基于AI,深信服EDR让恶性病毒修复快准好
近日,美国一知名GPS导航设备及运动穿戴设备制造商因遭受勒索病毒攻击导致主要产品服务及网站瘫痪,影响全球大量用户使用,甚至被勒索1000万美元。而不久前,欧洲能源巨头刚遭受病毒攻击,被黑客用10TB的窃密数据进行威胁勒索。为何全球范围内的病毒攻击事件屡见不鲜?
传统病毒检测方式存在弊端,难以应对当前恶性病毒
近年来病毒数量呈指数级增长,病毒类型层出不穷,给企业级用户造成了很大的安全威胁。其中经深信服千里目安全实验室分析,以影响业务连续性却难以处置的恶性病毒影响尤为突出。
▲不同行业的主要恶性病毒类型
此类恶意病毒种类多,变化快,且寄生在用户业务系统的正常文件内,处置难度极大。删除文件导致用户业务停止,不处置则全网泛滥。
而传统病毒检测采用的是基于静态特征分析和规则匹配的方式,面对多变的恶性病毒,无论是检测能力还是修复效果上,都存在明显的不足。
▲传统病毒检测方式
1. 规则库资源加重,检测速度慢
随着病毒数量、变种的增加,与之对应的规则库资源大,导致基于规则匹配的病毒检测速度慢,性能消耗多,影响用户的正常办公。
2. 基于特征码分析,漏报高
传统基于特征码分析的病毒检测方式,其本质是对文件的字节信息等静态特征进行匹配,像autoCAD这类运行时才大批量感染传播的恶性病毒,无法基于静态特征检测。此外,新型病毒往往难以及时提取特征码,导致检测失效,漏报率高。
3.处置能力差,难以完全修复
传统的杀毒软件,即使在检测出恶性病毒后,处置方式只能是删除整个寄生文件,而无法修复被感染样本。例如寄生在office文档模板中的宏病毒,传统修复方案往往需要把文档中所有的宏均删除,影响用户的业务连续性。
以AI对抗恶性病毒
针对传统病毒检测方式存在的弊端,企业级用户需要更快更精准的病毒检测以及更细粒度无损的病毒处置。
1.更快更精准的智能检测
通过人工智能持续学习、自我进化能力实现无特征检测。一方面,无需依赖特征库,解决检测效率问题;另一方面,基于AI的泛化能力,更精准检测新型恶性病毒或无静态特征的病毒,解决漏报问题。
2. 细粒度无损修复
基于病毒体进行病毒处置,而非基于病毒寄生文件本身进行处置修复,从而不影响正常业务。
基于AI,深信服EDR让恶性病毒修复快准好
深信服终端检测响应平台EDR基于AI赋能,结合多维度、轻量级漏斗型检测框架,通过文件信誉检测引擎、基因特征检测引擎、SAVE安全智能检测引擎、行为引擎、云查引擎等引擎的层层过滤,恶性病毒检测更快速更精准。同时,根据不同恶性病毒,进行代码层级的细粒度修复,实现根本性无损修复。
1. 漏斗式检测,检测速度快
深信服EDR漏斗式的检测机制,90%文件可被第一层引擎过滤,无需所有引擎并发检测,检测速度快,性能消耗低。同时,结合深信服安全云脑引擎的大数据分析,实现一台发现威胁,全网感知,快速检测出恶性病毒。
▲多维度漏斗型检测框架
2. 基于AI引擎的泛化能力,病毒检出准
深信服SAVE安全智能检测引擎利用深度学习技术,对数亿维的原始特征进行分析,结合安全专家领域知识,拥有强大的泛化能力。经赛可达实验室对10198个流行病毒进行查杀测试,在误报率为零的前提下,产品检出率高达99.86%。
3. 基于代码层级的细粒度修复,修复效果好
根据各类恶性病毒的特点,精确识别被感染文件中的恶意代码行,并进行针对性的修复,由于只是处置病毒文件本身,而不改变原文件,原文件可继续使用,不影响业务的连续性。
▲恶性病毒修复方式对比
整体而言,基于AI赋能,漏斗型检测框架,多维度的修复方式,深信服EDR提供快、准、好的恶性病毒处置修复能力,大大减少对用户的业务影响。截至目前,深信服EDR已经广泛应用在政府、金融、教育、医疗、企业等诸多行业,部署端点超过400W+,全面保障政企事业单位的终端系统安全。