zhì)上可以看作是原始行為數(shù)據(jù)匹配惡意行為規(guī)則過(guò)程。準(zhǔn)確的框定攻擊行為范圍是提高檢測(cè)準(zhǔn)確率和降低誤報(bào)率關(guān)鍵所在。本方案通過(guò)基于圖關(guān)聯(lián)分析技術(shù)和自研Rete規(guī)則匹配算法，能夠支持多個(gè)事件間字段復(fù)雜關(guān)聯(lián)規(guī)則匹配，實(shí)時(shí)的檢測(cè)單進(jìn)程、跨進(jìn)程惡意行為攻擊。3.3.1.3文件附件釣魚的免殺檢測(cè)、精準(zhǔn)定性與自動(dòng)防護(hù)圖一、附件釣魚攻擊流程圖深信服EDR對(duì)釣魚攻擊的檢測(cè)不依賴文件特征，而是基于文件被打開或執(zhí)行起來(lái)之后的行為進(jìn)行持續(xù)檢測(cè)，將整個(gè)攻擊過(guò)程的所有行為關(guān)聯(lián)起來(lái)后進(jìn)行檢測(cè)，可實(shí)現(xiàn)對(duì)免殺釣魚的有效檢測(cè)。不僅能對(duì)免殺釣魚檢測(cè)和精準(zhǔn)定性釣魚事件，還可以還原出完整攻擊過(guò)程進(jìn)行溯源調(diào)查。圖二、釣魚的自動(dòng)研判定性與防護(hù)當(dāng)端點(diǎn)上檢測(cè)到可疑行為后，會(huì)自動(dòng)進(jìn)行溯源。如果來(lái)自郵件附件或IM，會(huì)精準(zhǔn)定性為釣魚并將該類事件重點(diǎn)突顯出來(lái)，同時(shí)會(huì)自動(dòng)對(duì)釣魚后的遠(yuǎn)控等惡意行為進(jìn)行攔截?？勺詣?dòng)防護(hù)，實(shí)現(xiàn)及時(shí)止損，避免被擴(kuò)散打穿。如果沒(méi)有自動(dòng)防護(hù)，必須7*24小時(shí)值守和及時(shí)處置響應(yīng)。3.3.2WebShell檢測(cè)WebShell是指在被黑客入侵的服務(wù)器上安裝的惡意程序或腳本。WebShell是服務(wù)器場(chǎng)景、內(nèi)網(wǎng)場(chǎng)景的核心安全威脅。圖：WebShell檢測(cè)深信服aES平臺(tái)WebShell是從腳本文件靜態(tài)分析的角度來(lái)確定樣本是否具有惡意行為。在技術(shù)上結(jié)合了語(yǔ)法分析、AI檢測(cè)等技術(shù)，可以有效地解決各種WebShell變形、繞過(guò)。具有檢出能力強(qiáng)，誤報(bào)低,有效識(shí)別未知WebShell等特點(diǎn)。3.3.3反彈Shell檢測(cè)反彈shell是數(shù)據(jù)中心場(chǎng)景初始入侵階段重要攻擊手法。當(dāng)黑客得到了受害者服務(wù)器的任意代碼執(zhí)行權(quán)限，下一步大多利用控制端監(jiān)聽在某TCP/UDP端口，被控端發(fā)起請(qǐng)求到該端口，并將其命令行的輸入輸出轉(zhuǎn)到控制端從而獲得一個(gè)交互的shell，利用網(wǎng)絡(luò)概念的客戶端與服務(wù)端的角色反轉(zhuǎn)，解決攻防實(shí)戰(zhàn)中防火墻受限、權(quán)限不足、端口被占用等影響攻擊的情形，從而更好的控制受害者服務(wù)器。深信服aES平臺(tái)反彈shell檢測(cè)方案基于通過(guò)行為事件檢測(cè)完備覆蓋了方案數(shù)據(jù)中心場(chǎng)景下攻防實(shí)戰(zhàn)中絕大多的攻擊界面并廣譜、泛化行為事件之間的執(zhí)行流、數(shù)據(jù)流關(guān)聯(lián)。針對(duì)每一類基本反彈手法沉淀了大量的HW攻防對(duì)抗手法的經(jīng)驗(yàn)，有效提升了實(shí)戰(zhàn)攻防技術(shù)門檻。引入了進(jìn)程間fdpipe鏈關(guān)聯(lián)檢測(cè)，通過(guò)識(shí)別進(jìn)程間fdpipe鏈數(shù)據(jù)構(gòu)成特定的src/sink流向異常來(lái)從更深層本質(zhì)層次識(shí)別識(shí)別反彈shell攻擊手法。引入了實(shí)時(shí)內(nèi)存特征檢測(cè)技術(shù)，可以精準(zhǔn)識(shí)別內(nèi)存注入類的反彈shellshellcode以及Payload特征，從而補(bǔ)全反彈shell威脅圖譜檢測(cè)技術(shù)棧。圖：反彈shell檢測(cè)方案3.3.4內(nèi)存馬檢測(cè)（詳見(jiàn)內(nèi)存馬檢測(cè)技術(shù)白皮書）內(nèi)存馬”也被稱為“無(wú)文件馬”，是一種僅存在于內(nèi)存中的無(wú)文件惡意代碼。圖：內(nèi)存馬檢測(cè)范圍圖：內(nèi)存馬檢測(cè)框架深信服aES平臺(tái)內(nèi)存檢測(cè)方案通過(guò)對(duì)目標(biāo)進(jìn)程的無(wú)侵入式的內(nèi)存特征掃描技術(shù)可以第一時(shí)間發(fā)現(xiàn)并精準(zhǔn)確認(rèn)內(nèi)存木馬攻擊。深信服通過(guò)深入研究分析WebSehll管理工具之后，完備收集并持續(xù)追蹤其在后滲透階段可能在服務(wù)器機(jī)器上執(zhí)行的操作特征，通過(guò)全量檢測(cè)活躍在內(nèi)存空間中的代碼來(lái)對(duì)惡意行為進(jìn)行捕獲，此方案具有很高的檢出率以及極低的誤報(bào)率。目前Web內(nèi)存馬檢測(cè)方案支持檢測(cè)包括但不限于命令執(zhí)行，Jar文件加載，shellcode注入，自定義代碼執(zhí)行等在內(nèi)的多種危害性極大的惡意行為。同時(shí)也會(huì)覆蓋多種常見(jiàn)的黑客工具如MetaSploit，CobaltStrike等隱蔽攻擊發(fā)現(xiàn)。3.3.5暴力破解檢測(cè)深信服aES平臺(tái)暴力破解支持單點(diǎn)爆破和分布式爆破檢測(cè)，通過(guò)實(shí)時(shí)監(jiān)控登錄行為，可及時(shí)發(fā)現(xiàn)黑客使用不同服務(wù)嘗試暴力破解用戶登錄密碼的攻擊行為。單點(diǎn)爆破，分布式爆破支持加入白名單、封堵IP、隔離主機(jī)等響應(yīng)處置方法。暴力破解支持自定義檢測(cè)、處置、封堵規(guī)則，可以靈活的根據(jù)特定資產(chǎn)設(shè)置不同安全等級(jí)、不同敏感度的檢測(cè)和處置措施。圖：?jiǎn)吸c(diǎn)爆破檢測(cè)圖：分布式爆破檢測(cè)3.3.6異常命令檢測(cè)深信服aES平臺(tái)異常命令檢測(cè)是指檢測(cè)主機(jī)上執(zhí)行的非常規(guī)命令。這類命令的特點(diǎn)是常規(guī)業(yè)務(wù)使用頻率極低而黑客使用頻率較高。深信服云主機(jī)安全保護(hù)平臺(tái)基于歷史威脅檢測(cè)數(shù)據(jù)實(shí)現(xiàn)了一套精細(xì)的規(guī)則來(lái)匹配異常的命令。3.3.7權(quán)限提升檢測(cè)深信服aES平臺(tái)權(quán)限提升檢測(cè)是指檢測(cè)黑客利用漏洞或者主機(jī)上的不當(dāng)配置提升自身進(jìn)程權(quán)限的行為，支持4種類型的提權(quán)檢測(cè)能力：利用sudo、su漏洞提權(quán)；利用配置不當(dāng)?shù)膕uid程序提權(quán)；利用配置不當(dāng)?shù)膁ocker提權(quán)；利用系統(tǒng)內(nèi)核漏洞提權(quán)?？梢愿采w到linux上絕大部分的提權(quán)檢測(cè)手法。3.3.8端口轉(zhuǎn)發(fā)檢測(cè) 深信服aES平臺(tái)端口轉(zhuǎn)發(fā)檢測(cè)是指檢測(cè)黑客利用ssh、iptable進(jìn)行端口轉(zhuǎn)移的行為。攻擊者利用這種方式達(dá)到減少對(duì)外連接、隱藏訪問(wèn)關(guān)系的目的。端口檢測(cè)通過(guò)檢測(cè)異常開啟的端口與ssh等進(jìn)程的關(guān)聯(lián)關(guān)系來(lái)檢測(cè)這種行為。3.3.9遠(yuǎn)程命令執(zhí)行檢測(cè)WebRCE是指，攻擊者利用WebServer、中間件、Web框架等出現(xiàn)的漏洞或者弱口令等方式拿到遠(yuǎn)程服務(wù)器應(yīng)用的執(zhí)行權(quán)限包括但不限于命令執(zhí)行、文件操作、網(wǎng)絡(luò)外聯(lián)等攻擊手法。圖：WebRCE檢測(cè)技術(shù)總體架構(gòu)深信服aES平臺(tái)WebRCE檢測(cè)技術(shù)通過(guò)采集服務(wù)器主機(jī)包括Linux、Windows等平臺(tái)下文件、網(wǎng)絡(luò)、進(jìn)程、注冊(cè)表等系統(tǒng)行為信息，檢測(cè)多行為事件中間的數(shù)據(jù)流、執(zhí)行流等深度關(guān)聯(lián)來(lái)發(fā)現(xiàn)WebRCE攻擊威脅。WebRCE檢測(cè)覆蓋了方案數(shù)據(jù)中心場(chǎng)景下攻防實(shí)戰(zhàn)中絕大多的攻擊界面諸如數(shù)據(jù)庫(kù)類，Web應(yīng)用類，辦公自動(dòng)化類等幾十種常見(jiàn)的應(yīng)用服務(wù)，針對(duì)常見(jiàn)的編碼混淆、惡意下載、文件行為、信息收集、網(wǎng)絡(luò)外聯(lián)、腳本執(zhí)行、系統(tǒng)駐留等十幾類的ATT&CK攻擊手法，支持常見(jiàn)行為對(duì)抗繞過(guò)，具備廣譜、泛化的檢測(cè)能力。同時(shí)WebRCE方案針對(duì)每一個(gè)WebRCE告警，提供了諸如威脅發(fā)生時(shí)的進(jìn)程樹、進(jìn)程命令行參數(shù)、受害主機(jī)等WebRCE威脅以及上下文關(guān)鍵信息，支持因果舉證，高亮行為規(guī)則判定依據(jù)。3.3.10訪問(wèn)惡意地址檢測(cè)深信服aES平臺(tái)訪問(wèn)惡意地址檢測(cè)會(huì)監(jiān)控主機(jī)上的網(wǎng)絡(luò)請(qǐng)求，如果有對(duì)惡意ip或者惡意域名的網(wǎng)絡(luò)訪問(wèn)，則會(huì)告警。通常挖礦病毒與遠(yuǎn)控木馬會(huì)與黑客控制的服務(wù)器進(jìn)行網(wǎng)絡(luò)信息傳輸。深信服通過(guò)大數(shù)據(jù)和自身的威脅情報(bào)系統(tǒng)，能準(zhǔn)確識(shí)別惡意的ip與域名；并支持實(shí)時(shí)上報(bào)3.3.11異常登錄檢測(cè)深信服aES平臺(tái)異常登錄檢測(cè)包含異常時(shí)間登錄的檢測(cè)與異常地址登錄的檢測(cè)。異常的登錄行為通常與黑客行為相關(guān)聯(lián)。3.3.12異常掃描檢測(cè)異常掃描是指黑客在內(nèi)網(wǎng)滲透過(guò)程中，使用端口掃描工具對(duì)其他主機(jī)的敏感端口進(jìn)行連通性測(cè)試，從而尋找攻擊入口點(diǎn)。深信服aES平臺(tái)異常掃描檢測(cè)通過(guò)監(jiān)控主機(jī)的網(wǎng)絡(luò)連接和監(jiān)控常規(guī)掃描工具進(jìn)程啟動(dòng)行為，可以穩(wěn)定有效的檢測(cè)出主機(jī)上正在運(yùn)行的端口掃描工具。3.3.13網(wǎng)絡(luò)蜜罐網(wǎng)絡(luò)蜜罐通過(guò)模擬真實(shí)系統(tǒng)或應(yīng)用程序，以吸引攻擊者并收集他們的攻擊數(shù)據(jù)。網(wǎng)絡(luò)蜜罐的價(jià)值在于以下幾個(gè)方面：收集攻擊數(shù)據(jù)：網(wǎng)絡(luò)蜜罐可以收集攻擊者的攻擊數(shù)據(jù)，包括攻擊方法、攻擊工具、攻擊目標(biāo)等信息，這些信息對(duì)于安全團(tuán)隊(duì)分析攻擊行為和制定防御策略非常有價(jià)值。提高安全意識(shí)：網(wǎng)絡(luò)蜜罐可以幫助安全團(tuán)隊(duì)了解攻擊者的攻擊手段和目的，從而提高安全意識(shí)，加強(qiáng)安全防御。降低風(fēng)險(xiǎn)：通過(guò)使用網(wǎng)絡(luò)蜜罐，安全團(tuán)隊(duì)可以在真實(shí)系統(tǒng)之外提供一個(gè)安全的環(huán)境，以吸引攻擊者，從而降低真實(shí)系統(tǒng)受到攻擊的風(fēng)險(xiǎn)。改善安全策略：網(wǎng)絡(luò)蜜罐可以幫助安全團(tuán)隊(duì)了解攻擊者的攻擊行為和目的，從而改善安全策略，提高安全防御能力。3.3.14行為偏離預(yù)警行為偏離預(yù)警是深信服創(chuàng)新研究院提出的一套安全建設(shè)理念，旨在通過(guò)“鑒白”的思想，以自動(dòng)化構(gòu)建最小化行為集合為主要管控手段，可實(shí)現(xiàn)攻擊手法的高效檢測(cè)、準(zhǔn)確響應(yīng)和風(fēng)險(xiǎn)預(yù)測(cè)。應(yīng)用的行為包括應(yīng)用內(nèi)外，涵蓋文件、網(wǎng)絡(luò)、進(jìn)程、關(guān)鍵內(nèi)部API調(diào)用。值得說(shuō)明的是，不論應(yīng)用內(nèi)行為還是應(yīng)用外行為，行為的主體都是服務(wù)器上開放端口的進(jìn)程，如URL等只是進(jìn)程的某個(gè)屬性。行為偏離預(yù)警能夠?qū)崿F(xiàn)的價(jià)值如下：能夠比較強(qiáng)地檢測(cè)出通過(guò)開放的應(yīng)用導(dǎo)致的攻擊行為，包括0day。對(duì)遠(yuǎn)程代碼執(zhí)行漏洞、任意文件上傳漏洞、任意文件讀取漏洞、javaweb應(yīng)用的SQL注入漏洞具備比較強(qiáng)的檢測(cè)能力。能夠歸納收斂當(dāng)前應(yīng)用產(chǎn)生的文件、網(wǎng)絡(luò)、進(jìn)程行為，并支持展示，可以供用戶對(duì)自身服務(wù)的行為有一個(gè)比較好把控，特別是服務(wù)對(duì)外有哪些網(wǎng)絡(luò)連接的功能對(duì)客戶資產(chǎn)行為梳理能起到比較大的作用。3.3.15powershell執(zhí)行無(wú)文件攻擊方式利用powershell的命令加載惡意代碼，利用powershell執(zhí)行的方式繞過(guò)傳統(tǒng)殺軟的檢測(cè)與防護(hù)，該方式快速且具有隱秘性，不易被察覺(jué)，被廣泛利用于挖礦，竊密等非法行為上。深信服aES能夠準(zhǔn)確攔截powershell的對(duì)惡意代碼的執(zhí)行，實(shí)現(xiàn)實(shí)時(shí)準(zhǔn)確阻斷，防止用戶主機(jī)被利用破壞。安全防御3.4.1防病毒&防勒索3.4.1.1文件信譽(yù)檢測(cè)引擎基于傳統(tǒng)的文件hash值建立的輕量級(jí)信譽(yù)檢測(cè)引擎，主要用于加快檢測(cè)速度并有更好的檢出效果，主要有兩種機(jī)制：a、本地緩存信譽(yù)檢測(cè)：對(duì)終端主機(jī)本地已經(jīng)檢測(cè)出來(lái)的已知文件檢測(cè)結(jié)果緩存處理，加快二次掃描，優(yōu)先檢測(cè)未知文件。b、全網(wǎng)信譽(yù)檢測(cè)：在管理平臺(tái)上構(gòu)建企業(yè)全網(wǎng)的文件信譽(yù)庫(kù)，對(duì)單臺(tái)終端上的文件檢測(cè)結(jié)果匯總到平臺(tái)，做到一臺(tái)發(fā)現(xiàn)威脅，全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡(luò)中的檢測(cè)重點(diǎn)落到對(duì)未知文件的分析上，減少對(duì)已知文件重復(fù)檢測(cè)的資源開銷。3.4.1.2基因特征檢測(cè)引擎深信服aES的安全運(yùn)營(yíng)團(tuán)隊(duì)，根據(jù)安全云腦和aES產(chǎn)品的數(shù)據(jù)運(yùn)營(yíng)，對(duì)熱點(diǎn)事件的病毒家族進(jìn)行基因特征的提取，洞見(jiàn)威脅本質(zhì)，使之能應(yīng)對(duì)檢測(cè)出病毒家族的新變種。相比一般的靜態(tài)特征，基因特征提取更豐富的特征，家族識(shí)別更精準(zhǔn)。3.4.1.3SAVE人工智能引擎（1）原理介紹SAVE（SangforAI-basedVanguardEngine）是由深信服創(chuàng)新研究院的博士團(tuán)隊(duì)聯(lián)合aES產(chǎn)品的安全專家，以及安全云腦的大數(shù)據(jù)運(yùn)營(yíng)專家，共同打造的人工智能惡意文件檢測(cè)引擎。該引擎利用深度學(xué)習(xí)技術(shù)對(duì)數(shù)億維的原始特征進(jìn)行分析和綜合，結(jié)合安全專家的領(lǐng)域知識(shí)，最終挑選了數(shù)千維最有效的高維特征進(jìn)行惡意文件的鑒定。（2）SAVE的核心理念高層特征，穩(wěn)定可靠在現(xiàn)實(shí)世界，不同病毒變種間的底層二進(jìn)制代碼片段在不斷變換。為了識(shí)別未知病毒威脅，SAVE不再依賴于前述傳統(tǒng)方法依賴的字節(jié)級(jí)特征，而是使用AI技術(shù)提取穩(wěn)定、可靠的高層次特征。當(dāng)病毒變種間為了實(shí)現(xiàn)相似乃至相同的病毒功能，他們代碼的高層次語(yǔ)義特征往往是相似的（如圖1a和1b所示）。正是基于對(duì)病毒演化本質(zhì)的深入理解，SAVE通過(guò)神經(jīng)網(wǎng)絡(luò)等多種機(jī)器學(xué)習(xí)算法自動(dòng)提取高層次特征。深度神經(jīng)網(wǎng)絡(luò)是由多層的非線性神經(jīng)元構(gòu)成的網(wǎng)絡(luò)計(jì)算模型，它模擬了生物神經(jīng)系統(tǒng)的鏈接方式，能夠在系統(tǒng)中有效、快速的傳遞有效信息（如上圖所示）。深度神經(jīng)網(wǎng)絡(luò)的強(qiáng)大之處在于：通過(guò)學(xué)習(xí)海量的正常文件樣本和病毒文件樣本，它能自動(dòng)地、逐層地凝練更高層次的特征。比如說(shuō)，信息在網(wǎng)絡(luò)傳遞的過(guò)程中，其表征的含義從最開始輸入的文件字節(jié)特征（識(shí)別一個(gè)字節(jié)），逐漸進(jìn)化到語(yǔ)句特征(識(shí)別一個(gè)指令)，函數(shù)特征（識(shí)別一個(gè)函數(shù)）和語(yǔ)義特征（識(shí)別一個(gè)操作/行為，比如勒索病毒通常具有的加密操作），最后完全自動(dòng)化的構(gòu)建出穩(wěn)定可靠的高層次病毒特征。實(shí)中，取決于網(wǎng)絡(luò)結(jié)構(gòu)和深度的不同，信息演化的路徑不盡相同，但大體上是沿著這樣的方式。比起只利用字節(jié)特征的傳統(tǒng)方案形成明顯優(yōu)勢(shì)，SAVE具有很強(qiáng)的泛化能力。能夠更好的識(shí)別未曾見(jiàn)過(guò)的病毒樣本，抵御抗病毒變種和新病毒家族等未知威脅。博采眾長(zhǎng)，各個(gè)擊破病毒有非常多的家族和類型，不同類型間惡意行為差異很大，很難通過(guò)單一模型對(duì)所有病毒都有很好的識(shí)別效果。為了解決這一問(wèn)題，我們一方面進(jìn)行了精細(xì)的特征工程。公司的病毒專家在多年的實(shí)戰(zhàn)中，總結(jié)了很多病毒檢測(cè)的有效特征，識(shí)別經(jīng)驗(yàn)以及技巧。SAVE除了通過(guò)深度神經(jīng)網(wǎng)絡(luò)從原始文件信息中自動(dòng)構(gòu)建高層次特征，也會(huì)使用主成分分析（PCA）等方法從病毒專家多年積累的經(jīng)驗(yàn)中，提取高層次特征。另一方面，我們的決策模塊也通過(guò)集成學(xué)習(xí)框架，綜合了深度神經(jīng)網(wǎng)絡(luò)、隨機(jī)森林、支持向量機(jī)等多個(gè)機(jī)器學(xué)習(xí)決策模型，對(duì)文件作出精確分類。比如說(shuō)，某些模型對(duì)于勒索病毒有很高的檢出率，某些模型對(duì)于木馬有很高的檢出率。集成學(xué)習(xí)機(jī)制可以自動(dòng)識(shí)別各個(gè)模型的優(yōu)勢(shì)，相互補(bǔ)充，達(dá)到對(duì)所有病毒的檢出率最優(yōu)。左右互搏，持續(xù)演進(jìn)除了使用AI技術(shù)大幅提升檢測(cè)能力，SAVE還在云端通過(guò)生成對(duì)抗網(wǎng)絡(luò)（GAN）的思想（如圖3），采用“左右互搏”的方式持續(xù)學(xué)習(xí)，增強(qiáng)模型健壯性和檢測(cè)能力。一方面，GAN框架中的“生成器”模塊能夠模擬病毒變種的制作過(guò)程，不斷生成新的病毒變種文件，以逃逸當(dāng)前版本引擎的檢測(cè)。這些病毒文件將為SAVE持續(xù)提供模擬未知威脅的訓(xùn)練數(shù)據(jù)，促使SAVE不斷加強(qiáng)對(duì)未知威脅的檢測(cè)能力。另一方面，SAVE的檢測(cè)結(jié)果也會(huì)反饋給“生成器”，促使其生成更有威脅的病毒文件。通過(guò)兩個(gè)模塊的循環(huán)促進(jìn)，提升SAVE的檢測(cè)能力。SAVE的檢測(cè)架構(gòu)上圖描述了SAVE的本地檢測(cè)框架。首先，SAVE會(huì)從文件的頭、節(jié)、資源和簽名等多個(gè)部分提取信息，作為判別輸入。對(duì)于原始二進(jìn)制文件，SAVE通過(guò)多種方法（詞向量嵌入，主成分分析，深度神經(jīng)網(wǎng)絡(luò)等）提取出信息量豐富、類間界限明顯，穩(wěn)定可靠的的高層次向量化特征?；谔卣飨蛄浚琒AVE利用集成學(xué)習(xí)，綜合多種分類算法（隨機(jī)森林，神經(jīng)網(wǎng)絡(luò)，支持向量機(jī)等）進(jìn)行鑒定。最后，綜合評(píng)分系統(tǒng)整合各模型檢測(cè)結(jié)果，綜合判斷文件黑白屬性。（3）優(yōu)勢(shì)說(shuō)明強(qiáng)大的泛化能力，甚至能夠做到在不更新模型的情況下識(shí)別新出現(xiàn)的未知病毒；對(duì)勒索病毒檢測(cè)達(dá)到業(yè)界領(lǐng)先的檢出率，包括影響廣泛的WannaCry、BadRabbit等病毒；云+端聯(lián)動(dòng)，依托于深信服安全云腦基于海量大數(shù)據(jù)的運(yùn)營(yíng)分析，SAVE能夠持續(xù)進(jìn)化，不斷更新模型并提升檢測(cè)能力，從而形成本地傳統(tǒng)引擎、人工智能檢測(cè)引擎和云端查殺引擎的完美結(jié)合。3.4.1.4勒索病毒動(dòng)靜態(tài)立體防護(hù)新型勒索病毒層出不窮，全球各大企業(yè)遭受勒索病毒的事件持續(xù)發(fā)生，給各行各業(yè)造成了巨額的經(jīng)濟(jì)損失。據(jù)深信服云腦數(shù)據(jù)統(tǒng)計(jì)，深信服的安全團(tuán)隊(duì)在2020年已應(yīng)急響應(yīng)了數(shù)千起勒索事件，面對(duì)復(fù)雜的勒索病毒攻擊鏈，傳統(tǒng)的防護(hù)方案失效安全形式不容樂(lè)觀。勒索病毒的攻擊鏈一般分為三大步：感染病毒、加密勒索、橫向傳播，首先進(jìn)行病毒從外網(wǎng)到內(nèi)網(wǎng)的感染，然后漏洞利用提權(quán)加密勒索，最后威脅橫向持續(xù)擴(kuò)散。面對(duì)復(fù)雜的勒索病毒攻擊，傳統(tǒng)的防護(hù)方案難以防住。病毒感染難預(yù)防：由于病毒更新快速，變種多，并使用無(wú)需落地到磁盤的無(wú)文件攻擊方式；傳統(tǒng)基于特征檢測(cè)的殺毒軟件無(wú)法及時(shí)察覺(jué)，難以發(fā)現(xiàn)。加密勒索難定位：在進(jìn)入內(nèi)網(wǎng)后，開始運(yùn)行加密程序，而內(nèi)網(wǎng)資產(chǎn)數(shù)量龐大，一旦被加密，傳統(tǒng)防護(hù)方案網(wǎng)端割裂，無(wú)法聯(lián)動(dòng)并快速分析病毒的傳播環(huán)節(jié)，定位到所有感染主機(jī)。橫向傳播難控制：通過(guò)RDP遠(yuǎn)程爆破登錄，并迅速擴(kuò)散；即使檢測(cè)出了勒索病毒，但無(wú)法找到感染的根因，無(wú)法控制，即使業(yè)務(wù)系統(tǒng)恢復(fù)后，也有可能導(dǎo)致再次感染。深信服aES基于主流攻擊方式的技術(shù)研究，以及勒索病毒攻擊鏈原理分析，覆蓋勒索病毒全生命周期，提供預(yù)防、防御、檢測(cè)與響應(yīng)三個(gè)階段的4-6-6三層立體防護(hù)，滿足Gartner的安全要求，為終端提供全面、實(shí)時(shí)、快速、有效的安全防護(hù)能力，讓勒索病毒無(wú)所遁形，保護(hù)組織終端業(yè)務(wù)安全。3.4.1.5勒索靜態(tài)文件AI引擎（1）原理介紹多智能體模型推薦算法架構(gòu)，未知勒索高檢出病毒變種千變?nèi)f化，僅實(shí)現(xiàn)已知病毒檢測(cè)能力，在實(shí)際應(yīng)用中不足以滿足客戶對(duì)終端安全的保障需求?；谶@一目的，深信服aES在新版本引入多智能體模型推薦架構(gòu)增強(qiáng)未知病毒的檢測(cè)能力，通過(guò)對(duì)AI模型(隨機(jī)森林和神經(jīng)網(wǎng)絡(luò))深度和層級(jí)的加深，增強(qiáng)了AI模型泛化性和檢出精度。同時(shí)，多智能體模型推薦架構(gòu)不僅依賴于原有提取的通用性特征，同時(shí)新增AI技術(shù)對(duì)罕見(jiàn)性特征進(jìn)行深度提取，獲得更為穩(wěn)定、可靠的高層次特征。能夠更好的識(shí)別未曾見(jiàn)過(guò)的病毒樣本，抵御新型抗病毒變種和新病毒家族等未知病毒。優(yōu)勢(shì)說(shuō)明深信服aES在新版本對(duì)未知勒索威脅的檢測(cè)能力進(jìn)行全新升級(jí)，引入多智能體模型推薦架構(gòu)增加AI泛化能力，對(duì)可疑文件進(jìn)行多重AI檢測(cè)，提升對(duì)未知威脅的檢測(cè)能力，同時(shí)對(duì)判黑的威脅文件通過(guò)可拔插式AI判別是否為勒索病毒?？梢郧宄母嬷蛻魩推浞雷×死账鞑《荆嵘蛻舾兄?。通過(guò)對(duì)抗性AI訓(xùn)練，深信服aES對(duì)勒索的精準(zhǔn)率已提升到99.47%，暫居國(guó)內(nèi)top1。用戶可直觀地掌握內(nèi)網(wǎng)終端是否中了勒索病毒，影響范圍有多大，快速采取響應(yīng)措施。技術(shù)優(yōu)勢(shì)如下：海量高質(zhì)量樣本：深信服擁有大量企業(yè)客戶，而這些客戶是勒索的重災(zāi)區(qū)，深信服在響應(yīng)的同時(shí)獲得了大量勒索軟件樣本數(shù)據(jù)。并且深信服有專門的勒索研究團(tuán)隊(duì)，能夠針對(duì)這類高質(zhì)量樣本進(jìn)行數(shù)據(jù)預(yù)處理及特征篩選，最大限度保證機(jī)器學(xué)習(xí)的效果；訓(xùn)練算法突破：深信服在算法上再進(jìn)步（多智能體模型算法推薦架構(gòu)），使得AI模型效果盡可能最優(yōu)。并在訓(xùn)練平臺(tái)上再改進(jìn)，通過(guò)分布式訓(xùn)練平臺(tái)，實(shí)現(xiàn)可訓(xùn)練樣本提升3.5倍，實(shí)現(xiàn)模型效果顯著提升，同時(shí)檢出下誤報(bào)下降5倍；高效迭代：深信服由于加大資源投入及技術(shù)積累/進(jìn)步，原來(lái)由一年一次的AI模型更新提前到三個(gè)月一次，更新及發(fā)布周期頻率加快，勒索檢測(cè)效果再度提升；雙AI技術(shù)模型：除通用惡意文件AI檢測(cè)模型之外，深信服專門針對(duì)勒索病毒開發(fā)了專用的勒索AI檢測(cè)模型。大小模型結(jié)合，識(shí)別效果更精準(zhǔn)；引擎能力端側(cè)落地：深信服是國(guó)內(nèi)為數(shù)不多的能在終端側(cè)落地AI檢測(cè)能力的廠商，保證檢測(cè)防護(hù)時(shí)效性，檢測(cè)效果不受網(wǎng)絡(luò)、并發(fā)情況影響，離線也能精準(zhǔn)檢測(cè)。3.4.1.6勒索動(dòng)態(tài)行為AI引擎（1）原理介紹國(guó)內(nèi)首創(chuàng)通用白進(jìn)程利用勒索防護(hù)，信任區(qū)勒索防護(hù)。全新獨(dú)家上線“勒索行為AI引擎”，客戶就算被黑客攻陷，都能夠在勒索載荷落地執(zhí)行階段防住，AI引擎通過(guò)對(duì)主流勒索病毒加密行為的學(xué)習(xí)、檢測(cè)、打分，能夠精確定位勒索攻擊行為，實(shí)現(xiàn)自動(dòng)阻斷，遏制勒索蔓延。病毒加殼、混淆、注入白進(jìn)程等繞過(guò)手段層出不窮，靜態(tài)防護(hù)存在能力邊界，總有部分勒索病毒通過(guò)某種方式執(zhí)行起來(lái)，造成用戶數(shù)據(jù)損失。若在病毒執(zhí)行初始階段，發(fā)現(xiàn)并阻止加密進(jìn)程，能夠有效保護(hù)數(shù)據(jù)進(jìn)一步受損，為此提出基于行為的勒索病毒檢測(cè)方案。通過(guò)采集用戶操作系統(tǒng)進(jìn)程調(diào)用的API序列、進(jìn)程動(dòng)作序列、文件操作行為序列，并基于專家知識(shí)完成可疑行為模式篩選，最終采用模型融合的方式，實(shí)現(xiàn)勒索行為的高精度識(shí)別。勒索行為檢測(cè)流程如下：勒索行為檢測(cè)過(guò)程其中行為模型產(chǎn)出步驟如下圖所示，根據(jù)API序列、進(jìn)程動(dòng)作、文件操作等原始數(shù)據(jù)構(gòu)建行為圖，行為圖有助于發(fā)現(xiàn)不同行為之間存在的映射關(guān)系，基于該圖對(duì)行為本身、行為操作對(duì)象進(jìn)行量化，形成可計(jì)算的行為向量，而行為作為一種序列化的數(shù)據(jù)，需要具備針對(duì)長(zhǎng)序列的處理方案，這里采用時(shí)序網(wǎng)絡(luò)對(duì)長(zhǎng)序列進(jìn)行Embedding，進(jìn)一步地完成行為向量壓縮與行為特征提取。至此獲得了已采集數(shù)據(jù)的特征向量，后續(xù)結(jié)合貝葉斯分類、SVM、決策樹等多個(gè)模型完成最終的分類任務(wù)。（2）優(yōu)勢(shì)說(shuō)明通過(guò)分析勒索攻擊事件攻擊過(guò)程，采集其一系列可疑操作行為（如注冊(cè)表修改、執(zhí)行命令、釋放文件、創(chuàng)建進(jìn)程等），針對(duì)不同勒索家族類型的攻擊步驟進(jìn)行關(guān)聯(lián)分析，構(gòu)建定制化攻擊事件鏈條。實(shí)現(xiàn)勒索攻擊過(guò)程中攻擊模式抽取，若在端側(cè)匹配到相應(yīng)攻擊模式，則能夠?qū)崿F(xiàn)勒索加密發(fā)生前對(duì)勒索病毒的阻斷，保護(hù)用戶數(shù)據(jù)遭受損失。3.4.1.7防勒索動(dòng)態(tài)備份回滾（1）原理介紹備份恢復(fù)技術(shù)用于對(duì)抗勒索病毒很有效，因?yàn)橛捎谡`操作、安全策略配置不當(dāng)可能導(dǎo)致檢測(cè)、防護(hù)能力被繞過(guò)，所以還需要備份恢復(fù)能力做技術(shù)兜底。區(qū)別于傳統(tǒng)備份系統(tǒng)，aES動(dòng)態(tài)備份回滾不存在以下問(wèn)題：搭建備份系統(tǒng)部署周期久，投入較大，對(duì)系統(tǒng)資源占用較大；備份系統(tǒng)不具備識(shí)別勒索加密文件的能力，無(wú)論文件是否被加密，備份系統(tǒng)都會(huì)進(jìn)行備份，不僅增加系統(tǒng)的資源占用，而且會(huì)導(dǎo)致備份系統(tǒng)中數(shù)據(jù)受到污染；備份系統(tǒng)無(wú)法防范勒索攻擊，勒索病毒同樣會(huì)破壞備份數(shù)據(jù)，導(dǎo)致備份系統(tǒng)的數(shù)據(jù)庫(kù)無(wú)法使用，給客戶造成嚴(yán)重的數(shù)據(jù)損失。為解決上述問(wèn)題，aES創(chuàng)新研發(fā)基于行為AI的防勒索動(dòng)態(tài)備份能力，實(shí)現(xiàn)原理如下：防勒索系統(tǒng)安裝后，任何文件的操作均會(huì)觸發(fā)防勒索的安全檢查，可信應(yīng)用文件操作放行，非可信應(yīng)用文件操作將觸發(fā)備份動(dòng)作，在備份入庫(kù)前，防勒索系統(tǒng)會(huì)檢查入庫(kù)數(shù)據(jù)的安全性，通過(guò)文件名、后綴名、信息熵、方差值完成文件是否被勒索加密的判斷。我們知道，勒索病毒加密的文件會(huì)被修改文件名、后綴名，文件的熵值和方差值會(huì)發(fā)生顯著變化，基于此防勒索系統(tǒng)可識(shí)別被勒索加密的文件，已經(jīng)被勒索加密的文件將直接丟棄，并對(duì)操作該文件的進(jìn)程進(jìn)行終止和隔離操作，被識(shí)別為正常的數(shù)據(jù)文件則經(jīng)過(guò)重復(fù)檢查后進(jìn)入備份區(qū)。此外，勒索事中數(shù)據(jù)智能備份機(jī)制，數(shù)據(jù)智能備份機(jī)制并非是全盤備份，而是配合勒索行為AI引擎經(jīng)過(guò)巧妙設(shè)計(jì)按需觸發(fā)，既可以實(shí)現(xiàn)勒索病毒的精準(zhǔn)防范，又能備份緩解勒索行為AI引擎攔截時(shí)損失的少量文件，還能確保最小的系統(tǒng)資源消耗。（2）優(yōu)勢(shì)說(shuō)明基于AI的智能備份：深信服EDR勒索備份機(jī)制基于深信服EDR勒索AI引擎，對(duì)勒索行為實(shí)現(xiàn)智能化、高準(zhǔn)確、低誤報(bào)識(shí)別，確保備份模塊按需啟動(dòng)，完美結(jié)合可用性與安全性，大幅降低終端勒索備份復(fù)雜性。多層防護(hù)，精準(zhǔn)檢測(cè)：深信服EDR勒索行為檢測(cè)以勒索行為AI引擎為基礎(chǔ)，在國(guó)內(nèi)居于領(lǐng)先地位，而勒索備份機(jī)制以勒索行為檢測(cè)為核心，通過(guò)未知勒索病毒靜態(tài)檢測(cè)，勒索誘餌防護(hù)，黑客工具防護(hù)，內(nèi)存掃描防護(hù)，無(wú)文件攻擊防護(hù)以及遠(yuǎn)程登錄防護(hù)在事前對(duì)終端進(jìn)行整體防護(hù)；在事中通過(guò)動(dòng)態(tài)引擎對(duì)勒索行為進(jìn)行檢測(cè)與防護(hù)，并且以檢測(cè)結(jié)果為基礎(chǔ)，通過(guò)小文件實(shí)時(shí)備份與關(guān)鍵目錄隔離防護(hù)對(duì)小微文件與關(guān)鍵的業(yè)務(wù)目錄進(jìn)行備份與勒索防御；在事后通過(guò)終端一鍵回滾完成對(duì)被加密文件的回滾與恢復(fù)；形成多層次，高精準(zhǔn)防護(hù)機(jī)制，實(shí)現(xiàn)對(duì)客戶終端環(huán)境的全面防護(hù)。低成本，省心可靠：深信服EDR對(duì)文件實(shí)現(xiàn)精準(zhǔn)按需備份，靜態(tài)增量快照減少終端占用資源，進(jìn)而降低用戶辦公感知，對(duì)客戶日常業(yè)務(wù)不造成影響；并且將所有備份存儲(chǔ)在終端本地，不增加外部存儲(chǔ)從而大幅降低成本。防御閉環(huán)，一鍵回滾：對(duì)勒索行為事件，通過(guò)智能檢測(cè)，主動(dòng)防御，一鍵回滾形成終端防勒索閉環(huán)，大幅降低終端勒索風(fēng)險(xiǎn)。3.4.1.8勒索誘餌防護(hù)（1）原理介紹勒索病毒在入侵主機(jī)會(huì)進(jìn)行橫向傳播擴(kuò)散，影響范圍十分廣泛，一臺(tái)終端重病，全網(wǎng)業(yè)務(wù)癱瘓。深信服aES通過(guò)在系統(tǒng)關(guān)鍵目錄，放置誘餌文件，并且保證這些誘餌文件會(huì)被優(yōu)先枚舉到。當(dāng)有勒索程序?qū)φT餌文件進(jìn)行修改或刪除時(shí)，將觸發(fā)驅(qū)動(dòng)攔截該進(jìn)程行為，并將該進(jìn)程信息上報(bào)給應(yīng)用層進(jìn)行病毒文件查殺。（2）優(yōu)勢(shì)說(shuō)明針對(duì)性的勒索誘捕方案，主動(dòng)進(jìn)行勒索病毒的防御，及時(shí)阻止勒索病毒的大范圍傳播，全面阻止業(yè)務(wù)不可逆終端，保護(hù)主機(jī)安全。3.4.1.9服務(wù)器遠(yuǎn)程登錄防護(hù)（1）原理介紹RDP、SSH遠(yuǎn)程暴破登錄是目前黑客攻擊的常用手段之一，而企業(yè)運(yùn)維管理人員常因?yàn)榉?wù)器眾多，為方便管理運(yùn)維而使用安全性較低的登錄密碼，極容易爆破而導(dǎo)致被勒索。深信服aES推出服務(wù)器遠(yuǎn)程登錄的多因素認(rèn)證技術(shù)，通過(guò)監(jiān)聽RDP、SSH會(huì)話消息，當(dāng)檢測(cè)到有新會(huì)話接入時(shí)，自動(dòng)切換到二次認(rèn)證桌面，該桌面只有二次密碼驗(yàn)證的窗口，僅允許輸入密碼驗(yàn)證，禁止其他操作。也支持僅允許指定IP或網(wǎng)段的主機(jī)訪問(wèn)服務(wù)器，實(shí)現(xiàn)服務(wù)器遠(yuǎn)程登錄的統(tǒng)一認(rèn)證管理。（2）優(yōu)勢(shì)說(shuō)明通過(guò)服務(wù)器遠(yuǎn)程登錄防護(hù)，預(yù)防黑客通過(guò)RDP、SSH爆破方式攻擊服務(wù)器，大大減少了被勒索病毒入侵從而導(dǎo)致業(yè)務(wù)癱瘓、經(jīng)濟(jì)受損等風(fēng)險(xiǎn)，為組織提供全面的勒索立體防護(hù)。3.4.1.10服務(wù)器可信進(jìn)程加固防護(hù)企業(yè)服務(wù)器常承載關(guān)鍵業(yè)務(wù)運(yùn)行，系統(tǒng)極少運(yùn)行與業(yè)務(wù)無(wú)關(guān)的進(jìn)程，因此為防止非法進(jìn)程運(yùn)行占用系統(tǒng)資源干擾業(yè)務(wù)。aES推出的基于可信進(jìn)程的加固防護(hù)技術(shù)，實(shí)現(xiàn)從進(jìn)程學(xué)習(xí)、可信進(jìn)程確認(rèn)到可信進(jìn)程生效的防護(hù)策略，既支持服務(wù)器全系統(tǒng)可信進(jìn)程防護(hù)，也支持指定服務(wù)器目錄防護(hù)，從而阻止非可信進(jìn)程的運(yùn)行?？尚胚M(jìn)程加固包括兩個(gè)步驟，首先是學(xué)習(xí)階段，在該階段主要是采集終端運(yùn)行過(guò)的所有的進(jìn)程信息，學(xué)習(xí)停止后，由用戶根據(jù)采集到的進(jìn)程信息進(jìn)一步確認(rèn)并生成可信進(jìn)程的規(guī)則；第二階段是加固生效階段，可信進(jìn)程規(guī)則下發(fā)到終端上，終端在系統(tǒng)內(nèi)核中監(jiān)控進(jìn)程的創(chuàng)建行為，當(dāng)檢測(cè)到新進(jìn)程創(chuàng)建，獲取進(jìn)程信息并與可信進(jìn)程規(guī)則進(jìn)行匹配，如果匹配失敗，則阻斷進(jìn)程的創(chuàng)建行為。3.4.2應(yīng)用安全防護(hù)RASP（詳見(jiàn)RASP技術(shù)白皮書）“Runtimeapplicationself-protection”簡(jiǎn)稱為RASP，屬于一種新型應(yīng)用安全保護(hù)技術(shù)，它將防護(hù)功能"注入"到應(yīng)用程序中，與應(yīng)用程序融為一體，通過(guò)Hook少量關(guān)鍵函數(shù)，實(shí)時(shí)觀測(cè)程序運(yùn)行期間的內(nèi)部情況。當(dāng)應(yīng)用出現(xiàn)可疑行為時(shí)，RASP根據(jù)當(dāng)前上下文環(huán)境精準(zhǔn)識(shí)別攻擊事件，并給予實(shí)時(shí)阻斷，使應(yīng)用程序具備自我防護(hù)能力，而不需要進(jìn)行人工干預(yù)。LRASP引擎是一個(gè)基于RASP技術(shù)實(shí)現(xiàn)的、由探針和控制端組成的輕量級(jí)應(yīng)用安全自保護(hù)引擎。通過(guò)啟動(dòng)時(shí)hook/運(yùn)行時(shí)hook技術(shù)將探針插樁到目標(biāo)應(yīng)用。其中具備虛擬運(yùn)行時(shí)的開發(fā)語(yǔ)言（如Java/python/PHP等）借助虛擬運(yùn)行時(shí)提供的機(jī)制如Java的JVMTI，可以對(duì)運(yùn)行時(shí)程序進(jìn)行切面織入。目前引擎已實(shí)現(xiàn)了Java應(yīng)用自保護(hù)，通過(guò)插樁進(jìn)行Java字節(jié)碼增強(qiáng)，達(dá)到檢測(cè)/阻斷攻擊的效果。深信服aES支持手動(dòng)部署與自動(dòng)部署兩種RASP部署方式，采用了模塊化的設(shè)計(jì)，即將探針與安全能力進(jìn)行分離，將安全能力模塊化，支持按需控制檢測(cè)項(xiàng)，最大化地適應(yīng)部署了RASP防護(hù)的應(yīng)用。支持完備的熔斷策略，保證部署了RASP防護(hù)的業(yè)務(wù)的正常運(yùn)行。探針本體與安全能力模塊均支持熱加載與熱卸載的功能，可以在不影響業(yè)務(wù)的前提下，接近無(wú)感地進(jìn)行能力的更新，保證已部署了RASP防護(hù)的應(yīng)用的安全性與穩(wěn)定性。3.4.3網(wǎng)頁(yè)防篡改網(wǎng)絡(luò)攻擊者通常會(huì)利用被攻擊網(wǎng)站中存在的漏洞，通過(guò)在網(wǎng)頁(yè)中植入非法暗鏈對(duì)網(wǎng)頁(yè)內(nèi)容進(jìn)行篡改等方式，進(jìn)行非法牟利或者惡意商業(yè)攻擊等活動(dòng)。網(wǎng)頁(yè)被惡意篡改會(huì)影響您正常訪問(wèn)網(wǎng)頁(yè)內(nèi)容，還可能會(huì)導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失、品牌損失甚至是政治風(fēng)險(xiǎn)。網(wǎng)頁(yè)防篡改服務(wù)，可實(shí)時(shí)監(jiān)控網(wǎng)站目錄保障重要系統(tǒng)的網(wǎng)站信息不被惡意篡改，防止出現(xiàn)掛馬、黑鏈、非法植入恐怖威脅、色情等內(nèi)容。網(wǎng)站防篡改的核心體現(xiàn)在篡改檢測(cè)技術(shù)上，主要分為三類：外掛輪詢技術(shù)、核心內(nèi)嵌技術(shù)和增強(qiáng)型事件觸發(fā)技術(shù)。外掛輪詢技術(shù)：這種技術(shù)是通過(guò)定期輪詢網(wǎng)站的文件或目錄，與之前的快照進(jìn)行比對(duì)，以檢測(cè)是否有篡改發(fā)生。如果發(fā)現(xiàn)篡改，系統(tǒng)會(huì)進(jìn)行相應(yīng)的補(bǔ)償措施，恢復(fù)被篡改的內(nèi)容。然而，這種技術(shù)無(wú)法實(shí)時(shí)阻斷篡改，只能在篡改發(fā)生后進(jìn)行恢復(fù)。核心內(nèi)嵌技術(shù)：這種技術(shù)是將篡改檢測(cè)功能嵌入網(wǎng)站的核心代碼中，通過(guò)監(jiān)控文件的變化來(lái)檢測(cè)篡改。當(dāng)發(fā)現(xiàn)篡改時(shí)，系統(tǒng)會(huì)采取相應(yīng)的措施進(jìn)行恢復(fù)。與外掛輪詢技術(shù)類似，核心內(nèi)嵌技術(shù)也是事后補(bǔ)償?shù)乃悸罚瑹o(wú)法實(shí)時(shí)阻斷篡改。增強(qiáng)型事件觸發(fā)技術(shù)：這種技術(shù)是基于操作系統(tǒng)內(nèi)核底層文件系統(tǒng)驅(qū)動(dòng)的保護(hù)技術(shù)。它通過(guò)監(jiān)控被保護(hù)的網(wǎng)站目錄或文件的變化，實(shí)時(shí)進(jìn)行合法性檢查。當(dāng)檢測(cè)到篡改發(fā)生時(shí)，系統(tǒng)可以立即進(jìn)行實(shí)時(shí)檢測(cè)和實(shí)時(shí)阻斷。這種技術(shù)能夠更加及時(shí)地發(fā)現(xiàn)篡改，并采取相應(yīng)的措施進(jìn)行阻斷。總的來(lái)說(shuō)，aES采用的增強(qiáng)型事件觸發(fā)技術(shù)是一種更加高效和實(shí)時(shí)的篡改檢測(cè)技術(shù)，能夠在篡改發(fā)生時(shí)立即進(jìn)行檢測(cè)和阻斷。而外掛輪詢技術(shù)和核心內(nèi)嵌技術(shù)則是事后補(bǔ)償?shù)乃悸?，只能在篡改發(fā)生后進(jìn)行恢復(fù)。由于不需要像數(shù)字水印技術(shù)那樣對(duì)水印值先存儲(chǔ)再對(duì)比，不但篡改檢測(cè)效率高，對(duì)服務(wù)器本身資源占用也較低，尤其在應(yīng)對(duì)大規(guī)模自動(dòng)化、連續(xù)性篡改時(shí)，該技術(shù)這樣的特點(diǎn)具有明顯的優(yōu)勢(shì)。因此，此類技術(shù)較核心內(nèi)嵌技術(shù)和外掛輪詢兩類技術(shù)有更優(yōu)的性能表現(xiàn)。圖：aES防篡改優(yōu)勢(shì)能力3.4.4微隔離（1）原理介紹從近幾年的黑客攻擊形勢(shì)看，內(nèi)網(wǎng)的攻擊逐漸增多。然而，當(dāng)前不少組織單位的安全防御思路依然僅靠層層邊界防御，卻忽略了內(nèi)網(wǎng)的安全防護(hù)。當(dāng)攻擊者有機(jī)會(huì)拿到內(nèi)網(wǎng)一個(gè)跳板機(jī)時(shí)，即可暢通無(wú)阻在內(nèi)部網(wǎng)絡(luò)中橫向傳播威脅，對(duì)業(yè)務(wù)造成爆破式影響。因此，為了適應(yīng)新的攻防形勢(shì)，行業(yè)開始重新分析和審視內(nèi)部網(wǎng)絡(luò)隔離的重要性。實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)隔離的有多種，傳統(tǒng)網(wǎng)絡(luò)隔離方案基本都是基于網(wǎng)絡(luò)層面進(jìn)行工作，部署物理硬件防火墻，并配置相應(yīng)的策略，從網(wǎng)絡(luò)層進(jìn)行訪問(wèn)控制；a、調(diào)用系統(tǒng)主機(jī)防火墻，需要單獨(dú)對(duì)主機(jī)進(jìn)行策略配置，從而進(jìn)行訪問(wèn)控制；b、VLAN隔離技術(shù)根據(jù)特定的策略進(jìn)行區(qū)域邏輯網(wǎng)段分離。但隨著組織內(nèi)部網(wǎng)絡(luò)架構(gòu)的演進(jìn)，從傳統(tǒng)的IT架構(gòu)向虛擬化、混合云升級(jí)變遷，虛擬化極大化擴(kuò)充資產(chǎn)數(shù)量，傳統(tǒng)隔離方案在以靈活為核心的新IT架構(gòu)下落地變得困難重重，難以適應(yīng)當(dāng)下的環(huán)境：1、無(wú)法做到細(xì)粒度的隔離措施：傳統(tǒng)網(wǎng)絡(luò)隔離最小粒度只能做到域的隔離，意味著只能針對(duì)南北向流量進(jìn)行隔離，而同一域內(nèi)的東西流量無(wú)法有效隔離，從而無(wú)法有效防范威脅橫向擴(kuò)散，內(nèi)部一旦被突破一點(diǎn)，感染成面，損失巨大；2、維護(hù)不夠靈活：面對(duì)眾多分散的虛機(jī)控制點(diǎn)，以及變化的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)隔離策略無(wú)法做到實(shí)時(shí)更新與自適應(yīng)防護(hù)，反而因?yàn)榘踩绊懥藰I(yè)務(wù)的靈活性，最終因?yàn)椴呗詮?fù)雜不能真正落地；3、訪問(wèn)關(guān)系不可視：業(yè)務(wù)系統(tǒng)之間的訪問(wèn)關(guān)系完全不可視，難以確定隔離的有效性，甚至外部供應(yīng)商網(wǎng)絡(luò)與內(nèi)部涉密生產(chǎn)系統(tǒng)交互頻繁卻不自知。當(dāng)越來(lái)越多的用戶開始轉(zhuǎn)為更為靈活的微隔離方案時(shí)，選擇哪種技術(shù)路線成為了問(wèn)題的關(guān)鍵。當(dāng)前微隔離方案技術(shù)路線主要有三種，而主機(jī)代理微隔離才更適應(yīng)當(dāng)前多變的用戶業(yè)務(wù)環(huán)境。深信服aES微隔離下一代主機(jī)隔離技術(shù)，架構(gòu)于主機(jī)防火墻之上，致力解決病毒東西向、橫向移動(dòng)和內(nèi)網(wǎng)擴(kuò)散和處置問(wèn)題，提出了一種基于安全域應(yīng)用角色之間的流量訪問(wèn)控制的系統(tǒng)解決方案，提供全面基于主機(jī)應(yīng)用角色之間的訪問(wèn)控制，做到可視化的安全訪問(wèn)策略配置，簡(jiǎn)單高效地對(duì)應(yīng)用服務(wù)之間訪問(wèn)進(jìn)行隔離技術(shù)實(shí)現(xiàn)。windows上采用WFP架構(gòu)實(shí)現(xiàn)，應(yīng)用層采用WFP基本篩選引擎（BaseFilteringEngine）接口實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)關(guān)系的控制，驅(qū)動(dòng)層采用WFP內(nèi)核態(tài)過(guò)濾引擎實(shí)現(xiàn)網(wǎng)絡(luò)流量的監(jiān)控。Linux上采用NetFilter/iptables實(shí)現(xiàn)網(wǎng)絡(luò)關(guān)系的訪問(wèn)控制，采用網(wǎng)絡(luò)連接跟蹤的技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)流量的監(jiān)控。（2）優(yōu)勢(shì)說(shuō)明訪問(wèn)關(guān)系精細(xì)化管控：在東西向訪問(wèn)關(guān)系控制上，優(yōu)先對(duì)所有的服務(wù)器進(jìn)行業(yè)務(wù)安全域的邏輯劃域隔離，并對(duì)業(yè)務(wù)區(qū)域內(nèi)的服務(wù)器提供的服務(wù)進(jìn)行應(yīng)用角色劃分，對(duì)不同應(yīng)用角色之間服務(wù)訪問(wèn)進(jìn)行訪問(wèn)控制配置，減少了對(duì)物理、虛擬的服務(wù)器被攻擊的機(jī)會(huì)，集中統(tǒng)一管理服務(wù)器的訪問(wèn)控制策略。并且基于安裝輕量級(jí)主機(jī)Agent軟件的訪問(wèn)控制，不受虛擬化平臺(tái)的影響，不受物理機(jī)器和虛擬機(jī)器的影響。東西向流量可視：采用統(tǒng)一管理的方式對(duì)終端的網(wǎng)絡(luò)訪問(wèn)關(guān)系進(jìn)行圖形化展示，可以看到每個(gè)業(yè)務(wù)域內(nèi)部各個(gè)終端的訪問(wèn)關(guān)系展示以及訪問(wèn)記錄，也可以看到每個(gè)業(yè)務(wù)域之間的訪問(wèn)關(guān)系展示以及每個(gè)業(yè)務(wù)域的流量狀態(tài)、訪問(wèn)趨勢(shì)、流量排行，同時(shí)可以根據(jù)每個(gè)訪問(wèn)關(guān)系會(huì)生成訪問(wèn)關(guān)系控制策略，讓用戶決定是否啟用該策略，減少了手動(dòng)新增策略的工作量，提高了安全管理的效率。網(wǎng)端聯(lián)動(dòng)縱深防御（AF\XDR\SIP等）3.5.1網(wǎng)端聯(lián)動(dòng)-防遠(yuǎn)控、防擴(kuò)散、可根除傳統(tǒng)的網(wǎng)端聯(lián)動(dòng)，由于網(wǎng)端引擎不一致，會(huì)導(dǎo)致端側(cè)的查殺結(jié)果無(wú)法與網(wǎng)側(cè)的安全事件進(jìn)行對(duì)應(yīng)。針對(duì)一些復(fù)雜高危的威脅行為，傳統(tǒng)的病毒查殺行為很有可能讓病毒“死而復(fù)生”，導(dǎo)致網(wǎng)端告警復(fù)發(fā)。針對(duì)復(fù)雜高危的威脅行為，深信服aES產(chǎn)品能與NGAF（下一代防火墻）、SIP（態(tài)勢(shì)感知）進(jìn)行協(xié)同聯(lián)動(dòng)響應(yīng)，網(wǎng)側(cè)檢測(cè)出威脅訪問(wèn)的惡意流量，由端側(cè)對(duì)威脅的行為進(jìn)行分析處置。例如網(wǎng)絡(luò)側(cè)發(fā)現(xiàn)一個(gè)惡意流量，在網(wǎng)側(cè)產(chǎn)生一個(gè)告警。管理員可在網(wǎng)絡(luò)側(cè)下發(fā)一個(gè)針對(duì)此惡意訪問(wèn)流量的處置請(qǐng)求到端側(cè)。端側(cè)收到此惡意流量的處置請(qǐng)求后，自動(dòng)對(duì)整個(gè)進(jìn)程鏈完成溯源、分析、舉證、匹配等系列動(dòng)作，最后自動(dòng)完成威脅處置，并且把處置結(jié)果完成的返回到網(wǎng)絡(luò)側(cè)，實(shí)現(xiàn)威脅處置的自閉環(huán)。新網(wǎng)端處置可以分為下面三個(gè)維度：防遠(yuǎn)控針對(duì)遠(yuǎn)控類威脅，端側(cè)會(huì)針對(duì)其域名訪問(wèn)行為、進(jìn)程創(chuàng)建行為等等進(jìn)行阻斷，全面封鎖遠(yuǎn)控類病毒威脅防擴(kuò)散針對(duì)感染性強(qiáng)的威脅，端側(cè)會(huì)單獨(dú)針對(duì)感染性病毒進(jìn)程及其已感染的進(jìn)程網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行嚴(yán)格限制，遏制感染型病毒對(duì)于重要服務(wù)器的網(wǎng)絡(luò)訪問(wèn)，能在保證業(yè)務(wù)正常運(yùn)行的基礎(chǔ)上，更好的限制感染型病毒的擴(kuò)散行為徹底根除針對(duì)已確認(rèn)的病毒威脅，在保證終端業(yè)務(wù)正常運(yùn)行的基礎(chǔ)上，對(duì)已確認(rèn)的病毒威脅創(chuàng)建的進(jìn)程、文件、注冊(cè)表等行為做徹底清除，從根源上消除病毒所帶來(lái)的風(fēng)險(xiǎn)。相對(duì)于以前的聯(lián)動(dòng)溯源舉證能力，防遠(yuǎn)控、防擴(kuò)散、可根除的一些系列能力大大減少了管理員的運(yùn)維成本，可以把威脅處置、安全防護(hù)完全托管到新的網(wǎng)端聯(lián)動(dòng)體系中，做到威脅事件徹底閉環(huán)處置。3.5.2云內(nèi)態(tài)勢(shì)感知（東西向流量采集）傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)分析會(huì)在交換機(jī)上配置網(wǎng)絡(luò)數(shù)據(jù)鏡像，將Packet復(fù)制后發(fā)送到目標(biāo)機(jī)器，實(shí)現(xiàn)網(wǎng)絡(luò)流量鏡像的功能。而在云平臺(tái)上，云廠商并未對(duì)用戶提供流量鏡像功能，即使是私有云，單獨(dú)定制流量鏡像功能也十分昂貴。深信服云主機(jī)安全保護(hù)平臺(tái)能夠作為軟探針存在，采用代理流量轉(zhuǎn)發(fā)方式實(shí)現(xiàn)，基于libpcap/npcap+GRE/VXLAN封裝技術(shù)的轉(zhuǎn)發(fā)流量數(shù)據(jù)，支持所有協(xié)議全流量采集或自定義過(guò)濾采集，支持轉(zhuǎn)發(fā)速率閾值自定義設(shè)置，將流量數(shù)據(jù)轉(zhuǎn)發(fā)給STA分析器，STA分析流量數(shù)據(jù)產(chǎn)生風(fēng)險(xiǎn)日志上報(bào)SIP平臺(tái)分析展示，其使用十分簡(jiǎn)單，適用于各類公有云和私有云，是云平臺(tái)目前最優(yōu)的網(wǎng)絡(luò)流量鏡像方案。圖：流量采集原理示意圖將云內(nèi)東西向流量上報(bào)給SIP，實(shí)現(xiàn)云環(huán)境下的安全態(tài)勢(shì)感知，通過(guò)端網(wǎng)聯(lián)動(dòng)，可以實(shí)現(xiàn)整體攻擊鏈溯源，建立縱深防御體系。圖:多設(shè)備智能聯(lián)動(dòng)桌面管理3.6.1遠(yuǎn)程桌面控制企業(yè)運(yùn)維管理員在維護(hù)終端主機(jī)時(shí)往往需要親自到現(xiàn)場(chǎng)操作物理主機(jī)，這種方式效率很低；再或者需開啟主機(jī)自帶的遠(yuǎn)程功能，通過(guò)主機(jī)的IP地址、賬號(hào)、密碼登陸后才能操作主機(jī)，而主機(jī)的這些登陸信息常常容易發(fā)生變化，一旦主機(jī)數(shù)量很大時(shí)，很難維護(hù)這些遠(yuǎn)程登錄信息。通過(guò)集成遠(yuǎn)程控制功能，基于遠(yuǎn)程控制開源軟件UltraVNC（分為客戶端和服務(wù)端），aES客戶端默認(rèn)附帶UltraVNC服務(wù)端程序。通過(guò)在aES管理平臺(tái)發(fā)起遠(yuǎn)程，下載運(yùn)行UltraVNC客戶端程序，輸入被遠(yuǎn)程端的IP、端口以及授權(quán)碼即可實(shí)現(xiàn)遠(yuǎn)程控制。（2）優(yōu)勢(shì)說(shuō)明a、快速：在終端用戶同意的情況下，1~2分鐘內(nèi)快速