建设思路

综上所述，XX已在信息系统内部建立防火墙、上网行为管理、安全感知的系统，但在对于勒索病毒的检测和响应方面，仍存在诸多不足。本方案将设计通过终端检测与响应系统（以下简称“EDR”）进行XX勒索病毒防护项目建设，EDR是公司提供的一套综合性终端安全解决方案，方案由轻量级的端点安全软件和管理平台软件共同组成。EDR以具有自主知识产权的创新型SAVE人工智能引擎为核心，通过预防、防御、检测、响应赋予终端更为精准、持续的检测、快速处置能力，应对高级威胁同时实施联动协同、威胁情报共享、智能响应机制，可以实现威胁快速检测、有效处置终端一系列安全问题，构建全新智能化的下一代终端安全系统，为XX提供行之有效的应对勒索病毒的整体安全防御体系。

 终端主动防御

通过安全基线检查及修复，防爆破检测和防御，微隔离技术降低威胁侵入风险，降低威胁影响面，通过勒索诱捕方案针对性查杀勒索病毒，主动防御，全面防护。

 基于AI的智能检测

传统的基于规则库、黑白名单、签名、特征的技术，无法发现最新生成的随机域名，而机器学习则可以有效的进行检测。通过人工智能SAVE引擎的无特征鉴别技术，对勒索病毒及未知威胁进行实时检测，配合威胁情报，精确识别未知威胁。

 持续监控终端行为

在终端对所有文件行为及进程，外联域名，URL，IP等关键信息进行监控，保障非法行为及时发现与制止，尤其是勒索病毒加密动作的制止.

 全网威胁情报

威胁情报平台每天实时分析来自互联网和安全产品的海量数据，通过威胁情报平台中集成的关联分析与智能算法，能在第一时间发现潜在威胁，并向EDR推送防御能力。

 建设范围与规模

本项目将为XX信息系统构建全网终端安全勒索病毒防护体系，建设EDR系统，保证内部终端安全、可控、可审计。

本次项目建设的范围包含XX全单位、涉及服务器**点、终端**点。

 方案设计

 总体架构

综上，结合现状以及方案建设思路，本次项目设计采用EDR系统进行建设，系统主要由基础平台、核心引擎、系统功能三部分组成：

Ø 基础平台：

由主机代理、恶意文件查杀引擎、WEB控制台三部分组成，该平台提供EDR系统良好运行的基础支撑，提供终端安全防护功能的基本运行环境，负责功能指令以及消息的接收、发送、执行；

Ø 核心引擎：

由人工智能SAVE引擎、云端威胁情报、第三方引擎所组成，用以实现病毒有效检测以及快速响应功能。

Ø 系统功能：

系统功能展现则由预防、防御、检测、响应四部分组成，通过上述四部分功能对终端赋予加固措施，有效抵御勒索病毒的威胁，实现安全有效的终端防护效果。

 统一管理平台适配全类型资产

适配全类型资产

Ø 桌面云，传统PC，笔记本，私有云，服务器，私有云，公有云全适配

Ø 终端系统兼容性广阔

Ø 与底层虚拟化解耦，适配全部虚拟化底层平台

 基于多维度的智能检测技术

 检测引擎

终端上的安全检测是核心的技术，传统的病毒检测技术使用特征匹配，而特征匹配没有泛化能力或泛化能比较弱，当病毒经过简单的变种，就必须新增加特征规则，因此，随着病毒数量越来越大，病毒特征库也就跟着越来越大，同时运行所占资源也就越来越多。而基于AI技术的查杀引擎，利用深度学习的技术，通过对海量样本数据的学习，提炼出来的高维特征，具备有很强的泛化能力，从而可以应对更多的未知威胁。而这些高维特征数量极少，并且不会随着病毒数同步增长，因此，AI技术具有更好检出效果、更低资源消耗的优点。

当然，仅靠一个AI杀毒引擎是不够的，的 EDR 产品构建了一个多维度、轻量级的漏斗型检测框架，包含文件信誉检测引擎、基因特征检测引擎、AI 技术的 SAVE 引擎、行为引擎、云查引擎等。通过层层过滤，检测更准确、更高效，资源占用消耗更低。

 文件信誉检测引擎

基于传统的文件hash值建立的轻量级信誉检测引擎，主要用于加快检测速度并有更好的检出效果，主要有两种机制：

1.本地缓存信誉检测：对终端主机本地已经检测出来的已知文件检测结果缓存处理，加快二次扫描，优先检测未知文件。

2.全网信誉检测：在管理平台上构建企业全网的文件信誉库，对单台终端上的文件检测结果汇总到平台，做到一台发现威胁，全网威胁感知的效果。并且在企业网络中的检测重点落到对未知文件的分析上，减少对已知文件重复检测的资源开消。

 基因特征检测引擎

EDR的安全运营团队，根据安全云脑和EDR产品的数据运营，对热点事件的病毒家族进行基因特征的提取，洞见威胁本质，使之能应对检测出病毒家族的新变种。相比一般的静态特征，基因特征提取更丰富的特征，家族识别更精准。

 AI技术SAVE引擎

SAVE（Sangfor AI-based Vanguard Engine）是由创新研究院的博士团队联合 EDR 产品的安全专家，以及安全云脑的大数据运营专家，共同打造的人工智能恶意文件检测引擎。该引擎利用深度学习技术对数亿维的原始特征进行分析和综合，结合安全专家的领域知识，最终挑选了数千维最有效的高维特征进行恶意文件的鉴定。

l 基于人工智能技术，拥有强大的泛化能力，能够识别未知病毒或者已知病毒的新变种；

l 对勒索病毒检测效果达到业界领先，包括影响广泛的 WannaCry、BadRabbit等病毒。2018 年 10 月新发现的 GandCrab5.0.3、Rapid、GandCrab5.0.4、KrakenCryptor2.0.7 勒索病毒，使用 9 月已经合入产品并发布的 SAVE1.0.0可以全部检出和查杀。对非勒索病毒也有较好的检出效果；

l 云+边界设备+端联动，依托于安全云脑海量的安全数据，SAVE 能够持续进化，不断更新模型并提升检测能力，从而形成传统引擎、人工智能检测引擎和云端检测引擎的完美结合，构成了的安全云脑+安全网关AF/SIP/AC+终端安全 EDR 的整体解决方案。

 行为引擎

传统静态引擎，是基于静态文件的检测方式，对于加密和混淆等代码级恶意对抗，轻易就被绕过。而基于行为的检测技术，实际上是让可执行程序运行起来，“虚拟沙盒”捕获行为链数据，通过对行为链的分析而检测出威胁。因此，不管使用哪种加密或混淆方法，都无法绕过检测。最后，执行的行为被限制在“虚拟沙盒”中，检测完毕即被无痕清除，不会真正影响到系统环境。

行为引擎在分层漏斗检测系统结构中，与云查引擎处于最低层，仅有少量的文件到达该层进行鉴定，因此，总体资源消耗较少。

云查引擎

针对最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技术，进行云端查询。云端的安全云脑中心，使用大数据分析平台，基于多维威胁情报、云端沙箱技术、多引擎扩展的检测技术等，秒级响应未知文件的检测结果。

病毒诱捕

装载在终端系统上的EDR客户端，在系统关键目录及随机目录放置诱饵文件，当病毒调用加密进程对终端文件加密，当加密到诱饵文件时，诱饵文件将加密进程反馈至EDR客户端，EDR客户端立即杀掉加密进程阻止加密，并根据调用进程的病毒源文件进行查杀，有效阻止勒索病毒对关键目录文件的进一步的加密和扩散。

终端安全基线核查

 安全合规审查

终端的安全合规性是重中之重，信息系统中终端一旦不合规将产生不可预知的安全风险，正因如此，无论是国家法律法规，还是组织内部的规章指引，对于主机方面都具有明确的安全要求，本方案将通过全面部署应用终端检测与响应系统，对内部终端进行安全合规审查，依据等级保护的主机安全要求进行设计，对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查，满足企业建设等级保护系统的主机安全要求。

全网终端围剿式查杀

当某一台终端发现病毒文件，基于文件信誉引擎立即将此病毒文件的md5特征值进行全网通报，做到一台发现，全网感知，在全网进行围剿式查杀。

应用创新微隔离技术的动态防护体系

创新微隔离技术

EDR微隔离方案提出了一种基于安全域应用角色之间的流量访问控制解决方法，系统可实现基于主机应用角色之间的访问控制，做到可视化的安全访问策略配置，简单高效地对应用服务之间访问进行隔离控制。优先对所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行控制配置，减少了非法人员对物理、虚拟服务器攻击机会，集中统一管理服务器的访问控制策略。并且基于安装轻量级主机Agent软件的微隔离访问控制，不受虚拟化平台、物理机器和虚拟机器影响。另一方面，微隔离功能的应用，可在发生病毒感染情况下，将威胁放置在可控范围内，从而有效提升安全防护水平。

终端间访问关系控制

在东西向访问关系控制上，优先对所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行访问控制配置，减少了对物理、虚拟的服务器被攻击的机会，集中统一管理服务器的访问控制策略。并且基于安装轻量级主机 Agent 软件的访问控制，不受虚拟化平台的影响，不受物理机器和虚拟机器的影响。

通过全面部署应用终端检测与响应系统，可全面解决信息系统内部网络互访不可控问题，规范化主机、业务等网内不同对象的网络访问行为。

利用应用角色之间的主机流量访问控制的技术，提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域内相同应用角色之间的访问控制策略配置，提供简单可视化的安全访问策略配置，提高安全管理效率。

表4-1 微隔离角色访问控制

例如门户网站业务域的WEB应用角色服务器组提供Apache应用服务，策略动作允许门户网站业务域内所有主机的访问，而DB应用角色服务器组提供的MySQL应用服务，策略动作只允许门户网站业务域内的WEB应用角色服务器组的访问。

门户网站业务域内WEB应用角色之间的主机，由于没有访问需求，配置为隔离拒绝策略。