1、华为 HiSec Endpoint智能终端安全系统技术白皮书华 为 技 术 有 限 公 司目 录1 安全背景与挑战.011.1 业界 EDR 定义.021.2 华为 HiSec Endpoint 功能概述.032 产品架构设计.063 核心功能.083.1 终端识别与管理.083.2 数据采集.103.3 威胁防御.113.4 威胁检测.133.5 XDR 联动.353.6 溯源和响应.384 部署场景.44 01版权所有 华为技术有限公司1 安 全 背 景 与 挑 战从近几年现网安全运营和安全报告披露的数据来看，勒索、挖矿、蠕虫、窃密和远控木马依然活跃，并呈现出隐蔽性、多样性的特点。根据20

2、23 年恶意软件防御报告的调查显示，企业面临的头号威胁是勒索软件，其次是网络钓鱼和信息窃取程序，具体数据如图 1-1 所示。三者“相伴相生”，互为攻击的前后脚。如果问首先需要防御哪种类型的恶意软件，很多组织可能很难回答。图 1-1 企业安全面临的恶意软件威胁排行榜观察几款持久存活的恶意软件，例如，国内勒索感染排名第二的 TargetCompay、挖矿窃密勒索远控复合恶意软件 DarkGate、银行木马 LokiBot、Emotet 僵尸网络等，这些恶意软件在进化过程中，其真正的有效载荷变化不大，但初始入侵感染手段不断翻新，融合了更复杂多变的技术，如钓鱼、漏洞利用、被盗凭据、shellcode、

3、进程挖空躲避等手段。因此，检测这些恶意软件的难度与日俱增。0203版权所有 华为技术有限公司华为 HiSec Endpoint 智能终端安全系统技术白皮书版权所有 华为技术有限公司01安全背景与挑战整体上，当前的威胁形势融合了三个变量：第一个是数字化先行，组织暴露出更多的风险面；第二个是攻击技术、生态系统和工业化程度的进化；最后，更多攻击组织参与到新的地缘政治冲突中，加速了高级威胁武器的应用和民间滥用泛化。这些因素都加剧了网络空间环境的恶化。终端作为业务和数据的计算载体，是各类威胁锁定的最终目标。在面对不断演进的新型网络威胁攻势下，以单向防御和管控为核心的终端安全已无力应对，存在以下挑战：新型

4、恶意软件生产速度更快、更多，反病毒产品基于已出现样本提取特征来检测，始终滞后一步，可提升检出的量变挖掘空间变得有限。行为检测、机器学习是应对新型和未知恶意软件的防御路径之一，但面临最大的问题是如何降低误报，提供可解释性，让行为检测和机器学习在运营面上可信；同时，要解决从产生分析结果到可研判、敢阻断的“鸿沟”，减少进一步人工分析，提升 ROI。企业网络每天遭受的网络嗅探、攻击尝试很多，哪些是有效攻击，产生了什么影响，终端是提供证据和溯源的最有效手段。终端记录的上报的数据越多，越有利于威胁线索的“全文“搜索，但后端存储和计算的投资是有限的，如何解决这个矛盾是一个迫切的问题。新型恶意软件采用多跳攻击

5、渗透到内网终端，单向、点状的防御和检测已经无法应对，能有效协同云、边界、终端，形成从点到全链路的防御体系至关重要。安全因为本身碎片化程度高，企业客户往往部署 5 个以上不同安全厂商的产品，跨厂商、跨系统和团队的协同始终是一个难题。1.1 业界 EDR 定义为了应对复杂的网络威胁态势，企业需要构筑一套贯穿威胁攻击全链路的自防御体系，在事前、事中和事后投入更多的人力和时间成本。但安全投资是有限的，企业需要从可视、防御、检测和响应多个层面来建设一套纵深安全体系，兼顾实效和成本的平衡。2013 年 Gartner 首次提出 EDR（Endpoint Detection and Response，终端威

6、胁检测与响应）的概念之后，该技术立即引起了安全界的广泛关注。EDR 是一种新型的、智能化和快速迅捷的主动防御技术，遵循 Gartner“预测、防护、检测和响应”的技术体系，其作用贯穿安全事件发生的全过程。由于终端是威胁攻击的主要作用点，大部分攻击都发生在各类端点计算设备上。以终端为锚点，可以达到撬动整个安全防御体系的效果。在 2023 年 Gartner 最新的终端安全魔术象限报告中，EDR 被作为 EPP（Endpoint Protection Platform，终端防御平台）的关键特性，主流安全厂商已经实现 EPP 与 EDR的合一（本文以 EDR 统称）。EDR 集成了下一代 AV、行为