目录
1.背景介绍-------------------------------------------- 1
1.1.安全背景与挑战------------------------------------------ 1
2.总体架构-------------------------------------------- 5
2.1.架构设计------------------------------------------------ 5
3.核心技术-------------------------------------------- 7 3.1.基于多维度的智能检测技术-------------------------------- 7
3.1.1 文件信誉检测引擎 --------------------------------------------------------------------------- 7
3.1.2 基因特征检测引擎 --------------------------------------------------------------------------- 7
3.1.3 AI技术SAVE引擎 ---------------------------------------------------------------------------- 8
3.1.4 行为引擎 --------------------------------------------------------------------------------------12
3.1.5 云查引擎 --------------------------------------------------------------------------------------13 3.2.基于W EB后门的综合检测技术------------------------------- 13 3.3.基于主机防火墙的创新微隔离技术 ------------------------- 13
3.3.1 微隔离的技术原理 --------------------------------------------------------------------------13
3.3.2 访问关系控制 --------------------------------------------------------------------------------14
3.3.3 访问关系可视化 -----------------------------------------------------------------------------14 3.
4.基于网“端”云的设备联动响应技术 ----------------------- 15
3.5.基于规则匹配的补丁检测更新技术 ------------------------- 15
4.价值效果------------------------------------------- 17 4.1.终端资产的全面管理------------------------------------- 17 4.2.终端安全的合规检查------------------------------------- 17 4.3.病毒的实时防御------------------------------------- 17 4.4.入侵攻击的主动检测------------------------------------- 17 4.
5.热点事件的快速响应------------------------------------- 17
4.6.访问关系的策略控制------------------------------------- 17
5.未来展望------------------------------------------- 18
正则匹配哈希值1.背景介绍
1.1.安全背景与挑战
近年来,传统的病毒木马攻击方式还未落幕,层出不穷的高级攻击事件不断上演,病毒、挖矿木马等安全事件频发,如WannaCry爆发造成全球有150多个国家,涉及30多万用户受到影响,经济损失达80亿美元,而Globelmpster传播,国内医疗,金融与教育等行业深受其害等,严峻的安全形势给企业造成了严重的经济损坏和社会影响。
新时代下企业级终端安全面临严峻挑战,相较于个人终端而言,企业终端、数据等资产价值更高,由终端、服务器等不同软硬件所组成办公局域网,带来更为复杂的病毒来源、感染、传播途径,正因此企业用户面临更为严峻的终端安全挑战,对防护、管理、应用等多方面提出更高要求,所面临的问题呈现出如下几点:
首先,人工运维加剧威胁防御成本。传统终端安全产品以策略、特征为基础,辅以组织规定以及人员操作制度驱动威胁防御,高级威胁一旦产生,将会不可控的传播,势必带来人工成本的几何增长,且对企业运维人员专业性要求极高,有效应对威胁难度大。
其次,基于特征匹配杀毒无法有效抵御新型病毒。基于病毒特征库方式进行杀毒,在高级威胁持续产生的大环境下,呈现被动、后知后觉等检测特点,无法及时有效防御新型病毒,如WannaCry病毒。另外,本地特征库数量受限,现有特征库文件规模无法满足已知病毒的查杀需求。
第三,病毒特征库数量增长加重主机运算资源。本地病毒特征库数量日益增多,加重终端存储、运算资源成本,防御威胁过程已严重影响用户日常办公,无法适应如云化等新的特定场景。
第四,杀毒处置方式落后无法适应病毒新的传播方式与环境。采取基于文件隔离的处置方式相对落后,如文件隔离失败情况产生,单点威胁将快速辐射到面,因此传统防毒产品已经无法适应新的病毒传播方式及环境。
在当前的安全形势下,传统杀毒解决方案无法做到百分百有效拦截病毒和恶意入侵,特别是在APT攻击下,用户甚至长期感知不到安全威胁的存在,EDR产品正是为解决这种问题而生。特别是国外的EDR厂商,并不具备传统杀软的能力,而是起到互补的作用,如下图所示:
EDR技术的兴起,使得全球涌现出了一批新的终端安全厂商,而传统的终端安全厂商也在融合这类技术。具体来说,下一代终端安全公司提供基于机器学习算法的产品,用以封堵传统及新兴威胁。终端检测和响应(EDR)厂商,则监视PC行为,查异常活动。
任何一个产品,最终还是要回归到真正解决用户问题之上,而一体化的终端安全解决方案也将是大势所趋,正如 Gartner 在EDR技术架构解析中指出,传统的EPP解决方案与当前的EDR解决方案,将是一个互相融合的趋势。
深信服从一开始就看到了这个趋势并瞄准了这一目标,推出一套完整(EPP+EDR)的终端安全解决方案。方案由轻量级的端点安全软件和管理平台软件共同组成,并命名为“深信服EDR”,实际是具备EPP能力的EDR产品,后续简称EDR。
如上图所示,通过事前预防、事中防御、事后检测和响应三个不同阶段的防护方案,实现病毒驻留时间最小化(dwell time)的目标,这即是深信服EDR的安全理念。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。