深信服aES产品技术白皮书-V1.5

PAGE深信服科技股份有限公司文件模板编号密级发布生效日期产品技术白皮书模板现行版本V1.5页次第PAGE4/共27页PAGE深信服公司版权所有 深信服科技股份有限公司文件模板编号密级发布生效日期产品技术白皮书模板现行版本V1.0页次第PAGE1/共27页 深信服终端安全管理系统aES产品技术白皮书深信服科技股份有限公司

修订记录修订版本号作者日期简要说明V10

目录TOC\o"1-3"\h\z53171背景介绍 587001.1.安全背景与挑战 59511.2.技术背景 7324022.总体架构 9146682.1.架构设计 1094512.2.系统数据处理流程图 11301053.产品核心能力 12215393.1.资产管理 12259093.1.1细粒度资产管理 1242533.1.2资产指纹库图谱 1311533.1.3高负载资产 14206553.1.4基于资产的安全视角统一管理 1456383.1.5资产发现 1492253.2.风险评估 1532923.2.1漏洞检测 15212453.2.2热点漏洞 1549243.2.3风险应用检查 1674993.2.4弱口令检查 16221833.2.4合规基线 17154023.2.5暴露面梳理 18200433.3.运维管理 19106503.3.1桌面管理 1955173.3.入侵检测 23325793.3.1高级威胁检测能力（详见高级威胁技术白皮书） 249923.3.1WebShell检测 2644743.3.3反弹Shell检测 27133913.3.3内存马检测（详见内存马检测技术白皮书） 28202443.3.3暴力破解检测 296173.3.4异常命令检测 30300023.3.5权限提升检测 30285213.3.6端口转发检测 30241223.3.7远程命令执行检测 30148073.3.8访问恶意地址检测 31116493.3.9异常登录检测 327553.3.10异常扫描检测 32259843.5.安全防护 32308823.5.1漏洞检测与防御 3293573.5.2恶性病毒处置修复 36286133.5.3勒索病毒动静态立体防护 42257043.5.4网端云联动 49312463.5.5创新微隔离 51151324.产品价值优势 5471344.1轻量易用 54204874.2有效对抗 54106704.3网端快速闭环 55

1背景介绍安全背景与挑战近年来，传统的病毒木马攻击方式还未落幕，层出不穷的高级攻击事件不断上演，勒索病毒、挖矿木马等安全事件频发，如WannaCry爆发造成全球有150多个国家，涉及30多万用户受到影响，经济损失达80亿美元，而Globelmpster传播，国内医疗，金融与教育等行业深受其害等，严峻的安全形势给企业造成了严重的经济损坏和社会影响。从外部威胁和事件影响角度来看，随着攻防新技术的发展和应用、APT与未知威胁的增多、0day漏洞频繁爆发、护网行动等造成网络安全威胁和风险日益突出，引起的网络安全事件的影响力和破坏性正在加大，并向政治、经济、文化、社会、国防等多领域传导渗透，对网络空间安全建设提出了更高的挑战与要求。随着云时代的到来，网络边界越来越模糊。当前黑客普遍采用流量加密、0day利用等多样化的高级攻击手段，达到绕过传统边界设备的目的。基于策略的边界预防机制，已无法满足在业务系统规模庞大、资源管理复杂、业务连续性要求高的云场景下的安全需求。云内安全同样面临较大的挑战，云内业务系统规模大，客观存在资产梳理及漏洞管理困难、危险账号及危险配置无法收集、内网安全事件无法快速响应等问题，导致内网中会存在多点漏洞，黑客进入内网后横行无阻，对业务带来难以估计的破坏和损失。新时代下企业级终端安全面临严峻挑战，相较于个人终端而言，企业终端、数据等资产价值更高，由终端、服务器等不同软硬件所组成办公局域网，带来更为复杂的病毒来源、感染、传播途径，正因此企业用户面临更为严峻的终端安全挑战，对防护、管理、应用等多方面提出更高要求，所面临的问题呈现出如下几点：首先，人工运维加剧威胁防御成本。传统终端安全产品以策略、特征为基础，辅以组织规定以及人员操作制度驱动威胁防御，高级威胁一旦产生，将会不可控的传播，势必带来人工成本的几何增长，且对企业运维人员专业性要求极高，有效应对威胁难度大。其次，基于特征匹配杀毒无法有效抵御新威胁。基于病毒特征库方式进行杀毒，在高级威胁持续产生的大环境下，呈现被动、后知后觉等检测特点，无法及时有效防御新威胁。另外，网络攻击手法不断进化，人工参与的攻击行为增多。传统基于特征库、静态文件的检测已对此类复杂攻击失效，此类APT攻击可轻松绕过传统杀软、传统终端安全防护机制的检测。第三，病毒特征库数量增长加重主机运算资源。本地病毒特征库数量日益增多，加重终端存储、运算资源成本，防御威胁过程已严重影响用户日常办公，无法适应如云化等新的特定场景。第四，网端两侧安全产品无协同，造成安全事件难闭环、总反复。网络侧安全产品基于流量、域名的检测，终端侧安全产品则是基于文件、进程、行为等的检测。检测机制不同则对威胁的检出结果不同，网端两侧无协同则无法查杀到威胁根因（终端侧的风险进程、文件等）。导致威胁总是处置不干净，安全事件难真闭环。技术背景在当前的安全形势下，传统杀毒解决方案只能解决恶意文件上传、静态文件母体检测、动态启发查杀等问题，无法做到百分百有效拦截病毒和恶意入侵，特别是威胁持续感染情况下，用户甚至长期感知不到安全威胁的存在，具备EDR技术的aES产品正是为解决这种问题而生。EDR技术为威胁持续感染、APT入侵攻击等高级威胁提供IOA行为分析、IOC失陷检测、取证调查、响应处置等精细化能力，持续赋能恶意威胁防护效果提升，如下图所示：EDR技术（端点检测响应）的兴起，使得全球涌现出了一批新的终端安全厂商，而传统的终端安全厂商也在融合这类技术。具体来说，下一代终端安全公司提供基于机器学习算法的产品，用以封堵传统及新兴威胁。终端检测和响应厂商，则监视PC行为，查找异常活动。传统杀软“见招拆招”式的响应已经对新威胁、高级威胁失效。基于静态文件的检测方式只能在病毒母体文件落地后才介入查杀，而对于威胁是怎么进入内网的、进入后对终端做了哪些操作、危害面有多大，以及是否还有潜伏的攻击行为等都无法判断，这一切对于杀软、传统终端安全防护产品来说都是不可知的。IT运营人员做重复式查杀，并不了解威胁、攻击发生的根因，潜伏的攻击等。攻击者可利用脆弱面再次发起攻击，或者潜伏在内网的残留威胁等着合适时机再次卷土重来。新网络环境下的攻击手法日渐高级、人工参与的攻击行为增多，下一代终端安全防护产品需要“知其然，也知其所以然”，了解攻击者的行为和意图洞察，知道终端脆弱面，针对性加固。从源头保护终端安全。深信服从一开始就看到了这个趋势并瞄准了这一目标，推出一套完整的统一终端安全解决方案。方案由轻量级的端点安全软件和管理平台软件共同组成。深信服终端安全管理系统，采用Gartner提出的自适应安全架构，从预防、保护、检测、响应四个阶段，利用漏洞扫描、基线检查、弱口令检测、资产梳理、微隔离、系统完整性保护、入侵行为检测、主机行为检测、病毒查杀、一键响应等技术，解决传统安全体系被动检测方案的短板，为业务系统提供事前、事中、事后的全方位护航能力。同时，深信服终端安全管理系统可以与深信服产品的传统安全检测设备对接，实现端网联动，守护数据中心安全的最后一公里。总体架构深信服终端安全管理系统由管理平台与客户端组成，管理平台支持统一的终端资产管理、终端安全体检、终端合规检查。全面采集终端侧系统层、应用层行为数据，本地分层上报至平台关联分析，对攻击事件精准研判。最终以可视化的攻击进程链形式还原攻击故事。威胁狩猎则可基于全面采集到的数据，细粒度对全网终端做狩猎查杀，猎捕残余攻击。微隔离的访问控制策略统一管理，支持对安全事件的一键隔离处置。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。深信服的aES产品也支持与自家网络侧安全产品如NGAF、AC、SIP，以及XDR平台形成深度联动，打通网端数据，让网端安全产品协同，促进安全事件彻底闭环。形成新一代的联动防护体系。架构设计aES产品的防护体系以预防、防御、检测与响应这四个维度的能力来提供事前，事中与事后的服务。风险发现：为用户提供对终端的全网资产指纹清点、影子资产发现、漏洞补丁管理、安全基线核查、暴露面梳理、应用/系统/账号风险梳理、可信加固、微USB设备管控、微隔离可视等事前风险梳理能力。威胁检测：为用户提供漏斗式检测、AISAVE人工智能引擎、勒索病毒专项防护、高级威胁行为检测、应用行为画像异常行为检测等能力。防御拦截：为用户提供二次认证、微隔离可控、轻补丁、虚拟补丁、应用漏洞防护、病毒、勒索文件、webshell、暴力破解自动处置等防御能力。响应处置：为用户提供基础处置能力：进程阻断、文件隔离、dns阻断、ip封堵、主机隔离；同时结合网络侧安全产品，XDR平台云端能力等为用户提供联动闭环、全网威胁定位、威胁事件溯源针对性加固、威胁狩猎等能力。系统数据处理流程图如上图所示，aES安全系统的数据处理流程包含了aES终端Agent、aES管理平台、云端三大部分，具体描述如下：aES终端AgentAgent包括了内核态及用户态部分，通过实时收集系统动态行为事件，对事件对象进行实时的检测，实时发现威胁并根据安全策略进行相应处置。aES管理平台管理平台负责与云端的威胁查询及缓存管理功能，为终端提供快速的查询服务。云端分析深信服aES在客户端侧采集到的海量数据，本地做有效聚合后上传至平台。借助云端算力对数据结合用户真实环境做上下文关联，最终精准分析出攻击行为。此高级威胁检测机制能有效减少误报，提升对新威胁的研判精准度。此外安全云脑也为全网在线安全设备提供了文件沙箱服务，以及文件、DNS、IP等威胁情报服务，为已知/未知威胁检测提供有力支持。产品核心能力资产全景3.1.1细粒度资产管理图：资产分组及标签集中管理端（MGR中心端）对云主机收集的各类资产进行分类、整理，统计，并提供灵活的资产标签、分组机制、资产分类、高负载告警，实现对资产图书馆式的管理，对核心资产，高负载资产重点关注。3.1.2资产指纹库图谱集中管理端（MGR中心端）自动提供了资产总览图表，Top高负载资产视图；支持对资产的快速索引，模糊搜索，可以帮助用户快速定位关键资产信息。图：资产指纹库图谱3.1.3高负载资产深信服云主机安全保护平台持续监控资产状态，展示整体资产资源分布情况及Top高负载资产，及时发现和定位定位高负载资产风险，快速识别环境中异常主机，保障业务连续性。图：高负载资产3.1.4基于资产的安全视角统一管理资产管理作为其它模块的支撑，与入侵行为检测，主机行为审计，风险评估，病毒查杀等全面关联，帮助用户快速锁定安全问题资产。3.1.5资产发现通过安装Agent的主机，实现对管理员下发的ip网段或端口范围进行网络探测扫描，获取到资产的操作系统、ip和mac等信息，再通过与已安装Agent的资产进行对比，从而发现未安装Agent的资产。风险评估深信服aES平台风险评估持续监控与分析资产漏洞，弱口令，合规基线等脆弱性，实时发现未知威胁及存在的安全隐患，化被动未主动，提前防御和预防安全问题的出现，将风险消除在最前延，从而提高攻击门槛，降低入侵风险。3.2.1漏洞检测3.2.1.1漏洞风险检测深信服aES平台漏洞检测技术整合前沿的威胁情报，资产发现，文件解析，POC探针，云化升级，检测结果加密防泄漏、跨平台兼容等功能。提供了基于CPE的版本对比，配置检测，虚拟执行、poc探针验证等类型漏洞检测，支持Windows、Linux，国产化系统，支持容器漏洞检查，提供了多维度，多视角的资产清点功能，漏洞检查结合自研处置优先级VPT与实体补丁，虚拟补丁（HIPS），轻补丁形成实时有效的漏洞闭环解决方案。深信服积累大量高价值漏洞库、POC探针脚本，并将持续关注国内外最新安全动态及漏洞利用方法，快速响应，不断提升检测能力。图：漏洞检测原理3.2.1.2基于VPT的漏洞自排序技术CVSS基本分值是静态的，不随时间的推移而变化。单通过CVSS评分进行风险排序，不考虑实际的时间和环境因子，会导致过多的高危漏洞和严重漏洞，导致在有限的资源下漏洞管理效率低下。深信服VPT处置优先级，采用SSVC+决策树的优先级排序模型沉淀安全专家经验，结合漏洞影响和外部情报，科学的给出评级决策结果，可以进一步聚焦漏洞优先级，优化漏洞管理效率。评级决策结果包含：立即响应、延后响应、暂不响应3种结果。VPT支持除windows补丁之外的漏洞的处置优先级评估，包括windows应用漏洞，linux系统和应用漏洞，国产化系统和应用漏洞。图：漏洞处置优先级分析VPT关联核心因素图：漏洞处置优先级分析VPT原理立即处置：此漏洞一旦被利用通常会造成很大风险，会造成系统被控制或者大量数据泄露，影响范围大。修复者需要积极响应此漏洞，相关人员需要第一时间响应处理此漏洞，并通知到内外部相关人员排查风险。建议修复周期：7天图：立即处置漏洞判断和分析图谱延后处置：此漏洞通常会造成一定风险，对使用者的生产生活环境造成一定影响。修复者需要持续关注此漏洞，并通知到此漏洞涉及到的内外部相关人员，并在漏洞生命周期之前积极修复处理此漏洞。建议修复周期：30天暂不处置：此漏洞影响较小，某些情况下会造成一些非紧急的影响。修复者在资源充裕的情况下，可持续观察此漏洞以及后续影响，并在漏洞生命周期中修复处理此漏洞。3.2.2漏洞加固防御3.2.2.1虚拟补丁HIPS（详见虚拟补丁HIPS白皮书）HIPS在主机侧落地主要用于检测和阻断高可利用漏洞的威胁，可以实现漏洞无效化。防止服务器被外部攻击利用高可利用漏洞攻陷主机，窃取资料和加密文件勒索资金。所以IPS主要关注入站流量，可以过滤入站流量。又因为大部分规则都指定了业务的开放端口，可以将规则中的端口集中起来作为驱动过滤的条件，在内核层过滤掉无关端口的流量。工作原理可以简要概括为三个步骤：数据捕获、规则匹配和响应。数据捕获：通过网络接口捕获数据包，这些数据包可以是通过网络传输的任何信息。捕获到的数据包将被送入分析引擎进行处理。规则匹配：使用一套规则引擎来分析捕获到的数据包，每个规则定义了一种特定的攻击模式或异常行为。规则由多个字段组成，包括源地址、目标地址、协议类型、端口号等。当数据包与规则匹配时，将其标记为潜在的攻击。响应机制：当检测到潜在的攻击时，它可以采取多种响应措施，如记录日志、发送警报、阻断流量等。这种灵活的响应机制使得不仅能够发现潜在的威胁，还能够迅速应对并减小潜在的风险。图：采集处理流程3.2.2.2基于轻补丁的漏洞免疫技术（1）原理介绍根据aES终端安全实验室数据显示，漏洞利用攻击在当前热点威胁中拥有最高的使用率，显然已经成为危害最为严重的威胁之一，通过打补丁修复漏洞成为众多企业级用户的首选方案。然而，传统的漏洞修复方法在补丁未及时发布（0day漏洞）、微软停止提供漏洞修补支持（Win7等停更系统）、漏洞修复导致重启等场景下，已不能提供快速、有效的防护能力，企业用户的终端存在很大的安全隐患。深信服aES下一代轻补丁漏洞免疫技术，直接在内存里对有漏洞的代码进行修复，避免遭受漏洞攻击。通过aES终端安全管理系统提供的高危漏洞免疫模块，提供业务无感知的轻补丁修复能力。（2）优势说明a、补丁加载轻：相比传统实体漏洞补丁的修复方式存在需要重启、兼容性问题，深信服aES轻补丁漏洞免疫无需下载补丁，直接修改内存运行代码无需服务重启，不存在兼容性问题，过程轻量化。b、修复速度快：微软补丁文件之间存在依赖关系，导致补丁安装失败情况频繁发生。深信服aES轻补丁漏洞免疫针对每个漏洞提供一个单独的漏洞修补补丁包，无任何依赖关系。终端安装aES后会自动检测高危漏洞并进行无感知修复，并将结果上报平台，保障业务的连续性。

c、防御效果好：深信服aES轻补丁漏洞免疫本身是对漏洞本身进行修复，将源头堵住，防止威胁攻击扩散，漏洞100%防御。同时，可使用在停更的Windows系统的高危漏洞防护上，覆盖度高，更新速度快。d、性能消耗省：传统厂商基于网络层面的漏洞入侵防御，会因网络流量解析而造成的网络延迟和性能下降等问题。深信服aES基于内存修复，代码恢复原貌，无需消耗额外的性能且过程平滑无感知，管理平台可统一控制。3.2.2.3基于规则匹配的补丁更新技术（1）原理介绍aES产品支持各种类型不同的操作系统以及不同版本的操作系统的补丁规则库的更新，可以做到最新漏洞的实时检测与防御，并提供了漏洞检测与处置的功能，可以指定不同的终端进行全部、高危或者指定漏洞的检测，得到每一台终端的全部漏洞信息，并且可指定漏洞进行修复或者忽略处理。（2）优势说明终端根据最新的补丁规则库进行系统补丁检测，匹配来判断当前是否已经进行补丁的安装，同时终端支持多种方式来获取最新的补丁安装包，包括微软补丁服务器、深信服官方补丁服务器、管理平台以及自定义服务器。保证在网络隔离环境下，终端也可以通过管理平台来进行补丁的升级。aES产品的漏洞检测、补丁更新，大大提高了管理效率，增强了终端资产的安全性。3.2.3热点漏洞热点漏洞专题会呈现当前时间线最火热、最新的漏洞情况，支持推送热点漏洞预警、实现一键风险自查。帮助掌握当前时间线最需要关注的漏洞情况。图：热点漏洞3.2.4风险应用检查深信服安全团队持续性跟踪最新的技战术情报和攻击常用的风险工具，产品基于安装在服务器上的防护Agent，通过静态特征和动态行为特征识别技术，能实时捕获服务器上安装的风险应用并及时告警，已支持19项风险应用检测，涵盖主流攻击入侵点，让风险检测更省心；如：CobaltStrike、DUBrute、DefenderControl、Frp 、Fscan、Gmer、KPortScan、Lazykatz、Masscan、Mimikatz、NLBrute、Nasp、Netpass、PCHunter、PortScan、PowerTool、ProcessHacker、PsExec、WebBrowserPassView 3.2.5弱口令检查弱口令也称为弱密码，深信服aES平台弱密码检测技术整合了资产发现、文件解析、密码获取、密码强度判定、二次检测缓存加速、检测结果加密防泄漏、跨平台兼容等功能，提供了多种类型的弱密码检测，支持Windows、Linux，国产化系统，支持多轮加盐哈希、不加盐哈希、对称加密、明文等多种不同方式存放密码的应用，包括：SSH、RDP、MySQL、MongoDB、SVN、Redis、PostgreSQL、WebLogic等17项应用，并将持续增加对更多应用的支持。另外，弱密码检测技术还提供自定义弱密码，密码消失自动备注功能，用户通过自定义弱密码可定制更加符合自己的业务场景，通过密码消失自动备注能够自动记录弱密码变更强密码或者应用卸载不存在弱密码的修复时间。弱密码检测技术针对云主机资源对互联网开放的特点，为云主机提供全方位、多应用的检测，以降低黑客入侵、数据泄露的风险，同时可以与二次认证功能形成对SSH和RDP系统账号有效的检出与快速闭环弱密码解决方案。图：弱密码检测工作原理图：RDP与SSH弱密码解决方案3.2.6合规基线图：基线检查深信服aES平台合规基线检查技术根据云主机资源对互联网开放的特点，对云主机的系统，数据库，web服务器等基础资产进行安全检测，并提供安全加固建议和指导方法，以降低黑客入侵、数据泄露的风险。深信服aES平台基线检查技术整合了资产发现，自定义基线项，自定义检查点，快速扫描，忽略过滤，规则修复校验，基线规则升级迭代，二次检测缓存加速，规则和结果加密防泄漏，跨平台兼容等功能。3.2.7暴露面梳理

深信服aES平台通过客户对内网地址和代理的配置，对主机的网络日志进行分析，精准识别和记录外部对终端的访问行为，并统计对外暴露的主机和端口。帮助客户提前识别和预防端口入侵行为。图：暴露面3.2.8恶性病毒处置修复近年来病毒数量呈指数级增长，病毒类型层出不穷，给企业级用户造成了很大的安全威胁。其中，经深信服千里目安全实验室分析，以影响业务连续性却难以处置的恶性病毒影响尤为突出。此类恶意病毒种类多，变化快，且寄生在用户业务系统的正常文件内，处置难度极大。删除文件导致用户业务停止，不处置则全网泛滥。而传统病毒检测采用的是基于静态特征分析和规则匹配的方式，面对多变的恶性病毒，无论是检测能力还是修复效果上，都存在明显的不足。1.

规则库资源加重，检测速度慢随着病毒数量、变种的增加，与之对应的规则库资源大，导致基于规则匹配的病毒检测速度慢，性能消耗多，影响用户的正常办公。2.

基于特征码分析，漏报高传统基于特征码分析的病毒检测方式，其本质是对文件的字节信息等静态特征进行匹配，像autoCAD这类运行时才大批量感染传播的恶性病毒，无法基于静态特征检测。此外，新型病毒往往难以及时提取特征码，导致检测失效，漏报率高。3.处置能力差，难以完全修复传统的杀毒软件，即使在检测出恶性病毒后，处置方式只能是删除整个寄生文件，而无法修复被感染样本。例如寄生在office文档模板中的宏病毒，传统修复方案往往需要把文档中所有的宏均删除，影响用户的业务连续性。深信服终端安全管理系统aES基于AI赋能，结合多维度、轻量级漏斗型检测框架，通过文件信誉检测引擎、基因特征检测引擎、SAVE安全智能检测引擎、行为引擎、云查引擎等引擎的层层过滤，恶性病毒检测更快速更精准。同时，根据不同恶性病毒，进行代码层级的细粒度修复，实现根本性无损修复。检测响应深信服aES平台基于对资产的动态监控，通过采集进程创建，执行命令，文件变动，系统任务，监听端口，网络连接，系统日志等多种资产关键事件，对入侵行为进行持续监控与扫描，提供完备的入侵检测能力。图：入侵行为检测3.3.1高级威胁检测能力（详见高级威胁技术白皮书）传统主防以规则为检测手段，通过规则发现攻击威胁，难以覆盖高级威胁，例如无文件攻击、模仿攻击（Mimicry）以及跨重启跨长时间窗口的APT攻击。深信服高级威胁检测能力在端侧采集全面的数据，包括终端、用户、文件、进程、行为等数据。数据在本地做分层，聚合有效数据上传至平台。结合用户真实环境做上下文强关联分析，提升攻击研判精准度。行为检测基于多事件复杂关联规则匹配算法，依靠IOA泛化行为规则提高已知和未知高级威胁攻击检测能力，补充复杂行为关联检测领域空白，构建行为检测防御层级，增强多层次纵深防御检测能力，帮忙用户有效抵御已知和未知高级威胁攻击。强关联分析技术，检测能力强精准度高。深信服高级威胁检测能力使用PG（图计算）关联分析技术，基于用户真实环境结合数据做上下文关联，提升检测精准度。对采集到的数据收敛，过滤正常场景，提取有效数据检测是否为真正攻击。检测精准率高误报低。以可视化事件形式展现攻击，减少用户自己做告警关联分析的工作量，让运营人员看得懂用的起来；威胁狩猎，挖掘潜伏攻击，无漏网攻击。根据情报（IOC）、攻击信息在全网范围内的狩猎，帮助用户发现潜伏攻击，制止攻击于前期阶段。终端数据采集能力强，数据采集全，所以可以做到更细粒度的狩猎。再次帮助用户发现漏网攻击。3.3.1.1丰富的行为数据采集系统高级威胁检测系统中层次关系，依次是：采集系统与检测系统。其中采集系统主要包含驱动采集和应用层采集：windows主要基于驱动和ETW进行行为数据的采集，驱动层行为支持行为的同步拦截和异步审计，ETW主要作为驱动采集的补充。Linux采用驱动方案以及无驱的混合开发方案，可支持有驱与无驱的动态切换。具体采集字段可参考《深信服Windows主机日志采集》《深信服Linux主机日志采集》。功能层-功能层负责与监控驱驱动通信并暴露功能（Function）接口给逻辑层，为逻辑层根据产品需求封装逻辑提供灵活、完善的支持。逻辑层-利用功能层提供的接口、根据产品需求封装逻辑功能，例如文件监控、访问控制、行为分析、数据采集等。交互层-交互层充当逻辑层与监控交互模块的代理角色，为逻辑层提供交互功能接口。3.3.1.2基于图分析技术的行为检测终端上所有行为操作可以抽象为通过图数据结构表示，我们将这种最小行为描述单元称为原始行为。终端上全部行为操作集合称为全局图，所以全局图是由全体原始行为组成。攻击行为图可以看成是全局图的一个子图，恶意行为规则匹配是匹配攻击行为图上部分节点和边的过程。实时行为检测本质上可以看作是原始行为数据匹配恶意行为规则过程。准确的框定攻击行为范围是提高检测准确率和降低误报率关键所在。本方案通过基于图关联分析技术和自研Rete规则匹配算法，能够支持多个事件间字段复杂关联规则匹配，实时的检测单进程、跨进程恶意行为攻击。3.3.1.3文件附件钓鱼的免杀检测、精准定性与自动防护图一、附件钓鱼攻击流程图深信服EDR对钓鱼攻击的检测不依赖文件特征，而是基于文件被打开或执行起来之后的行为进行持续检测，将整个攻击过程的所有行为关联起来后进行检测，可实现对免杀钓鱼的有效检测。不仅能对免杀钓鱼检测和精准定性钓鱼事件，还可以还原出完整攻击过程进行溯源调查。图二、钓鱼的自动研判定性与防护当端点上检测到可疑行为后，会自动进行溯源。如果来自邮件附件或IM，会精准定性为钓鱼并将该类事件重点突显出来，同时会自动对钓鱼后的远控等恶意行为进行拦截。可自动防护，实现及时止损，避免被扩散打穿。如果没有自动防护，必须7*24小时值守和及时处置响应。3.3.2WebShell检测WebShell是指在被黑客入侵的服务器上安装的恶意程序或脚本。WebShell是服务器场景、内网场景的核心安全威胁。图：WebShell检测深信服aES平台WebShell是从脚本文件静态分析的角度来确定样本是否具有恶意行为。在技术上结合了语法分析、AI检测等技术，可以有效地解决各种WebShell变形、绕过。具有检出能力强，误报低,有效识别未知WebShell等特点。3.3.3反弹Shell检测反弹shell是数据中心场景初始入侵阶段重要攻击手法。当黑客得到了受害者服务器的任意代码执行权限，下一步大多利用控制端监听在某TCP/UDP端口，被控端发起请求到该端口，并将其命令行的输入输出转到控制端从而获得一个交互的shell，利用网络概念的客户端与服务端的角色反转，解决攻防实战中防火墙受限、权限不足、端口被占用等影响攻击的情形，从而更好的控制受害者服务器。深信服aES平台反弹shell检测方案基于通过行为事件检测完备覆盖了方案数据中心场景下攻防实战中绝大多的攻击界面并广谱、泛化行为事件之间的执行流、数据流关联。针对每一类基本反弹手法沉淀了大量的HW攻防对抗手法的经验，有效提升了实战攻防技术门槛。引入了进程间fdpipe链关联检测，通过识别进程间fdpipe链数据构成特定的src/sink流向异常来从更深层本质层次识别识别反弹shell攻击手法。引入了实时内存特征检测技术，可以精准识别内存注入类的反弹shellshellcode以及Payload特征，从而补全反弹shell威胁图谱检测技术栈。图：反弹shell检测方案3.3.4内存马检测（详见内存马检测技术白皮书）内存马”也被称为“无文件马”，是一种仅存在于内存中的无文件恶意代码。图：内存马检测范围图：内存马检测框架深信服aES平台内存检测方案通过对目标进程的无侵入式的内存特征扫描技术可以第一时间发现并精准确认内存木马攻击。深信服通过深入研究分析WebSehll管理工具之后，完备收集并持续追踪其在后渗透阶段可能在服务器机器上执行的操作特征，通过全量检测活跃在内存空间中的代码来对恶意行为进行捕获，此方案具有很高的检出率以及极低的误报率。目前Web内存马检测方案支持检测包括但不限于命令执行，Jar文件加载，shellcode注入，自定义代码执行等在内的多种危害性极大的恶意行为。同时也会覆盖多种常见的黑客工具如MetaSploit，CobaltStrike等隐蔽攻击发现。3.3.5暴力破解检测深信服aES平台暴力破解支持单点爆破和分布式爆破检测，通过实时监控登录行为，可及时发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为。单点爆破，分布式爆破支持加入白名单、封堵IP、隔离主机等响应处置方法。暴力破解支持自定义检测、处置、封堵规则，可以灵活的根据特定资产设置不同安全等级、不同敏感度的检测和处置措施。图：单点爆破检测图：分布式爆破检测3.3.6异常命令检测深信服aES平台异常命令检测是指检测主机上执行的非常规命令。这类命令的特点是常规业务使用频率极低而黑客使用频率较高。深信服云主机安全保护平台基于历史威胁检测数据实现了一套精细的规则来匹配异常的命令。3.3.7权限提升检测深信服aES平台权限提升检测是指检测黑客利用漏洞或者主机上的不当配置提升自身进程权限的行为，支持4种类型的提权检测能力：利用sudo、su漏洞提权；利用配置不当的suid程序提权；利用配置不当的docker提权；利用系统内核漏洞提权。可以覆盖到linux上绝大部分的提权检测手法。3.3.8端口转发检测 深信服aES平台端口转发检测是指检测黑客利用ssh、iptable进行端口转移的行为。攻击者利用这种方式达到减少对外连接、隐藏访问关系的目的。端口检测通过检测异常开启的端口与ssh等进程的关联关系来检测这种行为。3.3.9远程命令执行检测WebRCE是指，攻击者利用WebServer、中间件、Web框架等出现的漏洞或者弱口令等方式拿到远程服务器应用的执行权限包括但不限于命令执行、文件操作、网络外联等攻击手法。图：WebRCE检测技术总体架构深信服aES平台WebRCE检测技术通过采集服务器主机包括Linux、Windows等平台下文件、网络、进程、注册表等系统行为信息，检测多行为事件中间的数据流、执行流等深度关联来发现WebRCE攻击威胁。WebRCE检测覆盖了方案数据中心场景下攻防实战中绝大多的攻击界面诸如数据库类，Web应用类，办公自动化类等几十种常见的应用服务，针对常见的编码混淆、恶意下载、文件行为、信息收集、网络外联、脚本执行、系统驻留等十几类的ATT&CK攻击手法，支持常见行为对抗绕过，具备广谱、泛化的检测能力。同时WebRCE方案针对每一个WebRCE告警，提供了诸如威胁发生时的进程树、进程命令行参数、受害主机等WebRCE威胁以及上下文关键信息，支持因果举证，高亮行为规则判定依据。3.3.10访问恶意地址检测深信服aES平台访问恶意地址检测会监控主机上的网络请求，如果有对恶意ip或者恶意域名的网络访问，则会告警。通常挖矿病毒与远控木马会与黑客控制的服务器进行网络信息传输。深信服通过大数据和自身的威胁情报系统，能准确识别恶意的ip与域名；并支持实时上报3.3.11异常登录检测深信服aES平台异常登录检测包含异常时间登录的检测与异常地址登录的检测。异常的登录行为通常与黑客行为相关联。3.3.12异常扫描检测异常扫描是指黑客在内网渗透过程中，使用端口扫描工具对其他主机的敏感端口进行连通性测试，从而寻找攻击入口点。深信服aES平台异常扫描检测通过监控主机的网络连接和监控常规扫描工具进程启动行为，可以稳定有效的检测出主机上正在运行的端口扫描工具。3.3.13网络蜜罐网络蜜罐通过模拟真实系统或应用程序，以吸引攻击者并收集他们的攻击数据。网络蜜罐的价值在于以下几个方面：收集攻击数据：网络蜜罐可以收集攻击者的攻击数据，包括攻击方法、攻击工具、攻击目标等信息，这些信息对于安全团队分析攻击行为和制定防御策略非常有价值。提高安全意识：网络蜜罐可以帮助安全团队了解攻击者的攻击手段和目的，从而提高安全意识，加强安全防御。降低风险：通过使用网络蜜罐，安全团队可以在真实系统之外提供一个安全的环境，以吸引攻击者，从而降低真实系统受到攻击的风险。改善安全策略：网络蜜罐可以帮助安全团队了解攻击者的攻击行为和目的，从而改善安全策略，提高安全防御能力。3.3.14行为偏离预警行为偏离预警是深信服创新研究院提出的一套安全建设理念，旨在通过“鉴白”的思想，以自动化构建最小化行为集合为主要管控手段，可实现攻击手法的高效检测、准确响应和风险预测。应用的行为包括应用内外，涵盖文件、网络、进程、关键内部API调用。值得说明的是，不论应用内行为还是应用外行为，行为的主体都是服务器上开放端口的进程，如URL等只是进程的某个属性。行为偏离预警能够实现的价值如下：能够比较强地检测出通过开放的应用导致的攻击行为，包括0day。对远程代码执行漏洞、任意文件上传漏洞、任意文件读取漏洞、javaweb应用的SQL注入漏洞具备比较强的检测能力。能够归纳收敛当前应用产生的文件、网络、进程行为，并支持展示，可以供用户对自身服务的行为有一个比较好把控，特别是服务对外有哪些网络连接的功能对客户资产行为梳理能起到比较大的作用。3.3.15powershell执行无文件攻击方式利用powershell的命令加载恶意代码，利用powershell执行的方式绕过传统杀软的检测与防护，该方式快速且具有隐秘性，不易被察觉，被广泛利用于挖矿，窃密等非法行为上。深信服aES能够准确拦截powershell的对恶意代码的执行，实现实时准确阻断，防止用户主机被利用破坏。安全防御3.4.1防病毒&防勒索3.4.1.1文件信誉检测引擎基于传统的文件hash值建立的轻量级信誉检测引擎，主要用于加快检测速度并有更好的检出效果，主要有两种机制：a、本地缓存信誉检测：对终端主机本地已经检测出来的已知文件检测结果缓存处理，加快二次扫描，优先检测未知文件。b、全网信誉检测：在管理平台上构建企业全网的文件信誉库，对单台终端上的文件检测结果汇总到平台，做到一台发现威胁，全网威胁感知的效果。并且在企业网络中的检测重点落到对未知文件的分析上，减少对已知文件重复检测的资源开销。3.4.1.2基因特征检测引擎深信服aES的安全运营团队，根据安全云脑和aES产品的数据运营，对热点事件的病毒家族进行基因特征的提取，洞见威胁本质，使之能应对检测出病毒家族的新变种。相比一般的静态特征，基因特征提取更丰富的特征，家族识别更精准。3.4.1.3SAVE人工智能引擎（1）原理介绍SAVE（SangforAI-basedVanguardEngine）是由深信服创新研究院的博士团队联合aES产品的安全专家，以及安全云脑的大数据运营专家，共同打造的人工智能恶意文件检测引擎。该引擎利用深度学习技术对数亿维的原始特征进行分析和综合，结合安全专家的领域知识，最终挑选了数千维最有效的高维特征进行恶意文件的鉴定。（2）SAVE的核心理念高层特征，稳定可靠在现实世界，不同病毒变种间的底层二进制代码片段在不断变换。为了识别未知病毒威胁，SAVE不再依赖于前述传统方法依赖的字节级特征，而是使用AI技术提取稳定、可靠的高层次特征。当病毒变种间为了实现相似乃至相同的病毒功能，他们代码的高层次语义特征往往是相似的（如图1a和1b所示）。正是基于对病毒演化本质的深入理解，SAVE通过神经网络等多种机器学习算法自动提取高层次特征。深度神经网络是由多层的非线性神经元构成的网络计算模型，它模拟了生物神经系统的链接方式，能够在系统中有效、快速的传递有效信息（如上图所示）。深度神经网络的强大之处在于：通过学习海量的正常文件样本和病毒文件样本，它能自动地、逐层地凝练更高层次的特征。比如说，信息在网络传递的过程中，其表征的含义从最开始输入的文件字节特征（识别一个字节），逐渐进化到语句特征(识别一个指令)，函数特征（识别一个函数）和语义特征（识别一个操作/行为，比如勒索病毒通常具有的加密操作），最后完全自动化的构建出稳定可靠的高层次病毒特征。实中，取决于网络结构和深度的不同，信息演化的路径不尽相同，但大体上是沿着这样的方式。比起只利用字节特征的传统方案形成明显优势，SAVE具有很强的泛化能力。能够更好的识别未曾见过的病毒样本，抵御抗病毒变种和新病毒家族等未知威胁。博采众长，各个击破病毒有非常多的家族和类型，不同类型间恶意行为差异很大，很难通过单一模型对所有病毒都有很好的识别效果。为了解决这一问题，我们一方面进行了精细的特征工程。公司的病毒专家在多年的实战中，总结了很多病毒检测的有效特征，识别经验以及技巧。SAVE除了通过深度神经网络从原始文件信息中自动构建高层次特征，也会使用主成分分析（PCA）等方法从病毒专家多年积累的经验中，提取高层次特征。另一方面，我们的决策模块也通过集成学习框架，综合了深度神经网络、随机森林、支持向量机等多个机器学习决策模型，对文件作出精确分类。比如说，某些模型对于勒索病毒有很高的检出率，某些模型对于木马有很高的检出率。集成学习机制可以自动识别各个模型的优势，相互补充，达到对所有病毒的检出率最优。左右互搏，持续演进除了使用AI技术大幅提升检测能力，SAVE还在云端通过生成对抗网络（GAN）的思想（如图3），采用“左右互搏”的方式持续学习，增强模型健壮性和检测能力。一方面，GAN框架中的“生成器”模块能够模拟病毒变种的制作过程，不断生成新的病毒变种文件，以逃逸当前版本引擎的检测。这些病毒文件将为SAVE持续提供模拟未知威胁的训练数据，促使SAVE不断加强对未知威胁的检测能力。另一方面，SAVE的检测结果也会反馈给“生成器”，促使其生成更有威胁的病毒文件。通过两个模块的循环促进，提升SAVE的检测能力。SAVE的检测架构上图描述了SAVE的本地检测框架。首先，SAVE会从文件的头、节、资源和签名等多个部分提取信息，作为判别输入。对于原始二进制文件，SAVE通过多种方法（词向量嵌入，主成分分析，深度神经网络等）提取出信息量丰富、类间界限明显，稳定可靠的的高层次向量化特征。基于特征向量，SAVE利用集成学习，综合多种分类算法（随机森林，神经网络，支持向量机等）进行鉴定。最后，综合评分系统整合各模型检测结果，综合判断文件黑白属性。（3）优势说明强大的泛化能力，甚至能够做到在不更新模型的情况下识别新出现的未知病毒；对勒索病毒检测达到业界领先的检出率，包括影响广泛的WannaCry、BadRabbit等病毒；云+端联动，依托于深信服安全云脑基于海量大数据的运营分析，SAVE能够持续进化，不断更新模型并提升检测能力，从而形成本地传统引擎、人工智能检测引擎和云端查杀引擎的完美结合。3.4.1.4勒索病毒动静态立体防护新型勒索病毒层出不穷，全球各大企业遭受勒索病毒的事件持续发生，给各行各业造成了巨额的经济损失。据深信服云脑数据统计，深信服的安全团队在2020年已应急响应了数千起勒索事件，面对复杂的勒索病毒攻击链，传统的防护方案失效安全形式不容乐观。勒索病毒的攻击链一般分为三大步：感染病毒、加密勒索、横向传播，首先进行病毒从外网到内网的感染，然后漏洞利用提权加密勒索，最后威胁横向持续扩散。面对复杂的勒索病毒攻击，传统的防护方案难以防住。病毒感染难预防：由于病毒更新快速，变种多，并使用无需落地到磁盘的无文件攻击方式；传统基于特征检测的杀毒软件无法及时察觉，难以发现。加密勒索难定位：在进入内网后，开始运行加密程序，而内网资产数量庞大，一旦被加密，传统防护方案网端割裂，无法联动并快速分析病毒的传播环节，定位到所有感染主机。横向传播难控制：通过RDP远程爆破登录，并迅速扩散；即使检测出了勒索病毒，但无法找到感染的根因，无法控制，即使业务系统恢复后，也有可能导致再次感染。深信服aES基于主流攻击方式的技术研究，以及勒索病毒攻击链原理分析，覆盖勒索病毒全生命周期，提供预防、防御、检测与响应三个阶段的4-6-6三层立体防护，满足Gartner的安全要求，为终端提供全面、实时、快速、有效的安全防护能力，让勒索病毒无所遁形，保护组织终端业务安全。3.4.1.5勒索静态文件AI引擎（1）原理介绍多智能体模型推荐算法架构，未知勒索高检出病毒变种千变万化，仅实现已知病毒检测能力，在实际应用中不足以满足客户对终端安全的保障需求。基于这一目的，深信服aES在新版本引入多智能体模型推荐架构增强未知病毒的检测能力，通过对AI模型(随机森林和神经网络)深度和层级的加深，增强了AI模型泛化性和检出精度。同时，多智能体模型推荐架构不仅依赖于原有提取的通用性特征，同时新增AI技术对罕见性特征进行深度提取，获得更为稳定、可靠的高层次特征。能够更好的识别未曾见过的病毒样本，抵御新型抗病毒变种和新病毒家族等未知病毒。优势说明深信服aES在新版本对未知勒索威胁的检测能力进行全新升级，引入多智能体模型推荐架构增加AI泛化能力，对可疑文件进行多重AI检测，提升对未知威胁的检测能力，同时对判黑的威胁文件通过可拔插式AI判别是否为勒索病毒。可以清楚的告知客户帮其防住了勒索病毒，提升客户感知。通过对抗性AI训练，深信服aES对勒索的精准率已提升到99.47%，暂居国内top1。用户可直观地掌握内网终端是否中了勒索病毒，影响范围有多大，快速采取响应措施。技术优势如下：海量高质量样本：深信服拥有大量企业客户，而这些客户是勒索的重灾区，深信服在响应的同时获得了大量勒索软件样本数据。并且深信服有专门的勒索研究团队，能够针对这类高质量样本进行数据预处理及特征筛选，最大限度保证机器学习的效果；训练算法突破：深信服在算法上再进步（多智能体模型算法推荐架构），使得AI模型效果尽可能最优。并在训练平台上再改进，通过分布式训练平台，实现可训练样本提升3.5倍，实现模型效果显著提升，同时检出下误报下降5倍；高效迭代：深信服由于加大资源投入及技术积累/进步，原来由一年一次的AI模型更新提前到三个月一次，更新及发布周期频率加快，勒索检测效果再度提升；双AI技术模型：除通用恶意文件AI检测模型之外，深信服专门针对勒索病毒开发了专用的勒索AI检测模型。大小模型结合，识别效果更精准；引擎能力端侧落地：深信服是国内为数不多的能在终端侧落地AI检测能力的厂商，保证检测防护时效性，检测效果不受网络、并发情况影响，离线也能精准检测。3.4.1.6勒索动态行为AI引擎（1）原理介绍国内首创通用白进程利用勒索防护，信任区勒索防护。全新独家上线“勒索行为AI引擎”，客户就算被黑客攻陷，都能够在勒索载荷落地执行阶段防住，AI引擎通过对主流勒索病毒加密行为的学习、检测、打分，能够精确定位勒索攻击行为，实现自动阻断，遏制勒索蔓延。病毒加壳、混淆、注入白进程等绕过手段层出不穷，静态防护存在能力边界，总有部分勒索病毒通过某种方式执行起来，造成用户数据损失。若在病毒执行初始阶段，发现并阻止加密进程，能够有效保护数据进一步受损，为此提出基于行为的勒索病毒检测方案。通过采集用户操作系统进程调用的API序列、进程动作序列、文件操作行为序列，并基于专家知识完成可疑行为模式筛选，最终采用模型融合的方式，实现勒索行为的高精度识别。勒索行为检测流程如下：勒索行为检测过程其中行为模型产出步骤如下图所示，根据API序列、进程动作、文件操作等原始数据构建行为图，行为图有助于发现不同行为之间存在的映射关系，基于该图对行为本身、行为操作对象进行量化，形成可计算的行为向量，而行为作为一种序列化的数据，需要具备针对长序列的处理方案，这里采用时序网络对长序列进行Embedding，进一步地完成行为向量压缩与行为特征提取。至此获得了已采集数据的特征向量，后续结合贝叶斯分类、SVM、决策树等多个模型完成最终的分类任务。（2）优势说明通过分析勒索攻击事件攻击过程，采集其一系列可疑操作行为（如注册表修改、执行命令、释放文件、创建进程等），针对不同勒索家族类型的攻击步骤进行关联分析，构建定制化攻击事件链条。实现勒索攻击过程中攻击模式抽取，若在端侧匹配到相应攻击模式，则能够实现勒索加密发生前对勒索病毒的阻断，保护用户数据遭受损失。3.4.1.7防勒索动态备份回滚（1）原理介绍备份恢复技术用于对抗勒索病毒很有效，因为由于误操作、安全策略配置不当可能导致检测、防护能力被绕过，所以还需要备份恢复能力做技术兜底。区别于传统备份系统，aES动态备份回滚不存在以下问题：搭建备份系统部署周期久，投入较大，对系统资源占用较大；备份系统不具备识别勒索加密文件的能力，无论文件是否被加密，备份系统都会进行备份，不仅增加系统的资源占用，而且会导致备份系统中数据受到污染；备份系统无法防范勒索攻击，勒索病毒同样会破坏备份数据，导致备份系统的数据库无法使用，给客户造成严重的数据损失。为解决上述问题，aES创新研发基于行为AI的防勒索动态备份能力，实现原理如下：防勒索系统安装后，任何文件的操作均会触发防勒索的安全检查，可信应用文件操作放行，非可信应用文件操作将触发备份动作，在备份入库前，防勒索系统会检查入库数据的安全性，通过文件名、后缀名、信息熵、方差值完成文件是否被勒索加密的判断。我们知道，勒索病毒加密的文件会被修改文件名、后缀名，文件的熵值和方差值会发生显著变化，基于此防勒索系统可识别被勒索加密的文件，已经被勒索加密的文件将直接丢弃，并对操作该文件的进程进行终止和隔离操作，被识别为正常的数据文件则经过重复检查后进入备份区。此外，勒索事中数据智能备份机制，数据智能备份机制并非是全盘备份，而是配合勒索行为AI引擎经过巧妙设计按需触发，既可以实现勒索病毒的精准防范，又能备份缓解勒索行为AI引擎拦截时损失的少量文件，还能确保最小的系统资源消耗。（2）优势说明基于AI的智能备份：深信服EDR勒索备份机制基于深信服EDR勒索AI引擎，对勒索行为实现智能化、高准确、低误报识别，确保备份模块按需启动，完美结合可用性与安全性，大幅降低终端勒索备份复杂性。多层防护，精准检测：深信服EDR勒索行为检测以勒索行为AI引擎为基础，在国内居于领先地位，而勒索备份机制以勒索行为检测为核心，通过未知勒索病毒静态检测，勒索诱饵防护，黑客工具防护，内存扫描防护，无文件攻击防护以及远程登录防护在事前对终端进行整体防护；在事中通过动态引擎对勒索行为进行检测与防护，并且以检测结果为基础，通过小文件实时备份与关键目录隔离防护对小微文件与关键的业务目录进行备份与勒索防御；在事后通过终端一键回滚完成对被加密文件的回滚与恢复；形成多层次，高精准防护机制，实现对客户终端环境的全面防护。低成本，省心可靠：深信服EDR对文件实现精准按需备份，静态增量快照减少终端占用资源，进而降低用户办公感知，对客户日常业务不造成影响；并且将所有备份存储在终端本地，不增加外部存储从而大幅降低成本。防御闭环，一键回滚：对勒索行为事件，通过智能检测，主动防御，一键回滚形成终端防勒索闭环，大幅降低终端勒索风险。3.4.1.8勒索诱饵防护（1）原理介绍勒索病毒在入侵主机会进行横向传播扩散，影响范围十分广泛，一台终端重病，全网业务瘫痪。深信服aES通过在系统关键目录，放置诱饵文件，并且保证这些诱饵文件会被优先枚举到。当有勒索程序对诱饵文件进行修改或删除时，将触发驱动拦截该进程行为，并将该进程信息上报给应用层进行病毒文件查杀。（2）优势说明针对性的勒索诱捕方案，主动进行勒索病毒的防御，及时阻止勒索病毒的大范围传播，全面阻止业务不可逆终端，保护主机安全。3.4.1.9服务器远程登录防护（1）原理介绍RDP、SSH远程暴破登录是目前黑客攻击的常用手段之一，而企业运维管理人员常因为服务器众多，为方便管理运维而使用安全性较低的登录密码，极容易爆破而导致被勒索。深信服aES推出服务器远程登录的多因素认证技术，通过监听RDP、SSH会话消息，当检测到有新会话接入时，自动切换到二次认证桌面，该桌面只有二次密码验证的窗口，仅允许输入密码验证，禁止其他操作。也支持仅允许指定IP或网段的主机访问服务器，实现服务器远程登录的统一认证管理。（2）优势说明通过服务器远程登录防护，预防黑客通过RDP、SSH爆破方式攻击服务器，大大减少了被勒索病毒入侵从而导致业务瘫痪、经济受损等风险，为组织提供全面的勒索立体防护。3.4.1.10服务器可信进程加固防护企业服务器常承载关键业务运行，系统极少运行与业务无关的进程，因此为防止非法进程运行占用系统资源干扰业务。aES推出的基于可信进程的加固防护技术，实现从进程学习、可信进程确认到可信进程生效的防护策略，既支持服务器全系统可信进程防护，也支持指定服务器目录防护，从而阻止非可信进程的运行。可信进程加固包括两个步骤，首先是学习阶段，在该阶段主要是采集终端运行过的所有的进程信息，学习停止后，由用户根据采集到的进程信息进一步确认并生成可信进程的规则；第二阶段是加固生效阶段，可信进程规则下发到终端上，终端在系统内核中监控进程的创建行为，当检测到新进程创建，获取进程信息并与可信进程规则进行匹配，如果匹配失败，则阻断进程的创建行为。3.4.2应用安全防护RASP（详见RASP技术白皮书）“Runtimeapplicationself-protection”简称为RASP，属于一种新型应用安全保护技术，它将防护功能"注入"到应用程序中，与应用程序融为一体，通过Hook少量关键函数，实时观测程序运行期间的内部情况。当应用出现可疑行为时，RASP根据当前上下文环境精准识别攻击事件，并给予实时阻断，使应用程序具备自我防护能力，而不需要进行人工干预。LRASP引擎是一个基于RASP技术实现的、由探针和控制端组成的轻量级应用安全自保护引擎。通过启动时hook/运行时hook技术将探针插桩到目标应用。其中具备虚拟运行时的开发语言（如Java/python/PHP等）借助虚拟运行时提供的机制如Java的JVMTI，可以对运行时程序进行切面织入。目前引擎已实现了Java应用自保护，通过插桩进行Java字节码增强，达到检测/阻断攻击的效果。深信服aES支持手动部署与自动部署两种RASP部署方式，采用了模块化的设计，即将探针与安全能力进行分离，将安全能力模块化，支持按需控制检测项，最大化地适应部署了RASP防护的应用。支持完备的熔断策略，保证部署了RASP防护的业务的正常运行。探针本体与安全能力模块均支持热加载与热卸载的功能，可以在不影响业务的前提下，接近无感地进行能力的更新，保证已部署了RASP防护的应用的安全性与稳定性。3.4.3网页防篡改网络攻击者通常会利用被攻击网站中存在的漏洞，通过在网页中植入非法暗链对网页内容进行篡改等方式，进行非法牟利或者恶意商业攻击等活动。网页被恶意篡改会影响您正常访问网页内容，还可能会导致严重的经济损失、品牌损失甚至是政治风险。网页防篡改服务，可实时监控网站目录保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。网站防篡改的核心体现在篡改检测技术上，主要分为三类：外挂轮询技术、核心内嵌技术和增强型事件触发技术。外挂轮询技术：这种技术是通过定期轮询网站的文件或目录，与之前的快照进行比对，以检测是否有篡改发生。如果发现篡改，系统会进行相应的补偿措施，恢复被篡改的内容。然而，这种技术无法实时阻断篡改，只能在篡改发生后进行恢复。核心内嵌技术：这种技术是将篡改检测功能嵌入网站的核心代码中，通过监控文件的变化来检测篡改。当发现篡改时，系统会采取相应的措施进行恢复。与外挂轮询技术类似，核心内嵌技术也是事后补偿的思路，无法实时阻断篡改。增强型事件触发技术：这种技术是基于操作系统内核底层文件系统驱动的保护技术。它通过监控被保护的网站目录或文件的变化，实时进行合法性检查。当检测到篡改发生时，系统可以立即进行实时检测和实时阻断。这种技术能够更加及时地发现篡改，并采取相应的措施进行阻断。总的来说，aES采用的增强型事件触发技术是一种更加高效和实时的篡改检测技术，能够在篡改发生时立即进行检测和阻断。而外挂轮询技术和核心内嵌技术则是事后补偿的思路，只能在篡改发生后进行恢复。由于不需要像数字水印技术那样对水印值先存储再对比，不但篡改检测效率高，对服务器本身资源占用也较低，尤其在应对大规模自动化、连续性篡改时，该技术这样的特点具有明显的优势。因此，此类技术较核心内嵌技术和外挂轮询两类技术有更优的性能表现。图：aES防篡改优势能力3.4.4微隔离（1）原理介绍从近几年的黑客攻击形势看，内网的攻击逐渐增多。然而，当前不少组织单位的安全防御思路依然仅靠层层边界防御，却忽略了内网的安全防护。当攻击者有机会拿到内网一个跳板机时，即可畅通无阻在内部网络中横向传播威胁，对业务造成爆破式影响。因此，为了适应新的攻防形势，行业开始重新分析和审视内部网络隔离的重要性。实现内部网络隔离的有多种，传统网络隔离方案基本都是基于网络层面进行工作，部署物理硬件防火墙，并配置相应的策略，从网络层进行访问控制；a、调用系统主机防火墙，需要单独对主机进行策略配置，从而进行访问控制；b、VLAN隔离技术根据特定的策略进行区域逻辑网段分离。但随着组织内部网络架构的演进，从传统的IT架构向虚拟化、混合云升级变迁，虚拟化极大化扩充资产数量，传统隔离方案在以灵活为核心的新IT架构下落地变得困难重重，难以适应当下的环境：1、无法做到细粒度的隔离措施：传统网络隔离最小粒度只能做到域的隔离，意味着只能针对南北向流量进行隔离，而同一域内的东西流量无法有效隔离，从而无法有效防范威胁横向扩散，内部一旦被突破一点，感染成面，损失巨大；2、维护不够灵活：面对众多分散的虚机控制点，以及变化的网络环境，传统隔离策略无法做到实时更新与自适应防护，反而因为安全影响了业务的灵活性，最终因为策略复杂不能真正落地；3、访问关系不可视：业务系统之间的访问关系完全不可视，难以确定隔离的有效性，甚至外部供应商网络与内部涉密生产系统交互频繁却不自知。当越来越多的用户开始转为更为灵活的微隔离方案时，选择哪种技术路线成为了问题的关键。当前微隔离方案技术路线主要有三种，而主机代理微隔离才更适应当前多变的用户业务环境。深信服aES微隔离下一代主机隔离技术，架构于主机防火墙之上，致力解决病毒东西向、横向移动和内网扩散和处置问题，提出了一种基于安全域应用角色之间的流量访问控制的系统解决方案，提供全面基于主机应用角色之间的访问控制，做到可视化的安全访问策略配置，简单高效地对应用服务之间访问进行隔离技术实现。windows上采用WFP架构实现，应用层采用WFP基本筛选引擎（BaseFilteringEngine）接口实现网络访问关系的控制，驱动层采用WFP内核态过滤引擎实现网络流量的监控。Linux上采用NetFilter/iptables实现网络关系的访问控制，采用网络连接跟踪的技术实现网络流量的监控。（2）优势说明访问关系精细化管控：在东西向访问关系控制上，优先对所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行访问控制配置，减少了对物理、虚拟的服务器被攻击的机会，集中统一管理服务器的访问控制策略。并且基于安装轻量级主机Agent软件的访问控制，不受虚拟化平台的影响，不受物理机器和虚拟机器的影响。东西向流量可视：采用统一管理的方式对终端的网络访问关系进行图形化展示，可以看到每个业务域内部各个终端的访问关系展示以及访问记录，也可以看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行，同时可以根据每个访问关系会生成访问关系控制策略，让用户决定是否启用该策略，减少了手动新增策略的工作量，提高了安全管理的效率。网端联动纵深防御（AF\XDR\SIP等）3.5.1网端联动-防远控、防扩散、可根除传统的网端联动，由于网端引擎不一致，会导致端侧的查杀结果无法与网侧的安全事件进行对应。针对一些复杂高危的威胁行为，传统的病毒查杀行为很有可能让病毒“死而复生”，导致网端告警复发。针对复杂高危的威胁行为，深信服aES产品能与NGAF（下一代防火墙）、SIP（态势感知）进行协同联动响应，网侧检测出威胁访问的恶意流量，由端侧对威胁的行为进行分析处置。例如网络侧发现一个恶意流量，在网侧产生一个告警。管理员可在网络侧下发一个针对此恶意访问流量的处置请求到端侧。端侧收到此恶意流量的处置请求后，自动对整个进程链完成溯源、分析、举证、匹配等系列动作，最后自动完成威胁处置，并且把处置结果完成的返回到网络侧，实现威胁处置的自闭环。新网端处置可以分为下面三个维度：防远控针对远控类威胁，端侧会针对其域名访问行为、进程创建行为等等进行阻断，全面封锁远控类病毒威胁防扩散针对感染性强的威胁，端侧会单独针对感染性病毒进程及其已感染的进程网络访问行为进行严格限制，遏制感染型病毒对于重要服务器的网络访问，能在保证业务正常运行的基础上，更好的限制感染型病毒的扩散行为彻底根除针对已确认的病毒威胁，在保证终端业务正常运行的基础上，对已确认的病毒威胁创建的进程、文件、注册表等行为做彻底清除，从根源上消除病毒所带来的风险。相对于以前的联动溯源举证能力，防远控、防扩散、可根除的一些系列能力大大减少了管理员的运维成本，可以把威胁处置、安全防护完全托管到新的网端联动体系中，做到威胁事件彻底闭环处置。3.5.2云内态势感知（东西向流量采集）传统网络数据分析会在交换机上配置网络数据镜像，将Packet复制后发送到目标机器，实现网络流量镜像的功能。而在云平台上，云厂商并未对用户提供流量镜像功能，即使是私有云，单独定制流量镜像功能也十分昂贵。深信服云主机安全保护平台能够作为软探针存在，采用代理流量转发方式实现，基于libpcap/npcap+GRE/VXLAN封装技术的转发流量数据，支持所有协议全流量采集或自定义过滤采集，支持转发速率阈值自定义设置，将流量数据转发给STA分析器，STA分析流量数据产生风险日志上报SIP平台分析展示，其使用十分简单，适用于各类公有云和私有云，是云平台目前最优的网络流量镜像方案。图：流量采集原理示意图将云内东西向流量上报给SIP，实现云环境下的安全态势感知，通过端网联动，可以实现整体攻击链溯源，建立纵深防御体系。图:多设备智能联动桌面管理3.6.1远程桌面控制企业运维管理员在维护终端主机时往往需要亲自到现场操作物理主机，这种方式效率很低；再或者需开启主机自带的远程功能，通过主机的IP地址、账号、密码登陆后才能操作主机，而主机的这些登陆信息常常容易发生变化，一旦主机数量很大时，很难维护这些远程登录信息。通过集成远程控制功能，基于远程控制开源软件UltraVNC（分为客户端和服务端），aES客户端默认附带UltraVNC服务端程序。通过在aES管理平台发起远程，下载运行UltraVNC客户端程序，输入被远程端的IP、端口以及授权码即可实现远程控制。（2）优势说明a、快速：在终端用户同意的情况下，1~2分钟内快速