1.背景介绍 -------------------------------------------- 1
1.1.安全背景与挑战 ------------------------------------------ 1
2.总体架构 -------------------------------------------- 5
2.1.架构设计 ------------------------------------------------ 5
3.核心技术 -------------------------------------------- 7
3.1.基于多维度的智能检测技术 -------------------------------- 7
3.1.1 文件信誉检测引擎 --------------------------------------------------------------------------- 7 3.1.2 基因特征检测引擎 --------------------------------------------------------------------------- 7 3.1.3 AI技术SAVE引擎 ---------------------------------------------------------------------------- 8 3.1.4 行为引擎 --------------------------------------------------------------------------------------12 3.1.5 云查引擎 --------------------------------------------------------------------------------------13
3.2.基于WEB后门的综合检测技术 ------------------------------- 13 3.3.基于主机防火墙的创新微隔离技术 ------------------------- 13
3.3.1 微隔离的技术原理 --------------------------------------------------------------------------13 3.3.2 访问关系控制 --------------------------------------------------------------------------------14 3.3.3 访问关系可视化 -----------------------------------------------------------------------------14
3.4.基于网“端”云的设备联动响应技术 ----------------------- 15 3.5.基于规则匹配的补丁检测更新技术 ------------------------- 15
4.价值效果 ------------------------------------------- 17
4.1.终端资产的全面管理 ------------------------------------- 17 4.2.终端安全的合规检查 ------------------------------------- 17 4.3.勒索病毒的实时防御 ------------------------------------- 17 4.4.入侵攻击的主动检测 ------------------------------------- 17 4.5.热点事件的快速响应 ------------------------------------- 17 4.6.访问关系的策略控制 ------------------------------------- 17
5.未来展望 ------------------------------------------- 18
1.背景介绍
1.1.安全背景与挑战
近年来,传统的病毒木马攻击方式还未落幕,层出不穷的高级攻击事件不断上演,勒索病毒、挖矿木马等安全事件频发,如WannaCry爆发造成全球有150多个国家,涉及30多万用户受到影响,经济损失达80亿美元,而Globelmpster传播,国内医疗,金融与教育等行业深受其害等,严峻的安全形势给企业造成了严重的经济损坏和社会影响。
新时代下企业级终端安全面临严峻挑战,相较于个人终端而言,企业终端、数据等资产价值更高,由终端、服务器等不同软硬件所组成办公局域网,带来更为复杂的病毒来源、感染、传播途径,正因此企业用户面临更为严峻的终端安全挑战,对防护、管理、应用等多方面提出更高要求,所面临的问题呈现出如下几点:
首先,人工运维加剧威胁防御成本。传统终端安全产品以策略、特征为基础,辅以组织规定以及人员操作制度驱动威胁防御,高级威胁一旦产生,将会不可控的传播,势必带来人工成本的几何增长,且对企业运维人员专业性要求极高,有效应对威胁难度大。
其次,基于特征匹配杀毒无法有效抵御新型病毒。基于病毒特征库方式进行杀毒,在高级威胁持续产生的大环境下,呈现被动、后知后觉等检测特点,无法及时有效防御新型病毒,如WannaCry勒索病毒。另外,本地特征库数量受限,现有特征库文件规模无法满足已知病毒的查杀需求。
1
第三,病毒特征库数量增长加重主机运算资源。本地病毒特征库数量日益增多,加重终端存储、运算资源成本,防御威胁过程已严重影响用户日常办公,无法适应如云化等新的特定场景。
第四,杀毒处置方式落后无法适应病毒新的传播方式与环境。采取基于文件隔离的处置方式相对落后,如文件隔离失败情况产生,单点威胁将快速辐射到面,因此传统防毒产品已经无法适应新的病毒传播方式及环境。
2
在当前的安全形势下,传统杀毒解决方案无法做到百分百有效拦截病毒和恶意入侵,特别是
在APT攻击下,用户甚至长期感知不到安全威胁的存在,EDR产品正是为解决这种问题而生。特别是国外的EDR厂商,并不具备传统杀软的能力,而是起到互补的作用,如下图所示:
EDR技术的兴起,使得全球涌现出了一批新的终端安全厂商,而传统的终端安全厂商也在融合这类技术。具体来说,下一代终端安全公司提供基于机器学习算法的产品,用以封堵传统及新兴威胁。终端检测和响应(EDR)厂商,则监视PC行为,查找异常活动。
任何一个产品,最终还是要回归到真正解决用户问题之上,而一体化的终端安全解决方案也将是大势所趋,正如 Gartner 在EDR技术架构解析中指出,传统的EPP解决方案与当前的EDR解决方案,将是一个互相融合的趋势。
3
深信服从一开始就看到了这个趋势并瞄准了这一目标,推出一套完整(EPP+EDR)的终端安全解决方案。方案由轻量级的端点安全软件和管理平台软件共同组成,并命名为“深信服EDR”,实际是具备EPP能力的EDR产品,后续简称EDR。
如上图所示,通过事前预防、事中防御、事后检测和响应三个不同阶段的防护方案,实现病毒驻留时间最小化(dwell time)的目标,这即是深信服EDR的安全理念。
4
2.总体架构
深信服EDR 的管理平台支持统一的终端资产管理、终端安全体检、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件 IOC 的全网威胁定位,历史行为数据的溯源分析,远程协助取证调查分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。深信服的 EDR 产品也支持与 NGAF、AC、SIP 产品的联动协同响应,形成新一代的安全防护体系。
2.1.架构设计
EDR从系统架构上分为三层,基础平台层、核心引擎层以及功能展现层。每个子层具体负责的功能如下:
基础平台层:负责提供集中管控,云查以及主机代理功能的基础能力。 核心引擎层:负责提供病毒检测,威胁分析以及行为检测等能力。
功能展现层:从预防、防御、检测、响应等四个方面,提供全面的安全防护体系。
5
EDR产品的防护体系以预防、防御、检测与响应这四个维度的能力来提供事前,事中与事后的服务。
预防能力:为用户提供对终端资产盘点、安全基线核查、智能微隔离、东西向流量可视等预防能力。
防御能力:为用户提供对勒索软件、爆破入侵、后门上传、活跃僵尸程序等的实时防御能力。
检测能力:为用户提供对恶意文件、入侵攻击、web后门、热点事件的检测能力。 响应能力:支持全网威胁定位、一键文件隔离、一键主机隔离、设备联动响应机制。
6
3.核心技术
3.1.基于多维度的智能检测技术
终端上的安全检测是核心的技术,传统的病毒检测技术使用特征匹配,而特征匹配没有泛化能力或泛化能比较弱,当病毒经过简单的变种,就必须新增加特征规则,因此,随着病毒数量越来越大,病毒特征库也就跟着越来越大,同时运行所占资源也就越来越多。而基于AI技术的查杀引擎,利用深度学习的技术,通过对海量样本数据的学习,提炼出来的高维特征,具备有很强的泛化能力,从而可以应对更多的未知威胁。而这些高维特征数量极少,并且不会随着病毒数同步增长,因此,AI技术具有更好检出效果、更低资源消耗的优点。
当然,仅靠一个AI杀毒引擎是不够的,深信服的 EDR 产品构建了一个多维度、轻量级的漏斗型检测框架,包含文件信誉检测引擎、基因特征检测引擎、AI 技术的 SAVE 引擎、行为引擎、云查引擎等。通过层层过滤,检测更准确、更高效,资源占用消耗更低。
3.1.1 文件信誉检测引擎
基于传统的文件hash值建立的轻量级信誉检测引擎,主要用于加快检测速度并有更好的检出效果,主要有两种机制:
1.本地缓存信誉检测:对终端主机本地已经检测出来的已知文件检测结果缓存处理,加快二次扫描,优先检测未知文件。
2.全网信誉检测:在管理平台上构建企业全网的文件信誉库,对单台终端上的文件检测结果汇总到平台,做到一台发现威胁,全网威胁感知的效果。并且在企业网络中的检测重点落到对未知文件的分析上,减少对已知文件重复检测的资源开消。
3.1.2 基因特征检测引擎
7
深信服EDR的安全运营团队,根据安全云脑和EDR产品的数据运营,对热点事件的病毒家族进行基因特征的提取,洞见威胁本质,使之能应对检测出病毒家族的新变种。相比一般的静态特征,基因特征提取更丰富的特征,家族识别更精准。
3.1.3 AI技术SAVE引擎
3.1.3.1 SAVE简介
SAVE(Sangfor AI-based Vanguard Engine)是由深信服创新研究院的博士团队联合 EDR 产品的安全专家,以及安全云脑的大数据运营专家,共同打造的人工智能恶意文件检测引擎。该引擎利用深度学习技术对数亿维的原始特征进行分析和综合,结合安全专家的领域知识,最终挑选了数千维最有效的高维特征进行恶意文件的鉴定。
相比基于病毒特征库的传统检测引擎,SAVE 的主要优势有:
⚫ 强大的泛化能力,甚至能够做到在不更新模型的情况下识别新出现的未知病毒;
⚫ 对勒索病毒检测达到业界领先的检出率,包括影响广泛的 WannaCry、BadRabbit 等病毒; ⚫ 云+端联动,依托于深信服安全云脑基于海量大数据的运营分析,SAVE 能够持续进化,不断
更新模型并提升检测能力,从而形成本地传统引擎、人工智能检测引擎和云端查杀引擎的完美结合。
3.1.3.2 SAVE 核心优势
⚫ 基于人工智能技术,拥有强大的泛化能力,能够识别未知病毒或者已知病毒的新变种; ⚫ 对勒索病毒检测效果达到业界领先,包括影响广泛的 WannaCry、BadRabbit等病毒。2018 年
10 月新发现的 GandCrab5.0.3、Rapid、GandCrab5.0.4、KrakenCryptor2.0.7 勒索病毒,使用 9 月已经合入产品并发布的 SAVE1.0.0可以全部检出和查杀。对非勒索病毒也有较好的检出效果;
⚫ 云+边界设备+端联动,依托于深信服安全云脑海量的安全数据,SAVE 能够持续进化,不断更
新模型并提升检测能力,从而形成传统引擎、人工智能检测引擎和云端检测引擎的完美结合,构成了深信服的安全云脑+安全网关AF/SIP/AC+终端安全 EDR 的整体解决方案。
8
3.1.3.3 SAVE的技术原理
(1)传统病毒检测技术及优缺点
传统的静态病毒检测方法主要有 MD5、病毒特征码和规则匹配这三大类。这些传统技术本质上都是对文件的字节信息进行匹配,这导致他们通常无法检测新变种、新家族等未知威胁。下面以勒索病毒样本 GandCrab5.0.0 为例讲解几种传统技术方案的思想和缺点。
⚫ MD5 是匹配样本文件的整体 MD5 哈希值,也就是需要完全匹配病毒文件的二进制序列,改变
一个字节都不行。
⚫ 病毒特征码是匹配文件内容中的特定二进制串(被称为“特征码”),通常是匹配病毒的恶
意代码部分,比如需要匹配图 1 中完整的 ABC 代码片段。
⚫ 规则匹配比起特征码更灵活一些,是匹配多个二进制串的组合,它支持匹配一条正则表达式
描述的规则,例如“当 A 出现,且 B 或 C 有一个出现”,对应正则规则 A&(B|C)。 ⚫ 沙箱是一种动态检测技术,他通过模拟运行病毒文件,捕获病毒的动态可疑行为,举证比较
说服力。但其显著缺点是资源开销巨大,因此沙箱通常部署在云端或终端,较少部署在网关设备。基于性能考虑,一般把沙箱接在静态检测引擎之后(这些高性能引擎可能是基于 MD5、特征码、规则或者 AI)。这样只有极少的可疑文件需要交给沙箱判定。下文不再把沙箱技术作为对比对象,研究院也在研发沙箱技术方案。
9
上述几类传统静态病毒检测方案虽然技术原理和检测能力各有不同,但它们的检测对象本质上都是字节信息。该共性也成为他们的共同缺陷。此类字节信息属于原始的、低层特征,其在病毒演化和逃避检测的过程中通常是脆弱多变的。比如,当勒索病毒 GandCrab 演化到变种5.0.3 时,其代码片段变成了 DBC(如上图 b)。上述传统的静态检测方法此时全部失效,失效原因分别是:MD5发生变化,特征码变化,规则匹配不上。因此传统方法通常无法检测新变种、新家族等未知威胁。正是由于传统方法的这些缺陷,SAVE 提出了使用机器学习技术去检测未知病毒或新变种。
(2)SAVE 的核心理念 ⚫ 高层特征,稳定可靠
在现实世界,不同病毒变种间的底层二进制代码片段在不断变换。为了识别未知病毒威胁,SAVE不再依赖于前述传统方法依赖的字节级特征,而是使用AI技术提取稳定、可靠的高层次特征。当病毒变种间为了实现相似乃至相同的病毒功能,他们代码的高层次语义特征往往是相似的(如图 1a 和 1b 所示)。正是基于对病毒演化本质的深入理解,SAVE 通过神经网络等多种机器学习算法自动提取高层次特征。
深度神经网络是由多层的非线性神经元构成的网络计算模型,它模拟了生物神经系统的链接方式,能够在系统中有效、快速的传递有效信息(如上图所示)。深度神经网络的强大之处在于:通过学习海量的正常文件样本和病毒文件样本,它能自动地、逐层地凝练更高层次的特征。比如说,信息在网络传递的过程中,其表征的含义从最开始输入的文件字节特征(识别一个字节),逐渐进化到语句特征(识别一个指令),函数特征(识别一个函数)和语义特征(识别一个操作/行为,比如勒索病毒通常具有的加密操作),最后完全自动化的构建出稳定可靠的高层次病毒特征。实中,取决于网络结构和深度的不同,信息演化的路径不尽相同,但大体上是沿着这样
10
的方式。比起只利用字节特征的传统方案形成明显优势,SAVE具有很强的泛化能力。能够更好的识别未曾见过的病毒样本,抵御抗病毒变种和新病毒家族等未知威胁。 ⚫ 博采众长,各个击破
病毒有非常多的家族和类型,不同类型间恶意行为差异很大,很难通过单一模型对所有病毒都有很好的识别效果。为了解决这一问题,我们一方面进行了精细的特征工程。公司的病毒专家在多年的实战中,总结了很多病毒检测的有效特征,识别经验以及技巧。SAVE 除了通过深度神经网络从原始文件信息中自动构建高层次特征,也会使用主成分分析(PCA)等方法从病毒专家多年积累的经验中,提取高层次特征。另一方面,我们的决策模块也通过集成学习框架,综合了深度神经网络、随机森林、支持向量机等多个机器学习决策模型,对文件作出精确分类。比如说,某些模型对于勒索病毒有很高的检出率,某些模型对于木马有很高的检出率。集成学习机制可以自动识别各个模型的优势,相互补充,达到对所有病毒的检出率最优。 ⚫ 左右互搏,持续演进
除了使用 AI 技术大幅提升检测能力,SAVE 还在云端通过生成对抗网络(GAN)的思想(如图 3),采用“左右互搏”的方式持续学习,增强模型健壮性和检测能力。一方面,GAN 框架中的“生成器”模块能够模拟病毒变种的制作过程,不断生成新的病毒变种文件,以逃逸当前版本引擎的检测。这些病毒文件将为 SAVE 持续提供模拟未知威胁的训练数据,促使 SAVE 不断加强对未知威胁的检测能力。另一方面,SAVE 的检测结果也会反馈给“生成器”,促使其生成更有威胁的病毒文件。通过两个模块的循环促进,提升 SAVE 的检测能力。 (3)SAVE 的检测架构
11
上图描述了 SAVE 的本地检测框架。首先,SAVE 会从文件的头、节、资源和签名等多个部分提取信息,作为判别输入。对于原始二进制文件,SAVE 通过多种方法(词向量嵌入,主成分分析,深度神经网络等)提取出信息量丰富、类间界限明显,稳定可靠的的高层次向量化特征。基于特征向量,SAVE 利用集成学习,综合多种分类算法(随机森林,神经网络,支持向量机等)进行鉴定。最后,综合评分系统整合各模型检测结果,综合判断文件黑白属性。
3.1.4 行为引擎
传统静态引擎,是基于静态文件的检测方式,对于加密和混淆等代码级恶意对抗,轻易就被绕过。而基于行为的检测技术,实际上是让可执行程序运行起来,“虚拟沙盒”捕获行为链数据,通过对行为链的分析而检测出威胁。因此,不管使用哪种加密或混淆方法,都无法绕过检测。最后,执行的行为被限制在“虚拟沙盒”中,检测完毕即被无痕清除,不会真正影响到系统环境。
12
行为引擎在分层漏斗检测系统结构中,与云查引擎处于最低层,仅有少量的文件到达该层进行鉴定,因此,总体资源消耗较少。
3.1.5 云查引擎
针对最新未知的文件,使用IOC特征(文件hash、dns、url、ip等)的技术,进行云端查询。云端的安全云脑中心,使用大数据分析平台,基于多维威胁情报、云端沙箱技术、多引擎扩展的检测技术等,秒级响应未知文件的检测结果。
3.2.基于Web后门的综合检测技术
传统的 WebShell 文件检测是基于特征码的检测技术,严重依赖于特征库,很难及时检测新的变种,检测效率也随着特征库的变大而迅速降低。采用机器学习的检测方法,通过先利用语法分析器生成语法树,基于语法树提取出危险特征以及正常特征,特征包含数量统计特征、字符串熵、运算符号统计等,再学习已标记样本特征数据来构建检测模型,然后利用此模型对样本进行检测判定,该方法不仅可以正确检测出已有样本数据,对未知样本也有很好的检测效果。
对 WebShell 文件的检测综合利用文件信誉库、静态分析、机器学习等手段对文件进行判断,相比流量侧的防御,检测方案将会更全面地分析文件。
3.3.基于主机防火墙的创新微隔离技术
3.3.1 微隔离的技术原理
13
创新微隔离技术架构于主机防火墙之上,致力解决病毒东西向、横向移动和内网扩散和处置问题,提出了一种基于安全域应用角色之间的流量访问控制的系统解决方案,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。windows上采用WFP架构实现,应用层采用WFP 基本筛选引擎(Base Filtering Engine )接口实现网络访问关系的控制,驱动层采用WFP内核态过滤引擎实现网络流量的监控。Linux 上采用NetFilter /iptables实现网络关系的访问控制,采用网络连接跟踪的技术实现网络流量的监控。
3.3.2 访问关系控制
在东西向访问关系控制上,优先对所有的服务器进行业务安全域的逻辑划域隔离,并对业务区域内的服务器提供的服务进行应用角色划分,对不同应用角色之间服务访问进行访问控制配置,减少了对物理、虚拟的服务器被攻击的机会,集中统一管理服务器的访问控制策略。并且基于安装轻量级主机 Agent 软件的访问控制,不受虚拟化平台的影响,不受物理机器和虚拟机器的影响。
3.3.3 访问关系可视化
在访问关系可视化中,采用统一管理的方式对终端的网络访问关系进行图形化展示,可以看到每个业务域内部各个终端的访问关系展示以及访问记录,也可以看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行,同时可以根据每个访问关系会生成访问关系控制策略,让用户决定是否启用该策略,减少了手动新增策略的工作量,提高了安全管理的效率
创新微隔离技术,有效应对高级威胁快速传播,将病毒遏制在指定范围之内,使信息系统环境可控性大大提高。
14
3.4.基于网“端”云的设备联动响应技术
深信服 EDR 产品能与 NGAF(下一代防火墙)、AC(上网行为管理)、SIP(态势感知)、安全云脑等产品进行协同联动响应,形成涵盖云、边界、端点上中下立体防御架构,内外部威胁情报可实时共享。EDR产品可与安全云脑协同响应,关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,智能分析精准判断,超越传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支持。可与防火墙 NGAF、SIP 产品进行关联检测、取证、响应、溯源等防护措施,与 AC 产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。
3.5.基于规则匹配的补丁检测更新技术
补丁检测极大地简化了管理员甄别终端资产漏洞的流程,EDR产品支持各种类型不同的操作系统以及不同版本的操作系统的补丁规则库的更新,可以做到最新漏洞的实时检测与防御,并提供了漏洞检测与处置的功能,可以指定不同的终端进行全部、高危或者指定漏洞的检测,得到每一台终端的全部漏洞信息,并且可指定漏洞进行修复或者忽略处理。终端根据最新的补丁规则库进行系统补丁检测,匹配来判断当前是否已经进行补丁的安装,同时终端支持多种方式来获取最新的补丁安装包,包括微软补丁服务器、深信服官方补丁服务器、管理平台以及自定义服务器。保证在网络隔离环境下,终端也可以通过管理平台来进行补丁的升级。EDR产品的漏洞检测、补丁更新,大大提高了管理效率,增强了终端资产的安全性。
15
16
4.价值效果
4.1.终端资产的全面管理
全网终端资产的全面盘点,包含业务服务器的终端和用户 PC 的终端。盘点每台终端设备的名称、IP 地址、MAC 地址、所属组织、责任人、资产编号、资产位置等。每一台的终端上的资产信息清晰,每一个安全事件责任到人,使得安全管理能落实到位。
4.2.终端安全的合规检查
每一个组织都有自己的终端安全合规要求,特别是等级保护的合规要求,对主机的安全要求。终端安全合规审查依据等级保护的主机安全要求进行设计,对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查,满足企业建设等级保护系统的主机安全要求。
4.3.勒索病毒的实时防御
勒索病毒通过加密文件的方式,要求中招者支持一定数额的赎金。这种攻击方式越来越流行,每天都有客户反馈中招。深信服 EDR 能够非常精准的识别不同的勒索软件家族,并通过专业分析识别出种种勒索病毒感染行为和加密特征,对最新的勒索软件进行有效的查杀,防止用户感染最新的勒索软件。
4.4.入侵攻击的主动检测
终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中大部分攻击是通过暴力破解的弱口令攻击产生的。深信服的 EDR 主动检测暴力破解行为,并对发现攻击行为的 IP 进行封堵响应。针对 Web 安全攻击行为,则主动检测 Web 后门的文件。针对僵尸网络的攻击,则根据僵尸网络的活跃行为,快速定位僵尸网络文件,并进行一键查杀。
4.5.热点事件的快速响应
深信服安全云脑通过全球的大数据安全分析,提供热点事件的 IOC 情报,推送情报数据给 EDR 产品。EDR 产品能根据 IOC 情报数据快速的全网威胁定位分析,及时发现和响应最新的热点事件,并且根据历史行为数据进行溯源分析,避免组织受到安全事件的通报。
4.6.访问关系的策略控制
当前各种感染性病毒大部分都是通过网络进行传播,从而导致大范围内的终端中招,影响范围较广。深信服EDR的微隔离支持网络访问关系策略的配置,可以实现业务域之间或者终端之间的网络隔离,从源头上杜绝病毒的传播,减少用户的损失,进一步保证终端的安全。
17
因篇幅问题不能全部显示,请点此查看更多更全内容