端点执行体采集和全量识别

/端点执行体治理的必要性/端点执行体治理的必要性端点执行体全要素采集端点执行体精细化识别执行体是端点内系统与业务运行的载体网络空间中无论是系统程序、应用软件还是恶意软件网络空间中无论是系统程序、应用软件还是恶意软件全量执行体全量执行体泛指所有带有执行机理，可以进行局部或全部执行，以及可能创造执行机会攻击独有执行体分类开发形态执行态格式I/O存储位置环境要求执行入口样本形态否编译可执行程序编译型语言源码二进制磁盘文件/内存对应的操作系统、硬件架构交互执行、调用、自动执行文件/内存镜像否伪编译程序解释型语言源码二进制磁盘文件/内存对应的解释环境、或打包编译了解释器加载、调用文件否脚本脚本语言源码文本磁盘文件/内存对应的解释环境加载、调用文件否ShellShell源码文本磁盘文件/交互命令/内存对应的命令解释器执行、输入文件否宏（脚本分支）脚本语言源码二进制/文本OLE对象/磁盘文件/内存对应的格式文档/文件解释器宏加载载体文件/宏块否引导记录汇编指令二进制扇区数据/内存对应的BIOS/UEFIBIOS/UEFI自举加载文件镜像否裸机程序汇编指令/编译型语言源码二进制ROM对象/内存对应的硬件设备自举加载文件否固件汇编指令/编译型语言源码二进制ROM对象/内存对应的硬件BIOS调用设备自举加载升级包/文件镜像否微码自定义二进制/文本ROM对象/内存对应的硬件BIOS调用设备自举加载文件是文件格式溢出代码汇编指令二进制磁盘文件/内存对应的格式文档/文件解释解析器/处理器文档加载溢出载体文件是网络服务溢出代码汇编指令二进制流量数据/内存对象对应的网络服务或网络数据处理程序数据处理溢出数据包文件Page5端点环境内执行体是复杂且难以收敛的具备各种业务用途支持复杂交互操作用户具有自主操作权限来源多且难以控制环境难以固化、易改变Page6综合统计数字签名统计按属性统计安全性统计某办公机执行体采集数据综合统计数字签名统计按属性统计安全性统计操作系统：Windows模块系统文件驱动文件工具软件办公软件业务软件文档脚本其他应用9.5W5.6W480个1800个9000个8000个18005600个2.3W有签名有效签名主流厂商签名配置清单中的签名7.3W6.2W5.8W1300个编译器种类壳种类供应商正版软件持续活跃偶尔活跃持续静默静默36个124个92个92个6000个3.4W服务执行启动项执行生僻技术栈生僻编译器生僻壳生僻厂商名称伪装图标伪装敏感端口监听Page7综合统计数字签名统计按属性统计安全性统计某家庭主机（兼SOHO办公机）执行体采集数据综合统计数字签名统计按属性统计安全性统计操作系统：Windows模块系统文件驱动文件工具软件办公软件业务软件文档脚本其他应用23W5.8W640个4.7W2000个300个23007700个1.2W有签名有效签名主流厂商签名配置清单中的签名20.3W18.2W9.8W230个编译器种类壳种类供应商正版授权未授权软件持续活跃偶尔活跃持续静默静默55个114个125个67个37个8000个11.4W6W13W服务执行启动项执行听138个4Page8综合统计数字签名统计按属性统计安全性统计某国产化服务器执行体采集数据综合统计数字签名统计按属性统计安全性统计执行体总数可执行程序模块系统文件驱动文件工具软件办公软件文档其他应用8W1.1W6.9W3.2W320个6850个356个12004000个有签名有签名无签名5.8W2.2W编译器种类壳种类供应商共享文件正版授权未授权软件持续活跃偶尔活跃持续静默静默12个25个36个0个128个0个5000个1.6W4W1.9W服务执行启动项执行图标伪装60个0个Page9综合统计数字签名统计按属性统计安全性统计某移动设备执行体采集数据综合统计数字签名统计按属性统计安全性统计可执行程序模块系统文件系统应用so文件工具软件办公软件文档脚本CLASS文件其他应用1200个7852个3.2W273个6425个62个37个1036个8652个4.1W89个系统签名普通签名273个135个技术栈加固壳种类大文件普通文件图片文件文档文件后台运行应用系统预置应用第三方应用4个4个223个35254个128个365个18个273个135个服务执行开机启动65个44个伴随着执行体而来的脆弱性与安全风险攻击工具，是被篡改目标。执行体中所包含漏洞是攻击者可利用入口执行体中所包含漏洞是攻击者可利用入口各类恶意代码本质上都是执行代码，而其载体就是执行体各类恶意代码本质上都是执行代码，而其载体就是执行体供应链所提供的软件系统或者签名认证机制成为攻击者目标供应链所提供的软件系统或者签名认证机制成为攻击者目标需要对执行体进行有效治理，降低其所带来的安全风险传统防御机制无法及时、准确、全面覆盖的对海量执行体进行细粒度防护等），基于对元数据的统计和分析评估执行体在用户环境内的信誉值，并以此作为依据对执行体行为进行细粒度约束在资源有限情况下，将对海量、差异化的执行体的治理在资源有限情况下，将对海量、差异化的执行体的治理保证了执行体检测与管控的覆盖度与粒度保证了执行体检测与管控的覆盖度与粒度让防护模型和知识库与用户环境更加兼容助用户发现明确的“黑文件”运行机理未解决问题可解决问题用户业务系统可稳定运行保证执行体行为细粒度约束与权限控制基于执行体元数据与行为的精细化识别有效执行体治理体系应具备的几类关键能力用户业务系统可稳定运行保证执行体行为细粒度约束与权限控制基于执行体元数据与行为的精细化识别基于多层次指标体系评估执行体信誉全量端点资产内执行体全要素的数据采集执行体识别准确、可管控范围全面的必要条件执行体元数据采集，保障信誉识别的精准度采集过程确保业务运行不受影响满足不同类型资产、不同场景、不同时期下的多种采集要求建立全面、可落地的采集能力是识别的前提执行体识别准确、可管控范围全面的必要条件执行体元数据采集，保障信誉识别的精准度采集过程确保业务运行不受影响满足不同类型资产、不同场景、不同时期下的多种采集要求执行体采集是治理体系中最重要的支撑能力，执行体识别地准确、管控地及时、治理过程与用户环境可良好兼容的前提一定是建立在具有合格的执行体采集能力基础之上的。采集能力覆盖全量端点资产采集能力覆盖全量端点资产执行体的识别分析需要元数据化支持执行体的识别分析需要元数据化支持满足不同场景采集需求满足不同场景采集需求应用日志全要素执行体采集需要与端点环境相结合应用日志采集8大类60+种数据类型，全面覆盖执行体识别所需执行体元数据化采集赋能输出区分度统计和决策标签执行体操作文件操作文件操作进程操作持久化配置操作注册表操作系统关键配置利用系统漏洞提升自身权限缓冲区溢出端口协议原始数据包请求URL命令流量文件名大小创建时间文件名大小创建时间数据签名公司作者格式编译器壳信息hash路径字符串信息算法信息URL信息函数结构Domain信息运行环境依赖库 签名清单厂商清单软件清单活跃执行风险标定威胁标定基于安天引擎自带的HASH和签名库的免采集策略基于资产环境的免采集策略基于本地缓存的单终端数据提取去重基于全网查询的执行体去重基于数据差量化数据上报策略基于优先级的数据采集策略基于压缩技术的数据上传基于细粒度场景的采集配置策略确保业务系统算力需求满足的前提下完成执行体采集基于安天引擎自带的HASH和签名库的免采集策略基于资产环境的免采集策略基于本地缓存的单终端数据提取去重基于全网查询的执行体去重基于数据差量化数据上报策略基于优先级的数据采集策略基于压缩技术的数据上传基于细粒度场景的采集配置策略执行体采集需考虑属性触发器方式Page21达到4大类126个子类执行体识别的目标是提取执行体中的共性资源从执行体来源、环境、成分、用途、脆弱性、异常行为和信誉等多个维度提取僻属性、伪装、违规/敏感、终执行体向量&活跃属性数字签名(发布者)编译器/壳厂商活跃状态Hash值文件格式位置特征活跃位置特征应用软件漏洞执行体向量&活跃属性数字签名(发布者)编译器/壳厂商活跃状态Hash值文件格式位置特征活跃位置特征应用软件漏洞来源静态标签签名合法/合规资源占用启动权限生僻伪装格式信息结构信息多维静态向量多维动态向量多源/引擎识别结果判断与生成输出通过对执行体格式、结构、向量、活跃状态等信息采集，对属性数据计算统计归纳，对全网终端执行体在供应商、内部技执行体统计清单列表执行体统计清单列表可执行文件/脚本清单软件清单&软件包含文件清单软件供应商(签名)清单内部软件技术栈清单壳信息清单执行体相关的重要向量清单用户场景的生僻统计Page23异常行为标签主动扫描标签创建进程标签网络访问标签网络嗅探标签执行体动态标签敏感行为标签文档访问标签脚本执行标签远程执行标签提权行为标签……异常行为标签主动扫描标签创建进程标签网络访问标签网络嗅探标签执行体动态标签敏感行为标签文档访问标签脚本执行标签远程执行标签提权行为标签……系统活动程序启动文件操作组策略修改提权操作注册表操作文档操作脚本启动账户操作…动态鉴定标签输出远程服务端口占用邮件收发执行体动态检测并非传统的使用黑名单库对恶意代码进行判定的思路，而是对识别出的动态行为序列，使用多种行为鉴定单元动态鉴定规则动态鉴定规则人工规则鉴定单元异常行为分析单元网络行为鉴定单元配置核查单元信标/向量查询单元沙箱验证单元Page24主机环境息息主机环境息息…息息执行体环境检测清单…单单环境检测清单统计地形因素…运行上下文息…动态鉴定规则动态鉴定规则数量与分布统计暴露面检测单元脆弱性检测单元风险评估单元进程调用链追踪单元主机资产画像单元基于多层次指标体系评估执行体信誉执行体信誉评估是基于执行体共性统计清单、运行行为标签、环境检测清单的多维度指标体系，使用执行体本体属性评估、主机安全场景评估、资产环境评估等多种评估模型，实现对主机每一个执行体的信誉评分。签名合法/合规签名合法/合规平台类型文件格式文件格式技术栈技术栈静态标签位置特征应用软件应用软件漏洞漏洞来源来源隐藏/只读应用场景生僻生僻……执行体动态行为标签异常行为标签敏感行为标签创建账户标签创建账户标签主动扫描标签环境检测清单环境检测清单主机类型清单有暴露面的主机清单投放处理评估度量方法 执行体静态分析指标 执行体动态分析指标 执行体环境分析指标执行体本体属性评估单元执行体主机安全场景评估单元执行体资产环境评估单元信誉评估每一个执行体的每一个执行体的信誉计算结论Page25客户侧私有信誉库评价因素威胁属性合规属性评价因素威胁属性合规属性白白评价给结果白执行体基线符合基线要求客户侧私有信誉库评价因素威胁属性合规属性评价因素威胁属性合规属性白白评价给结果白执行体基线符合基线要求白白签名黑评价给结果黑执行体基线不符合基线要求C:\办公机Page26Web服务器Web应用路径放行拦截Web应用服务运维工具其他路径评价因素威胁属性合规属性评价因素威胁属性合规属性白白白评价给结果白执行体基线符合基线要求原厂信誉库Page27基于规则灵活配置管理执行体识别规则为实现对全量执行体的精准信誉判定就需使用执行体多种数据对执行不同资产内执行体的识别准确性，系统支持可管理执行体识别规则能力。效性、厂商/版权、编译器、壳、读写属性、创建/修改作、加载操作、注册表操作、系统服务操作作、启动项操作、外设操作）、操作对象元执行体元数据识别规则配置执行体网络访问识别规则配置执行体行为识别规则配置信誉综合分析规则配置Page28以执行体识别对全量执行体进行细粒度管控收敛执行体可执行动作、控制执行体可访问资源范围，使攻击者无法借助执行体获取到攻击资源或者完成攻击动作，以此保护用户重要资产不被风险执行体篡改、破执行体管控依据是基于执行体识别数据、信执行环境、资产类型、厂商规则、用户自定义规则综合到最小集合，以此即保证业务可运行也降低执行体运行用户自定义规则>系统预设规则Page29执行体特征增加异常情报更新检测规则更新评估变更导致受到影响的的数据范围对收到影响的执行体数据进行重新检测，更新标签以及鉴定结论更新本地已存储鉴定结论消息通知其他模块获取更新后鉴定结果基于全生命周期监控与动态化信誉评估确保执执行体特征增加异常情报更新检测规则更新评估变更导致受到影响的的数据范围对收到影响的执行体数据进行重新检测，更新标签以及鉴定结论更新本地已存储鉴定结论消息通知其他模块获取更新后鉴定结果着获取到执行体信息逐渐丰富，执行体画像发生的安全事件、曝光的安全漏洞等也可能导Page31某科研研发机构全网二进制执行体治理情况统计周期：2022.07.01-2022.12.01——执行体静态属性分类统计——基于HASH已去重栈器——执行体活跃统计——0——执行体信誉评估统计——Page32某科研研发机构全网二进制执行体治理情况Page32统计周期：2022.07.01-2022.12.01