安芯网盾:下一代EDR检测技术

最新推荐文章于 2024-06-13 16:47:16 发布
最新推荐文章于 2024-06-13 16:47:16 发布
阅读量608 收藏 3
点赞数
原文链接:https://mp.weixin.qq.com/s/YWrIZ6fCAvzn4WXdvXt6qA
版权

当构建安全防线时,往往采用安全模型与产品相组合的形式,以期望达到预期效果。
其中人员是核心,策略是桥梁,技术是保证。

恶意软件检测

无文件攻击RAM,主机安全和服务器安全是防御的最后一道线。

6个环节包括预警、保护、检测、响应、恢复和反击。它们具有较强的时序性和动态性,
能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力,响应能力、恢复能力和反击能力。
安全模型与产品相组合概念如下:
在这里插入图片描述

大趋势下,为了提高自身安全性,操作系统趋向收缩第三方软件的权限,封闭性逐渐增强。这意味着,通过传统API Hook的监控方式能力越来越受限,传统防护手段效果变弱,只在应用层或系统层进行防护的产品很难第一时间发现并阻断威胁,最终导致数据量减少、检测率低、误报率高。基于传统安全运营中心 (SOC) 的安全组织已经被证明在没有适当的检测和自动化工具的情况下效率较低。

另外传统的病毒木马威胁数量也还在不断的增长,基于行为分析的识别技术也是当前最重要的检测识别技术(这种技术被称为下一代杀毒技术NGAV),这种技术的实现除了依赖操作系统提供的接口外,还得在操作系统上挂大量的钩子,这样才能监控到足够多的行为,有了足够多样的行为数据后,基于行为分析的检测识别技术才能识别更多的威胁攻击,而且误报率才能足够低,但是目前操作系统越来越封闭(比如64位的Windows操作系统)已经不允许挂钩子了,这势必会大大削弱这种方法的检测效果,而这又是当前十分重要、主流的一种病毒木马威胁检测方法。

比如像EDR软件,它会更注重数据的采集,把采集到的数据放入Server端,在Server端做大数据分析,分析识别威胁。这些传统的安全产品肯定也能解决一些安全问题,但是它存在两个弊端,一是现在操作系统越来越封闭(如:Windows 64位系统已经不允许挂钩子了),这会导致这些软件的采集数据的能力越来越弱,二是有些软件把数据上报到Server端分析,等Server端分析出来威胁,Agent端已经无法阻断响应了,威胁已经运行完毕,正因这有延时,无法实时响应。因此它们无法提供强劲的运行时保护能力

其实,从内存角度保护主机安全的思路并不复杂,但为什么此前少有企业专耕于此?
姚纪卫是几款著名的安全软件如PCHunter、LinxerUnpacker的作者,前款被国际权威机构评为全球最优秀的AntiRootkit安全软件,后款被评为当时最强的基于反病毒虚拟机技术的通用脱壳机。姚纪卫告诉AI掘金志,总的来说,相比其他安全产品,内存保护技术的应用,对技术者要求高,开发难度更大。既要懂安全,又要懂操作系统,需要熟悉操作体系结构和系统原理,还需要熟悉各类攻击方式。这方面的双料人才比较少。也正因如此,此领域有大公司跟进,但小公司跟进的较少。

姚纪卫指出,基于行为分析的检测方案是目前整个安全行业在主机层面针对高级威胁检测的共识,而基于行为分析的产品也将是未来的主流趋势。不同的是,每家企业都有自己独特的行为抓取方式,或通过应用层、或通过驱动层,但大多依然依附于操作系统之上。内存保护技术能有效绕开当前操作系统的一些限制(比如PatchGuard等),实现对系统中各类行为的有效监控。

2005年,X86 CPU开始引入硬件虚拟化技术,此后CPU也经过多次迭代,硬件虚拟化技术也不断完善,这为这项技术应用于安全方向提供了良好的硬件基础,大概在2010年开始有人尝试把这项技术应用到安全上。

智能内存保护系统通过硬件虚拟化可以监控CPU执行的指令集,通过对部分敏感指令的监控,并结合操作系统上下文就可以知道操作系统中运行进程到底执行了什么动作,从而破解操作系统的一些限制,采集到更多的程序行为,这样可以大大提升威胁识别率,并大幅降低误报率。

为了抓取足够全、足够细的数据,安芯网盾通过硬件虚拟化技术,可以检测0day攻击、无文件攻击等传统安全软件检测能力薄弱的高级威胁。显著提高检测率,据悉检测率达90%以上。此外,这一产品基于Agent架构,启动相关服务和脚本即可运行,而且在运行时CPU占用率不超过5%,内存占用率不超过100M。Agent在主机底层信息上具有较全面探针能力。

漏洞检测

更糟糕的是,众多企事业单位在 0day 漏洞面前,因业务的复杂性,面临着无补丁可打,或有补丁无法打的尴尬境地,使得黑客有可乘之机,造成无法挽回的财产和社会声誉损失。
0day 漏洞可以在“几小时或几天内”被挖掘出来,但开发人员通常需要几周或几个月的时间来打补丁或者更新。没有代码是不具备漏洞的。如何防御漏洞是需要一个解决方案的。

未知威胁漏洞的检测方案是基于行为统计的监控,包括大量流量、日志进行分析。四个步骤:采集、大数据分析、AI过滤、人工判定。日志是对攻击活动的客观表述,是攻击意图推理的前提条件,活动记录的越详细,分析推理结论的准确性则越高。

参考文献
https://mp.weixin.qq.com/s/YWrIZ6fCAvzn4WXdvXt6qA

摔不死的笨鸟
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
2022年实网攻防演练蓝队防守指南-安芯网盾.pdf
07-09
【标题解析】:“2022年实网攻防演练蓝队防守指南-安芯网盾.pdf” 这个标题表明这是一个关于2022年度实际网络攻防演练中的蓝队(防守方)策略和指南的文档,由“安芯网盾”这个可能的安全防护公司或组织提供。...
安芯网盾笔试题目
08-19
凭记忆写下的笔试题目和答案,大概是内存、数据结构、二叉树、排序等等
EDR端点检测与响应(终端安全防护)
QuJJan的博客
01-20 1694
端点台式机服务器移动设备和嵌入式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。端点检测与响应不同于端点的被动防护思路是通过云端威胁情报机器学习异常行为分析攻击指示器等方式。主动发现外部或内部的安全威胁,并进行自动化的阻止取证补救和溯源,从而有效对端点进行防护。举例360天擎终端检测与响应系统。
安全领域的EDR是什么
最新发布
Innocence_0的博客
06-13 841
有时面试题会问的。其实我觉得可以视为传统杀软的加强版。Gartner 于 2013年定义了这一术语,被认为是一种面向未来的终端解决方案,以端点为基础,结合终端安全大数据对未知威胁和异常行为进行分析,并作出快速响应,后来被业界通称为端点检测和响应(EDR)。端点威胁检测和响应 (ETDR) 一词是由 Gartner 分析师于 2013年创造的,他写道:“这个名称反映了端点(相对于网络)、威胁(相对于恶意软件和官方宣布的事件)和工具“主要用于检测和事件响应”该术语于 2015 年更改为。
EDR端点检测与响应
xbn1873942785的博客
04-17 1175
1.什么时EDR :完全不同以往的端点被防护思路,而是通过云端威胁情报,机器学习,异常行为分析,攻击指示器等方式,主动发现来自外部或内部的安全威胁。并进行自动化的阻止,取证,补救和溯源从而有效对端点进行防护。 EDR的四种能力 : 1.预测:风险评估,预测威胁,基线安全态势 2.防护:强化系统,隔离系统,防止攻击。 3.检测检测事件,确认风险并确定优先顺序,包含事件。 4.响应:补救、设计规则变更,调查事件 ** 2.EDR如何工作 ** 1) 检测:一旦安装EDR技术,它就会使用先进算法来分析系统上单
数世咨询:EDR能力指南
archerrjp的博客
10-11 2476
1 前言 终端安全可以说是数字安全的起源——早在计算机还是一个庞然大物的时候,就有了最早的“病毒”概念。相对应的,针对终端的防御也随之开始。 从发展的角度来看,终端防护手段的演化,有两个方面代表了整个数字安全领域的演化。 一个演化是威胁方式的演化。最早期的威胁来源,就是所谓的病毒,对计算机造成直接损害、遗留后门进行远程控制,窃取账号密码,并且对自身进行再传播。因此,最早的终端防护手段就是杀毒软件。 然而,威胁在不断演化。病毒对终端的损害不再只是系统崩溃,形成DoS攻击的方式,...
内存保护助力企业运维安全——安芯网盾智能内存保护系统消除防护盲点.pdf
09-07
安芯网盾推出的安芯神甲智能内存保护系统,基于CPU和内存指令集,能在应用程序级别实现内存保护,构建起应用层、系统层和硬件层的立体防护体系,从而消除安全防护的盲点。该系统具备内存数据探针功能,能实时监测...
初中语文文摘历史安芯:让行走更幸福
09-09
1. 义工旅行:安芯的个人经历展示了义工旅行作为一种生活方式和自我发现的途径。通过参与各种义工项目,如在西藏、尼泊尔、印度、泰国等地的服务工作,安芯不仅帮助了他人,还找到了自我价值和内心深处的幸福感。 2...
安芯:专心做半导体芯片领域的“安心”片.pdf
07-26
安芯:专心做半导体芯片领域的“安心”片.pdf
Windows x64内核学习笔记(七)—— Patch Guard(1)基本概念
qq_41988448的博客
06-02 1979
Patch Guard(简称PG)是Windows x64系统中用于保护内核代码完整性和安全性的保护机制,能够防止任何不受信任的代码或驱动程序修改内核代码,从而防止系统破坏和恶意软件的传播。Patch Guard在系统启动时进行验证,并在系统运行过程中定期执行检查以确保内核代码的完整性。如果发现任何不正确的修改,Patch Guard会使系统蓝屏并重启系统以确保安全性,蓝屏代码为0x109。
驱动签名 隐藏进程 保护进程 多种方式 保护进程的 驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
cpp-通用PatchGuard和驱动程序签名强制禁用
08-16
通用PatchGuard和驱动程序签名强制禁用,Universal PatchGuard and Driver Signature Enforcement Disable
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8850
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
驱动外挂的原理及检测手段(自瞄篇)
热门推荐
一直代码狗的博客
07-13 1万+
驱动外挂的原理及检测手段 因为PatchGuard技术的存在导致游戏在驱动层的保护不能像以前那样通过SSDT Hook或者IDT Hook来做了,游戏厂家不能擅自关闭PatchGuard来强行Hook.这样留给驱动挂的空间就很大了 我将以一个自瞄挂的原理为例子展示驱动外挂的几种实现方式及检测手段 相同点 要想实现自瞄驱动挂基本上都是读取游戏数据然后直接操作鼠标,不同之处就是操纵鼠标的方式 下面是所有驱动挂的几个相同之处 相同点1 - 获取鼠标的驱动对象 一个自瞄驱动挂的实现首先必然需要获得鼠标的驱动对象,在
绕过PatchGuard
WorryFree
09-23 1055
初级版 - 绕过PatchGuard
EDR介绍
顺其自然~专栏
12-20 266
端点检测和响应是一种主动式端点安全解决方案,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。一些调查结果:EDR解决方案必须能够检测的无文件恶意活动;
网络安全产品---态势感知&EDR
嘿嘿嘿
04-16 875
是对一定时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。
安芯一号:高防护单片机详解与特性
"安芯一号单片机资料详细介绍了安芯科技公司开发的一款高级8051兼容单片机,其主要特点是高效能、高可靠性以及独特的防破解设计。该单片机在保持标准8051芯片大部分特性的基础上,进行了定制化的改进,如集成1024...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值