2019年以系统大数据驱动基于人工智能的端点安全.pdf

《2019年以系统大数据驱动基于人工智能的端点安全.pdf》由会员分享，可在线阅读，更多相关《2019年以系统大数据驱动基于人工智能的端点安全.pdf（50页珍藏版）》请在三个皮匠报告上搜索。

1、以系统大数据驱动，基于人工智能的端点安全目录1.APT背景和当前的检测技术2.我们的解决方案3.实战分析4.POWERSHELL的检测目录目录1.APT背景和当前的检测技术1.1增长中的APT攻击1.2 APT 给信息安全解决方案带来革命性变化1.3 现有检测方法的对比目录 随着网络攻防战的升级，攻击手段逐步从简单的手段，发展到复杂的以APT为代表的立体攻击。APT攻击综合利用各种技术进行渗透，针对政府、关键机构、公司窃取重要信息或者造成重大破坏。这种攻击方式使得传统的防御体系难以侦测。据权威的情报中心统计，中国已成为全球APT攻击第一目标国！破坏，窃取或者绑架核心数字信息资产已经为集团化黑客

2、行为的最终目标1.1 增长中的APT攻击77%的企业IT高管认为有效的抵御APT（高级持续威胁）的解决方案是他们急需或者是非常关键的投资需求70%90%的恶意软件攻击是专门针对企业去设计并且具有很强的自我混淆防护功能232天-企业平均需要的时间去侦测或者发现APT所引起的安全事件。这对企业的信息安全有非常大的破坏。如何缩短针对APT 入侵的侦测时间和实时阻断是IT高管最重要的需求。24%对于PC终端的攻击是FILE-LESS的，这使传统的基于文件特征对比的防病毒软件形同虚设。1.2 APT 给信息安全解决方案带来革命性变化以APT为代表攻击的隐蔽和复杂性日益提高（使用0-DAY漏洞和无文件攻击

3、等），黑客有各种方式来绕过现有的防护方案。对基于网络流量的分析的下一代防火墙，对流量进行加密绕过；对静态特征检测的防病毒软件，对恶意软件进行混淆绕过；动态沙箱检测无法在客户端部署，且会对沙箱进行反侦测以绕过；HOOKING 修改操作系统内核，会影响其稳定性、且新的操作系统如WIN10已禁止此类行为.1.3 现有检测方法的对比传统防御手段不足以应对以APT为代表的新型攻击。EDR已成国际安全热点，产生独角兽如市值200亿美元的CROWD STRIKE,CARBON BLACK 等1.3 现有检测方法的对比响应时间精确度(抗逃逸,覆盖率)高基于日志文件的分析杀毒软件防火墙沙箱基于行为分析的EDR低

4、快慢目录2.我们的检测方案2.1 APT攻击的四个阶段&常用手段2.2 RAT背景介绍2.3 系统部署2.4 核心技术2.5 系统设计目录受害者攻击者恶意网页攻击浏览器钓鱼邮件漏洞利用源代码仓库数据库系统初步入侵（在目标系统内）立足持续侦查高价值信息/目标获取恶意软件细粒度动态行为识别态势感知，溯源分析2.1 APT攻击的四个阶段技术/工具APT攻击Spearphishing LinkAPT28,APT29,APT32,APT33,APT39Spearphishing EmailAPT12,APT19,APT28,APT29,APT32,APT37,APT39Poison Ivy RATRSA

5、 SecurID attack,Nitro attacksDarkcomet RATSyrian ConflictXtreme RATAPT Attacks on US,UK,Israel and other Middle East government阅读300+APT攻击白皮书1，我们发现社工以及RAT是APT攻击的常用手段1https:/ APT攻击常用手段Remote Access Trojan(RAT)是一种特殊的木马，它允许攻击者远程操控受害者的机器。RATs通常内置有数十种（10-40）潜在威胁功能(PHFs)，比如记录键盘、截屏、录音等。据统计，RAT相关的攻击可以潜伏在企业长

6、达3个月不被发现。大约90%的RAT只能运行在Windows平台上。112.2 RAT背景介绍奇盾奇盾EDREDR整体架构及挑战整体架构及挑战真正的EDR:部署于各种终端的轻量智能代理对操作系统底层的全局监控+基于AI的强大动态威胁检测机制（大数据智能和行为模式匹配作用于整个威胁生命周期）挑战巨大：海量数据（每秒百万级事件）低性能消耗 对不同端点支持，高稳定性，CEO&创始人 陈焰 教授陈焰 教授浙江大学91级混合班/计算机系本科。团队中另外还包括五名浙大混合班校友2003年获美国加州大学伯克利分校计算机博士学位。后加入美国西北大学计算机系，直至终身教授。2011年创办 NetShield 公