《華為：2024年HiSec Endpoint智能終端安全系統技術白皮書（49頁）.pdf》由會員分享，可在線閱讀，更多相關《華為：2024年HiSec Endpoint智能終端安全系統技術白皮書（49頁）.pdf（49頁珍藏版）》請在三個皮匠報告上搜索。

1、華為 HiSec Endpoint智能終端安全系統技術白皮書華 為 技 術 有 限 公 司目 錄1 安全背景與挑戰.011.1 業界 EDR 定義.021.2 華為 HiSec Endpoint 功能概述.032 產品架構設計.063 核心功能.083.1 終端識別與管理.083.2 數據采集.103.3 威脅防御.113.4 威脅檢測.133.5 XDR 聯動.353.6 溯源和響應.384 部署場景.44 01版權所有 華為技術有限公司1 安 全 背 景 與 挑 戰從近幾年現網安全運營和安全報告披露的數據來看，勒索、挖礦、蠕蟲、竊密和遠控木馬依然活躍，并呈現出隱蔽性、多樣性的特點。根據20

2、23 年惡意軟件防御報告的調查顯示，企業面臨的頭號威脅是勒索軟件，其次是網絡釣魚和信息竊取程序，具體數據如圖 1-1 所示。三者“相伴相生”，互為攻擊的前后腳。如果問首先需要防御哪種類型的惡意軟件，很多組織可能很難回答。圖 1-1 企業安全面臨的惡意軟件威脅排行榜觀察幾款持久存活的惡意軟件，例如，國內勒索感染排名第二的 TargetCompay、挖礦竊密勒索遠控復合惡意軟件 DarkGate、銀行木馬 LokiBot、Emotet 僵尸網絡等，這些惡意軟件在進化過程中，其真正的有效載荷變化不大，但初始入侵感染手段不斷翻新，融合了更復雜多變的技術，如釣魚、漏洞利用、被盜憑據、shellcode、

3、進程挖空躲避等手段。因此，檢測這些惡意軟件的難度與日俱增。0203版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司01安全背景與挑戰整體上，當前的威脅形勢融合了三個變量：第一個是數字化先行，組織暴露出更多的風險面；第二個是攻擊技術、生態系統和工業化程度的進化；最后，更多攻擊組織參與到新的地緣政治沖突中，加速了高級威脅武器的應用和民間濫用泛化。這些因素都加劇了網絡空間環境的惡化。終端作為業務和數據的計算載體，是各類威脅鎖定的最終目標。在面對不斷演進的新型網絡威脅攻勢下，以單向防御和管控為核心的終端安全已無力應對，存在以下挑戰：新型

4、惡意軟件生產速度更快、更多，反病毒產品基于已出現樣本提取特征來檢測，始終滯后一步，可提升檢出的量變挖掘空間變得有限。行為檢測、機器學習是應對新型和未知惡意軟件的防御路徑之一，但面臨最大的問題是如何降低誤報，提供可解釋性，讓行為檢測和機器學習在運營面上可信；同時，要解決從產生分析結果到可研判、敢阻斷的“鴻溝”，減少進一步人工分析，提升 ROI。企業網絡每天遭受的網絡嗅探、攻擊嘗試很多，哪些是有效攻擊，產生了什么影響，終端是提供證據和溯源的最有效手段。終端記錄的上報的數據越多，越有利于威脅線索的“全文“搜索，但后端存儲和計算的投資是有限的，如何解決這個矛盾是一個迫切的問題。新型惡意軟件采用多跳攻擊

5、滲透到內網終端，單向、點狀的防御和檢測已經無法應對，能有效協同云、邊界、終端，形成從點到全鏈路的防御體系至關重要。安全因為本身碎片化程度高，企業客戶往往部署 5 個以上不同安全廠商的產品，跨廠商、跨系統和團隊的協同始終是一個難題。1.1 業界 EDR 定義為了應對復雜的網絡威脅態勢，企業需要構筑一套貫穿威脅攻擊全鏈路的自防御體系，在事前、事中和事后投入更多的人力和時間成本。但安全投資是有限的，企業需要從可視、防御、檢測和響應多個層面來建設一套縱深安全體系，兼顧實效和成本的平衡。2013 年 Gartner 首次提出 EDR（Endpoint Detection and Response，終端威

6、脅檢測與響應）的概念之后，該技術立即引起了安全界的廣泛關注。EDR 是一種新型的、智能化和快速迅捷的主動防御技術，遵循 Gartner“預測、防護、檢測和響應”的技術體系，其作用貫穿安全事件發生的全過程。由于終端是威脅攻擊的主要作用點，大部分攻擊都發生在各類端點計算設備上。以終端為錨點，可以達到撬動整個安全防御體系的效果。在 2023 年 Gartner 最新的終端安全魔術象限報告中，EDR 被作為 EPP（Endpoint Protection Platform，終端防御平臺）的關鍵特性，主流安全廠商已經實現 EPP 與 EDR的合一（本文以 EDR 統稱）。EDR 集成了下一代 AV、行為

7、分析、機器學習、誘騙、XDR（Extended Detection and Response，可擴展威脅檢測與響應）大數據日志存儲和分析、沙箱、威脅信息、網絡安全聯動和自動恢復響應等最先進的技術。它可以覆蓋辦公終端、服務器、虛擬機、云 Workload 和容器等監控。EDR“小小”身材，可撬動端、網、云大安全。在近幾年的攻防演練熱點話題中，“如何防范 0-Day 打穿網絡，從主機層面如何阻斷已經攻入內網的紅隊”成為了主要關注點。盡管業界廠商提供的終端安全功能繁多，從業界實踐總結（參考 Gartner）和客戶反饋中，以下幾個方面被認為是 EDR 產品的核心能力：1.防御和阻止安全威脅，包括已知、

8、變種和加殼惡意軟件。2.具備行為分析能力，覆蓋設備活動、應用程序、身份和用戶數據，集成威脅信息能力，檢測和預防未知威脅，含 0-day 攻擊、無文件攻擊。3.在攻擊被確認前實錘前，提供進一步事件調查和主動溯源能力，一方面確保日志可無損溯源，一方面兼顧存儲和計算成本。4.具備攻擊響應恢復能力，如惡意軟件感染后文件恢復能力。5.支持多種操作系統和終端類型，并且支持多種部署模式，包括線下On Premise、云端和混合部署。更多高級能力包括XDR整合聯動，以及部分EPP傳統功能的反向整合，例如安全基線、漏洞管理等。其中，XDR 整合能力在業界普遍還不成熟，它包含了集成 SOAR、IT 服務管理、網絡

9、整合等功能。從業界實踐來看，針對不同類型客戶，在應對不斷變化的威脅攻擊時，如何做到低誤報高檢出、還原攻擊鏈、自動響應和恢復，業界部分產品還存在不少差距。例如，針對安全建設不成熟的客戶，易用性是一個關鍵考量，但不少廠商的 EDR 產品缺乏自動分析攻擊鏈、一鍵自動響應能力，無預定義的威脅搜索條件，無感染文件恢復等功能。針對中大型客戶，很多廠商的 EDR 在現網中，上報數據噪聲大、行為檢測誤報高、ATT&CK 覆蓋不全，無法真正攔截變種惡意軟件和未知威脅；缺乏對多個操作系統和新的工作負載（如容器）的支持；與安全工作流程整合不夠緊密，缺乏可定制的Playbook和行為規則能力。此外，XDR 整合聯動還

10、停留在宣傳層面，終端、應用和網絡安全管理界面分離，遠沒有達到消除跨團隊、系統和數據孤島的目的。1.2 華為 HiSec Endpoint 功能概述EDR 的防御理念與經典的 PPDR（Predict、Prevent、Detect、Response，預測、防護、檢測、響應）的安全防御模型完全吻合。華為安全推出 HiSec Endpoint 智能終端安全系統致力于在網絡空間抵御新型威脅攻擊。作為大安全（即整網安全）的錨點和托底，整合網絡安全、云端大數據安全深度分析能力，深度協同，形成感知、防御、檢測、和響應多層面的自適應防御閉環。依托 OneAgent 統一終端平臺，以小身材，撬動安全大乾坤。輕量

11、化、易部署EDR 足夠輕、上報噪聲低、在主機操作系統上留下的足跡小，才能盡量降低對用戶業務的影響，將安全風險面收到最小。HiSec Endpoint 輕量級 Agent，支持分鐘級批量部署上線，閑時 CPU 占用低于 1%，0203版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司01安全背景與挑戰整體上，當前的威脅形勢融合了三個變量：第一個是數字化先行，組織暴露出更多的風險面；第二個是攻擊技術、生態系統和工業化程度的進化；最后，更多攻擊組織參與到新的地緣政治沖突中，加速了高級威脅武器的應用和民間濫用泛化。這些因素都加劇了網絡空間

12、環境的惡化。終端作為業務和數據的計算載體，是各類威脅鎖定的最終目標。在面對不斷演進的新型網絡威脅攻勢下，以單向防御和管控為核心的終端安全已無力應對，存在以下挑戰：新型惡意軟件生產速度更快、更多，反病毒產品基于已出現樣本提取特征來檢測，始終滯后一步，可提升檢出的量變挖掘空間變得有限。行為檢測、機器學習是應對新型和未知惡意軟件的防御路徑之一，但面臨最大的問題是如何降低誤報，提供可解釋性，讓行為檢測和機器學習在運營面上可信；同時，要解決從產生分析結果到可研判、敢阻斷的“鴻溝”，減少進一步人工分析，提升 ROI。企業網絡每天遭受的網絡嗅探、攻擊嘗試很多，哪些是有效攻擊，產生了什么影響，終端是提供證據和

13、溯源的最有效手段。終端記錄的上報的數據越多，越有利于威脅線索的“全文“搜索，但后端存儲和計算的投資是有限的，如何解決這個矛盾是一個迫切的問題。新型惡意軟件采用多跳攻擊滲透到內網終端，單向、點狀的防御和檢測已經無法應對，能有效協同云、邊界、終端，形成從點到全鏈路的防御體系至關重要。安全因為本身碎片化程度高，企業客戶往往部署 5 個以上不同安全廠商的產品，跨廠商、跨系統和團隊的協同始終是一個難題。1.1 業界 EDR 定義為了應對復雜的網絡威脅態勢，企業需要構筑一套貫穿威脅攻擊全鏈路的自防御體系，在事前、事中和事后投入更多的人力和時間成本。但安全投資是有限的，企業需要從可視、防御、檢測和響應多個層

14、面來建設一套縱深安全體系，兼顧實效和成本的平衡。2013 年 Gartner 首次提出 EDR（Endpoint Detection and Response，終端威脅檢測與響應）的概念之后，該技術立即引起了安全界的廣泛關注。EDR 是一種新型的、智能化和快速迅捷的主動防御技術，遵循 Gartner“預測、防護、檢測和響應”的技術體系，其作用貫穿安全事件發生的全過程。由于終端是威脅攻擊的主要作用點，大部分攻擊都發生在各類端點計算設備上。以終端為錨點，可以達到撬動整個安全防御體系的效果。在 2023 年 Gartner 最新的終端安全魔術象限報告中，EDR 被作為 EPP（Endpoint Pr

15、otection Platform，終端防御平臺）的關鍵特性，主流安全廠商已經實現 EPP 與 EDR的合一（本文以 EDR 統稱）。EDR 集成了下一代 AV、行為分析、機器學習、誘騙、XDR（Extended Detection and Response，可擴展威脅檢測與響應）大數據日志存儲和分析、沙箱、威脅信息、網絡安全聯動和自動恢復響應等最先進的技術。它可以覆蓋辦公終端、服務器、虛擬機、云 Workload 和容器等監控。EDR“小小”身材，可撬動端、網、云大安全。在近幾年的攻防演練熱點話題中，“如何防范 0-Day 打穿網絡，從主機層面如何阻斷已經攻入內網的紅隊”成為了主要關注點。盡

16、管業界廠商提供的終端安全功能繁多，從業界實踐總結（參考 Gartner）和客戶反饋中，以下幾個方面被認為是 EDR 產品的核心能力：1.防御和阻止安全威脅，包括已知、變種和加殼惡意軟件。2.具備行為分析能力，覆蓋設備活動、應用程序、身份和用戶數據，集成威脅信息能力，檢測和預防未知威脅，含 0-day 攻擊、無文件攻擊。3.在攻擊被確認前實錘前，提供進一步事件調查和主動溯源能力，一方面確保日志可無損溯源，一方面兼顧存儲和計算成本。4.具備攻擊響應恢復能力，如惡意軟件感染后文件恢復能力。5.支持多種操作系統和終端類型，并且支持多種部署模式，包括線下On Premise、云端和混合部署。更多高級能力

17、包括XDR整合聯動，以及部分EPP傳統功能的反向整合，例如安全基線、漏洞管理等。其中，XDR 整合能力在業界普遍還不成熟，它包含了集成 SOAR、IT 服務管理、網絡整合等功能。從業界實踐來看，針對不同類型客戶，在應對不斷變化的威脅攻擊時，如何做到低誤報高檢出、還原攻擊鏈、自動響應和恢復，業界部分產品還存在不少差距。例如，針對安全建設不成熟的客戶，易用性是一個關鍵考量，但不少廠商的 EDR 產品缺乏自動分析攻擊鏈、一鍵自動響應能力，無預定義的威脅搜索條件，無感染文件恢復等功能。針對中大型客戶，很多廠商的 EDR 在現網中，上報數據噪聲大、行為檢測誤報高、ATT&CK 覆蓋不全，無法真正攔截變種

18、惡意軟件和未知威脅；缺乏對多個操作系統和新的工作負載（如容器）的支持；與安全工作流程整合不夠緊密，缺乏可定制的Playbook和行為規則能力。此外，XDR 整合聯動還停留在宣傳層面，終端、應用和網絡安全管理界面分離，遠沒有達到消除跨團隊、系統和數據孤島的目的。1.2 華為 HiSec Endpoint 功能概述EDR 的防御理念與經典的 PPDR（Predict、Prevent、Detect、Response，預測、防護、檢測、響應）的安全防御模型完全吻合。華為安全推出 HiSec Endpoint 智能終端安全系統致力于在網絡空間抵御新型威脅攻擊。作為大安全（即整網安全）的錨點和托底，整合網

19、絡安全、云端大數據安全深度分析能力，深度協同，形成感知、防御、檢測、和響應多層面的自適應防御閉環。依托 OneAgent 統一終端平臺，以小身材，撬動安全大乾坤。輕量化、易部署EDR 足夠輕、上報噪聲低、在主機操作系統上留下的足跡小，才能盡量降低對用戶業務的影響，將安全風險面收到最小。HiSec Endpoint 輕量級 Agent，支持分鐘級批量部署上線，閑時 CPU 占用低于 1%，0405版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司01安全背景與挑戰內存占用低于 60M；殺毒引擎通過對語法、算法的深度優化，協同云端安全

20、智能中心賦能，為客戶提供領先的病毒檢測能力的同時，內存、磁盤資源占用低；同時在使用殺毒功能時，會根據操作系統資源占用情況進行智能退避，不影響到操作系統的其他任務?；诳尚胚M程樹、白名單自學習和威脅圖降噪專利技術，Agent 能夠在各類數據采集無損的條件下，大大提升云端檢測的有效性，降低云端存儲成本。集成下一代 AV 檢測引擎HiSec Endpoint 產品集成了自主研發的下一代 AV 引擎 CDE（Content-based Detection Engine，內容檢測引擎），可實時掃描發現勒索、挖礦、遠控等早期的惡意載荷投遞，阻止進一步釋放有效惡意載荷；基于內核級文件寫入、運行阻斷查殺技術，

21、在有效載荷落盤或運行前高速掃描，確保惡意代碼不運行下的高查殺率。CDE 采用 MDL（Malware Detection Language，惡意軟件檢測語言）專有病毒語言，以少量資源精準覆蓋海量變種；集成專有在線神經網絡等高精度AI算法、反躲避等技術，可檢測深度隱藏、嵌套、壓縮的病毒，并具備未知病毒檢測能力；借助華為乾坤云端強大的文件安全生產系統，基于豐富自動化簽名算法和專家經驗，對海量樣本進行高效高質覆蓋，持續對抗分析每日海量新樣本，準確檢測流行勒索、挖礦、木馬、僵尸、隱蔽通道、蠕蟲等各類惡意軟件。CDE 在對抗檢測、AI 檢測算法、簽名泛化能力和掃描性能方面處于領先地位。云查殺功能通過客戶

22、端與云端安全智能中心的聯動實時檢測惡意樣本，覆蓋 Windows、linux、MacOS,Android 等常見桌面、服務器、移動操作系統環境等惡意文件。通過自主研發的下一代 AV 引擎 CDE 結合云查殺能力做綜合研判可進一步提高惡意樣本檢出率，降低誤報率。創新威脅溯源圖捕獲未知威脅據統計，有 20%的惡意軟件可以成功繞過殺軟的檢測。未知行為檢測是對抗殺軟繞過的關鍵能力。要想有效地防御未知威脅，首先要精確感知終端行為異常，并且采集的數據越全面、越深入，檢測的上限就越高。HiSec Endpoint 產品支持進程、文件、網絡、DNS、注冊表等細粒度的數據采集，并支持 API、shellcode

23、 和內存深度采集。即使威脅攻擊采用隱蔽性極高的躲避技術，如內存型無文件攻擊、白加黑、shellcode 注入、直接系統調用、合法工具或 Powershell 命令等進行躲避，也能被 HiSec Endpoint 采集器感知。終端行為是一張以進程為中心的網狀行為圖。HiSec Endpoint 產品獨創內存威脅溯源圖，對單終端進程樹、文件、憑據等對象訪問行為鏈進行實時捕捉，擬合成動態行為圖?；谒菰磮D可執行毫秒級上下文關聯，覆蓋原始事件和可疑信號，信號實時沿圖傳播匯聚，結合威脅打分和威脅根溯源算法研判，輸出高置信度惡意威脅事件。研判準確率可達 99%以上。大大消除誤報和“告警疲勞”，將未知攻擊實

24、時阻斷閉環在終端側。HiSec Endpoint 聯動服務端，可撬動乾坤安全服務平臺，對跨終端、異構數據源（資產、威脅信息）進行時空層面的綜合關聯和溯源，結合 AI 算法和云端強大的威脅知識庫，通過全局威脅溯源圖深度歸因，自動還原攻擊意圖和攻擊鏈條，檢測多主機橫向移動、和高級持續隱蔽型攻擊。針對無文件攻擊和 0-Day漏洞利用，HiSec Endpoint 產品支持多層檢測防御，在攻擊執行的關鍵路徑打點，通過細粒度行為檢測、shellcode 檢測、白程序行為基線等分析研判，斬斷攻擊鏈。統一威脅分析和溯源狩獵平臺HiSec Endpoint 基于端云協同的創新溯源圖，為客戶提供深度溯源與狩獵能

25、力。Agent 側通過高性能內存圖引擎(GSP)，實現原始事件歸并，并結合白名單自學習進行過濾去重，將原始事件無損收斂到，僅可疑或者稀有事件才會上送到云端，單日單終端上報小于 20M，大幅降低后端存儲和事件運營成本。端側還會通過本地 DB 緩存全量原始事件，確保 100%可溯源。遙測數據實時存入經過高度優化和定制建模的圖數據庫，實現百億以上原始事件的秒級 IOC 溯源能力，溯源深度大于 10 跳以上。包含可疑域名、網絡地址、MD5、進程 UUID 的全局檢索，精確返回受害者終端列表，并用威脅圖呈現失陷終端事件的完整上下文。內置華為安全團隊多年積累的實戰狩獵腳本，實現自動搜索，捕獲逃避前置防御的

26、高級威脅。高級狩獵支持開放自定義腳本，企業安全團隊可以根據自身業務特點定制狩獵腳本，并添加到例行任務中，實現精準狩獵和安全守護。HiSec Endpoint 后臺是基于乾坤統一威脅分析和管理平臺研發，該平臺同時支持邊界防護、威脅信息、網絡威脅評估、漏洞掃描等多安全 APP 部署。通過華為乾坤統一安全運營中心，可天然支持多安全 APP 的日志中心化存儲、檢索、統一分析和可視?？绠a品管理控制后臺統一，可基于一套管理界面配置策略。通過跨域關聯分析規則和算法，實現 XDR 跨域威脅研判，以及一鍵自動化編排響應風險。獨創勒索加密文件恢復勒索加密家族 LockBit 最高可在 4 分鐘加密 10 萬個文件

27、，檢測的速度必須足夠快和準。針對不斷變異進化的勒索軟件，要確保數據零損失，提供加密文件恢復是一個有效的兜底技術。HiSec Endpoint 產品獨創內核級勒索行為捕獲技術，可動態感知非受信程序的可疑文件訪問模式，如誘餌文件訪問、批量文件遍歷、修改后綴名等，實時觸發本地文件備份。支持輕量化勒索 AI 動態行為本地分析，在勒索攻擊正確研判后，針對勒索病毒整個進程鏈自動執行處置，并將備份文件回滾，確?；謴偷秸_的文件修改版本，備份單文件毫秒級，將數據損失數量減少到個位數或 0 損失。0405版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有

28、限公司01安全背景與挑戰內存占用低于 60M；殺毒引擎通過對語法、算法的深度優化，協同云端安全智能中心賦能，為客戶提供領先的病毒檢測能力的同時，內存、磁盤資源占用低；同時在使用殺毒功能時，會根據操作系統資源占用情況進行智能退避，不影響到操作系統的其他任務?；诳尚胚M程樹、白名單自學習和威脅圖降噪專利技術，Agent 能夠在各類數據采集無損的條件下，大大提升云端檢測的有效性，降低云端存儲成本。集成下一代 AV 檢測引擎HiSec Endpoint 產品集成了自主研發的下一代 AV 引擎 CDE（Content-based Detection Engine，內容檢測引擎），可實時掃描發現勒索、挖礦

29、、遠控等早期的惡意載荷投遞，阻止進一步釋放有效惡意載荷；基于內核級文件寫入、運行阻斷查殺技術，在有效載荷落盤或運行前高速掃描，確保惡意代碼不運行下的高查殺率。CDE 采用 MDL（Malware Detection Language，惡意軟件檢測語言）專有病毒語言，以少量資源精準覆蓋海量變種；集成專有在線神經網絡等高精度AI算法、反躲避等技術，可檢測深度隱藏、嵌套、壓縮的病毒，并具備未知病毒檢測能力；借助華為乾坤云端強大的文件安全生產系統，基于豐富自動化簽名算法和專家經驗，對海量樣本進行高效高質覆蓋，持續對抗分析每日海量新樣本，準確檢測流行勒索、挖礦、木馬、僵尸、隱蔽通道、蠕蟲等各類惡意軟件。

30、CDE 在對抗檢測、AI 檢測算法、簽名泛化能力和掃描性能方面處于領先地位。云查殺功能通過客戶端與云端安全智能中心的聯動實時檢測惡意樣本，覆蓋 Windows、linux、MacOS,Android 等常見桌面、服務器、移動操作系統環境等惡意文件。通過自主研發的下一代 AV 引擎 CDE 結合云查殺能力做綜合研判可進一步提高惡意樣本檢出率，降低誤報率。創新威脅溯源圖捕獲未知威脅據統計，有 20%的惡意軟件可以成功繞過殺軟的檢測。未知行為檢測是對抗殺軟繞過的關鍵能力。要想有效地防御未知威脅，首先要精確感知終端行為異常，并且采集的數據越全面、越深入，檢測的上限就越高。HiSec Endpoint

31、產品支持進程、文件、網絡、DNS、注冊表等細粒度的數據采集，并支持 API、shellcode 和內存深度采集。即使威脅攻擊采用隱蔽性極高的躲避技術，如內存型無文件攻擊、白加黑、shellcode 注入、直接系統調用、合法工具或 Powershell 命令等進行躲避，也能被 HiSec Endpoint 采集器感知。終端行為是一張以進程為中心的網狀行為圖。HiSec Endpoint 產品獨創內存威脅溯源圖，對單終端進程樹、文件、憑據等對象訪問行為鏈進行實時捕捉，擬合成動態行為圖?；谒菰磮D可執行毫秒級上下文關聯，覆蓋原始事件和可疑信號，信號實時沿圖傳播匯聚，結合威脅打分和威脅根溯源算法研判，

32、輸出高置信度惡意威脅事件。研判準確率可達 99%以上。大大消除誤報和“告警疲勞”，將未知攻擊實時阻斷閉環在終端側。HiSec Endpoint 聯動服務端，可撬動乾坤安全服務平臺，對跨終端、異構數據源（資產、威脅信息）進行時空層面的綜合關聯和溯源，結合 AI 算法和云端強大的威脅知識庫，通過全局威脅溯源圖深度歸因，自動還原攻擊意圖和攻擊鏈條，檢測多主機橫向移動、和高級持續隱蔽型攻擊。針對無文件攻擊和 0-Day漏洞利用，HiSec Endpoint 產品支持多層檢測防御，在攻擊執行的關鍵路徑打點，通過細粒度行為檢測、shellcode 檢測、白程序行為基線等分析研判，斬斷攻擊鏈。統一威脅分析和

33、溯源狩獵平臺HiSec Endpoint 基于端云協同的創新溯源圖，為客戶提供深度溯源與狩獵能力。Agent 側通過高性能內存圖引擎(GSP)，實現原始事件歸并，并結合白名單自學習進行過濾去重，將原始事件無損收斂到，僅可疑或者稀有事件才會上送到云端，單日單終端上報小于 20M，大幅降低后端存儲和事件運營成本。端側還會通過本地 DB 緩存全量原始事件，確保 100%可溯源。遙測數據實時存入經過高度優化和定制建模的圖數據庫，實現百億以上原始事件的秒級 IOC 溯源能力，溯源深度大于 10 跳以上。包含可疑域名、網絡地址、MD5、進程 UUID 的全局檢索，精確返回受害者終端列表，并用威脅圖呈現失陷

34、終端事件的完整上下文。內置華為安全團隊多年積累的實戰狩獵腳本，實現自動搜索，捕獲逃避前置防御的高級威脅。高級狩獵支持開放自定義腳本，企業安全團隊可以根據自身業務特點定制狩獵腳本，并添加到例行任務中，實現精準狩獵和安全守護。HiSec Endpoint 后臺是基于乾坤統一威脅分析和管理平臺研發，該平臺同時支持邊界防護、威脅信息、網絡威脅評估、漏洞掃描等多安全 APP 部署。通過華為乾坤統一安全運營中心，可天然支持多安全 APP 的日志中心化存儲、檢索、統一分析和可視?？绠a品管理控制后臺統一，可基于一套管理界面配置策略。通過跨域關聯分析規則和算法，實現 XDR 跨域威脅研判，以及一鍵自動化編排響應

35、風險。獨創勒索加密文件恢復勒索加密家族 LockBit 最高可在 4 分鐘加密 10 萬個文件，檢測的速度必須足夠快和準。針對不斷變異進化的勒索軟件，要確保數據零損失，提供加密文件恢復是一個有效的兜底技術。HiSec Endpoint 產品獨創內核級勒索行為捕獲技術，可動態感知非受信程序的可疑文件訪問模式，如誘餌文件訪問、批量文件遍歷、修改后綴名等，實時觸發本地文件備份。支持輕量化勒索 AI 動態行為本地分析，在勒索攻擊正確研判后，針對勒索病毒整個進程鏈自動執行處置，并將備份文件回滾，確?；謴偷秸_的文件修改版本，備份單文件毫秒級，將數據損失數量減少到個位數或 0 損失。07版權所有 華為技術

36、有限公司02產品架構設計06版權所有 華為技術有限公司2 產 品 架構設計華為 HiSec Endpoint 智能終端安全系統由客戶端和服務端兩部分組成，支持 SaaS 服務和本地 On-Premises 兩種部署形態?？蛻舳艘攒浖?Agent 形式部署在終端設備上，負責從多維度對終端系統中的行為、資源、運行狀態等進行采集和監控。Agent 集成了下一代靜態反病毒檢測引擎、動態行為分析引擎（主機 IPS 和威脅溯源圖關聯）、AI 分析引擎和處置引擎，可以快速的對威脅進行本地響應閉環。同時提供獨創勒索加密文件本地實時備份和恢復能力，為數據安全兜底，保護關鍵數據資產安全。HiSec Endpoin

37、t 基于 One Agent理念打造插件化統一終端平臺 Safra(Security Agent Framework，Safra)，在統一終端平臺的基礎上不僅可快速擴展支持新的操作系統，同時可以快速橫向擴展新的上層業務（如 NAC、ZTNA、DLP 等能力），具備擴展靈活、兼容性好、資源占用低、運維管理特點。服務端支持 SaaS 化公有云部署和本地服務器部署兩種模式，負責提供統一的終端管理運維、終端檢測和響應服務。作為安全分析和安全運維中心，HiSec Endpoint 服務端負責安全日志的中心化采集存儲查詢、安全事件分析、事件響應閉環，和安全預警和報告等功能?；诮y一乾坤安全服務平臺，產品可

38、同時提供邊界防護服務、威脅信息服務、安全評估服務等能力。圖 2-1 華為 HiSec Endpoint 產品架構圖07版權所有 華為技術有限公司02產品架構設計06版權所有 華為技術有限公司2 產 品架 構 設計華為 HiSec Endpoint 智能終端安全系統由客戶端和服務端兩部分組成，支持 SaaS 服務和本地 On-Premises 兩種部署形態?？蛻舳艘攒浖?Agent 形式部署在終端設備上，負責從多維度對終端系統中的行為、資源、運行狀態等進行采集和監控。Agent 集成了下一代靜態反病毒檢測引擎、動態行為分析引擎（主機 IPS 和威脅溯源圖關聯）、AI 分析引擎和處置引擎，可以快速

39、的對威脅進行本地響應閉環。同時提供獨創勒索加密文件本地實時備份和恢復能力，為數據安全兜底，保護關鍵數據資產安全。HiSec Endpoint 基于 One Agent理念打造插件化統一終端平臺 Safra(Security Agent Framework，Safra)，在統一終端平臺的基礎上不僅可快速擴展支持新的操作系統，同時可以快速橫向擴展新的上層業務（如 NAC、ZTNA、DLP 等能力），具備擴展靈活、兼容性好、資源占用低、運維管理特點。服務端支持 SaaS 化公有云部署和本地服務器部署兩種模式，負責提供統一的終端管理運維、終端檢測和響應服務。作為安全分析和安全運維中心，HiSec En

40、dpoint 服務端負責安全日志的中心化采集存儲查詢、安全事件分析、事件響應閉環，和安全預警和報告等功能?；诮y一乾坤安全服務平臺，產品可同時提供邊界防護服務、威脅信息服務、安全評估服務等能力。圖 2-1 華為 HiSec Endpoint 產品架構圖09版權所有 華為技術有限公司03核心功能08版權所有 華為技術有限公司3 核 心 功能3.1 終端識別與管理3.1.1 終端識別終端主機在成功安裝 HiSec Endpoint Agent 后，采集終端主機基本信息（包括主機名稱、IP、MAC、操作系統，硬件信息等），并自動和服務端請求連接，在服務端集中統一管理。企業 IT 管理員通過服務端終端

41、資產列表，盤點已安裝 HiSec Endpoint Agent 的重點資產，結合華為乾坤網絡漏洞掃描服務，發現和篩選未安裝 HiSec Endpoint Agent 的終端主機。在 DHCP 自動分配終端 IP 的場景中，服務端支持對終端歷史 IP 的查看功能。3.1.2 終端資產登記租戶管理員開啟資產登記后，可以在客戶端登記終端資產信息，包含資產使用人、部門、聯系電話和郵箱等信息，方便發現失陷主機后快速找到資產使用人。3.1.3 資產評分支持基于終端威脅事件等級、漏洞和脆弱性評估、資產價值等多維風險評分。圖 3-1 資產價值多維評分09版權所有 華為技術有限公司03核心功能08版權所有 華為

42、技術有限公司3 核 心功 能3.1 終端識別與管理3.1.1 終端識別終端主機在成功安裝 HiSec Endpoint Agent 后，采集終端主機基本信息（包括主機名稱、IP、MAC、操作系統，硬件信息等），并自動和服務端請求連接，在服務端集中統一管理。企業 IT 管理員通過服務端終端資產列表，盤點已安裝 HiSec Endpoint Agent 的重點資產，結合華為乾坤網絡漏洞掃描服務，發現和篩選未安裝 HiSec Endpoint Agent 的終端主機。在 DHCP 自動分配終端 IP 的場景中，服務端支持對終端歷史 IP 的查看功能。3.1.2 終端資產登記租戶管理員開啟資產登記后，

43、可以在客戶端登記終端資產信息，包含資產使用人、部門、聯系電話和郵箱等信息，方便發現失陷主機后快速找到資產使用人。3.1.3 資產評分支持基于終端威脅事件等級、漏洞和脆弱性評估、資產價值等多維風險評分。圖 3-1 資產價值多維評分1011版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能3.2 數據采集數據采集是終端安全防護軟件中與操作系統甚至硬件關系最緊密的能力。數據采集對系統中的行為、資源、運行狀態等多方面進行監控及記錄，是終端安全防護軟件核心業務的下層基礎。數據采集在 HiSec Endpoint 產品中為多種能力

44、提供基礎，如實時監控與防護、威脅檢測、威脅響應。操作系統對不同的系統資源提供了訪問、修改方式，針對經常面臨安全風險的資源和敏感操作，通常包括以下采集項：進程行為、文件行為、注冊表行為、網絡連接、DNS 訪問、內核對象創建。用戶登錄、退出 啟動項增加 API 調用、系統調用等HiSec Endpoint Agent 數據采集模型HiSec Endpoint 產品，通過操作系統內核驅動、API Hook、ETW 以及其他輔助采集技術，對系統進程、線程、注冊表、文件、磁盤、網絡、DNS 請求、API 調用、系統調用等進行監控，基本架構如下圖所示：圖 3-2 數據采集模型基本架構根據數據采集的具體實現

45、，HiSec Endpoint Agent 數據采集在功能和安全性方面具備以下六大特點。數據完整性HiSec Endpoint 與傳統 EPP 產品的重要差異之一是數據采集的能力必須滿足進程調用鏈構建、威脅圖的構建，要包含完整的事件主體信息，客體信息和行為的詳細類型，使安全系統發現威脅后可分析、可處置、可溯源。深度采集HiSec Endpoint 在惡意軟件泛化行為上提供多種打點，從進程行為到線程行為，從文件行為到內存行為，由淺入深；在攻擊路徑上全段覆蓋，從網絡連接到爆破登錄，從注冊表變化到啟動項增加，由粗到細。復合行為采集和抽象在 HiSec Endpoint 中，除常規的數據采集能力外，還

46、包含由多種單獨事件組合而成的復合行為采集，如注入行為采集和 shellcode 采集。高性能由于安插了眾多數據采集點，性能成為主要技術挑戰。HiSec Endpoint 對此做了大量優化和創新，在內核和用戶態模塊均內置過濾引擎，在最前端針對主體、客體、行為等多元素進行高效過濾；并結合可信進程樹和專利威脅圖降噪技術，單終端數據上報可控制在 20MB/天以下，保證關鍵數據不被丟棄，并滿足下游防護業務的需求。精細化控制對于輕量化安全防護場景，HiSec Endpoint 專為數據采集提供了精細化的開關控制，可有針對性地開啟、關閉或者部分關閉采集功能，進一步降低資源消耗。在對帶寬有限制時，也可達到靈活

47、控制數據上報的目的。多平臺支持目前數據采集覆蓋 Windows、Linux 平臺，并通過 Hook、回調等多種技術方案屏蔽差異，實現對重要特性支持，為上層勒索、挖礦、木馬、橫向移動等檢測和防護場景提供能力基礎。3.3 威脅防御3.3.1 網絡訪問控制網絡訪問控制提供主機防火墻、單網通、網絡隔離三大功能，訪問控制核心是在網絡協議棧對流量訪問做控制。主機防火墻和單網通應用場景不同，功能互斥，同一終端只能引用一種網絡訪問控制策略。主機防火墻通常用于業務簡單且固定場景，比如內部辦公網絡、生產制造。單網通通常在政務系統一機兩用場景，政務外網與互聯網隔離，通過單網通實現客戶同時只能連一張網，防止跳板攻擊入

48、侵內部網絡導致數據泄漏。1011版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能3.2 數據采集數據采集是終端安全防護軟件中與操作系統甚至硬件關系最緊密的能力。數據采集對系統中的行為、資源、運行狀態等多方面進行監控及記錄，是終端安全防護軟件核心業務的下層基礎。數據采集在 HiSec Endpoint 產品中為多種能力提供基礎，如實時監控與防護、威脅檢測、威脅響應。操作系統對不同的系統資源提供了訪問、修改方式，針對經常面臨安全風險的資源和敏感操作，通常包括以下采集項：進程行為、文件行為、注冊表行為、網絡連接、DNS 訪

49、問、內核對象創建。用戶登錄、退出 啟動項增加 API 調用、系統調用等HiSec Endpoint Agent 數據采集模型HiSec Endpoint 產品，通過操作系統內核驅動、API Hook、ETW 以及其他輔助采集技術，對系統進程、線程、注冊表、文件、磁盤、網絡、DNS 請求、API 調用、系統調用等進行監控，基本架構如下圖所示：圖 3-2 數據采集模型基本架構根據數據采集的具體實現，HiSec Endpoint Agent 數據采集在功能和安全性方面具備以下六大特點。數據完整性HiSec Endpoint 與傳統 EPP 產品的重要差異之一是數據采集的能力必須滿足進程調用鏈構建、威

50、脅圖的構建，要包含完整的事件主體信息，客體信息和行為的詳細類型，使安全系統發現威脅后可分析、可處置、可溯源。深度采集HiSec Endpoint 在惡意軟件泛化行為上提供多種打點，從進程行為到線程行為，從文件行為到內存行為，由淺入深；在攻擊路徑上全段覆蓋，從網絡連接到爆破登錄，從注冊表變化到啟動項增加，由粗到細。復合行為采集和抽象在 HiSec Endpoint 中，除常規的數據采集能力外，還包含由多種單獨事件組合而成的復合行為采集，如注入行為采集和 shellcode 采集。高性能由于安插了眾多數據采集點，性能成為主要技術挑戰。HiSec Endpoint 對此做了大量優化和創新，在內核和用

51、戶態模塊均內置過濾引擎，在最前端針對主體、客體、行為等多元素進行高效過濾；并結合可信進程樹和專利威脅圖降噪技術，單終端數據上報可控制在 20MB/天以下，保證關鍵數據不被丟棄，并滿足下游防護業務的需求。精細化控制對于輕量化安全防護場景，HiSec Endpoint 專為數據采集提供了精細化的開關控制，可有針對性地開啟、關閉或者部分關閉采集功能，進一步降低資源消耗。在對帶寬有限制時，也可達到靈活控制數據上報的目的。多平臺支持目前數據采集覆蓋 Windows、Linux 平臺，并通過 Hook、回調等多種技術方案屏蔽差異，實現對重要特性支持，為上層勒索、挖礦、木馬、橫向移動等檢測和防護場景提供能力

52、基礎。3.3 威脅防御3.3.1 網絡訪問控制網絡訪問控制提供主機防火墻、單網通、網絡隔離三大功能，訪問控制核心是在網絡協議棧對流量訪問做控制。主機防火墻和單網通應用場景不同，功能互斥，同一終端只能引用一種網絡訪問控制策略。主機防火墻通常用于業務簡單且固定場景，比如內部辦公網絡、生產制造。單網通通常在政務系統一機兩用場景，政務外網與互聯網隔離，通過單網通實現客戶同時只能連一張網，防止跳板攻擊入侵內部網絡導致數據泄漏。1213版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能3.3.1.1 主機防火墻傳統的防火墻一般部署

53、在網絡出口控制南北向流量訪問控制，無法做東西向流量控制，也無法針對每臺終端做精細化網絡訪問控制，主機防火墻則可以解決該痛點。主機防火墻以 IP、流向、協議、端口細粒度做精細化訪問控制，每個終端可以有獨有的防火墻策略。管理員只需要配置不同策略、規則，并將策略應用在不同終端上即可實現終端精細化網絡訪問控制。3.3.1.2 網絡隔離當發現有失陷主機時，管理員可以基于威脅事件選中對應終端快速進行網絡隔離，防止病毒橫移、數據泄露免去拔網線物理隔離的麻煩。惡意病毒處置后，管理員、終端用戶可通過隔離區恢復網絡。3.3.1.3 單網通單網通可以配置自定義網絡允許訪問的 IP 或者域名，針對特殊 IP、域名、進

54、程可以配置例外，無論在那種網絡模式下均允許其網絡訪問。單網通策略下發客戶端后，終端用戶就可以基于業務需要手動切換可訪問的網絡，達到一機兩用的目的。3.3.2 防篡改在辦公終端和服務器場景，都存在一些關鍵的資產，通常不希望受到非預期的修改，如 office 辦公文檔，行業工程文檔、后臺服務程序頁面等等，在被篡改后會導致核心資產被破壞、對外提供服務異常等問題，因此需要對這些資產加以防護。HiSec Endpoint 利用內核驅動技術對文件系統中的文件資產實時監控，通過對主機中的重點目錄配置策略，可以防止系統和用戶的關鍵類型資產被惡意篡改；同時提供了特許進程的配置能力，用于滿足員工和運維人員正常的業

55、務修改需要。防篡改所針對的范圍、目標文件類型、特許進程均可配置，因此具備較強的靈活性；防篡改基于文件過濾驅動實現，也具備較強的對抗性，可以應對簡單的勒索以及特定類型的網頁漏洞利用。3.3.3 黑白名單HiSec Endpoint 支持用戶配置白名單和黑名單，服務端檢測時會根據白名單直接放過，根據黑名單直接生成告警信息。同時 Hisec Endpoint 支持基于統計頻繁項的白名單自學習機制，生成的白名單經過服務端匯總合并后，主動推送到各個 Agent，作為過濾基線，降低數據上報量。3.4 威脅檢測3.4.1 靜態檢測3.4.1.1 下一代 AV 檢測HiSec Endpoint集成下一代AV病

56、毒檢測引擎CDE(Content Detection Engine)，支持防護包括勒索、挖礦、木馬、僵尸、隱蔽通道、漏洞利用、蠕蟲、病毒、黑客工具、灰色軟件、惡意廣告等各類惡意家族病毒。當客戶終端被攻擊下載病毒文件，在終端落盤或運行時，病毒檢測引擎會對病毒進行實時的防護。病毒檢測引擎主要由文件類型識別、內容深度分析以及病毒掃描引擎組成，主要原理如下圖所示。圖 3-3 病毒檢測引擎組成1213版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能3.3.1.1 主機防火墻傳統的防火墻一般部署在網絡出口控制南北向流量訪問控制，

57、無法做東西向流量控制，也無法針對每臺終端做精細化網絡訪問控制，主機防火墻則可以解決該痛點。主機防火墻以 IP、流向、協議、端口細粒度做精細化訪問控制，每個終端可以有獨有的防火墻策略。管理員只需要配置不同策略、規則，并將策略應用在不同終端上即可實現終端精細化網絡訪問控制。3.3.1.2 網絡隔離當發現有失陷主機時，管理員可以基于威脅事件選中對應終端快速進行網絡隔離，防止病毒橫移、數據泄露免去拔網線物理隔離的麻煩。惡意病毒處置后，管理員、終端用戶可通過隔離區恢復網絡。3.3.1.3 單網通單網通可以配置自定義網絡允許訪問的 IP 或者域名，針對特殊 IP、域名、進程可以配置例外，無論在那種網絡模式

58、下均允許其網絡訪問。單網通策略下發客戶端后，終端用戶就可以基于業務需要手動切換可訪問的網絡，達到一機兩用的目的。3.3.2 防篡改在辦公終端和服務器場景，都存在一些關鍵的資產，通常不希望受到非預期的修改，如 office 辦公文檔，行業工程文檔、后臺服務程序頁面等等，在被篡改后會導致核心資產被破壞、對外提供服務異常等問題，因此需要對這些資產加以防護。HiSec Endpoint 利用內核驅動技術對文件系統中的文件資產實時監控，通過對主機中的重點目錄配置策略，可以防止系統和用戶的關鍵類型資產被惡意篡改；同時提供了特許進程的配置能力，用于滿足員工和運維人員正常的業務修改需要。防篡改所針對的范圍、目

59、標文件類型、特許進程均可配置，因此具備較強的靈活性；防篡改基于文件過濾驅動實現，也具備較強的對抗性，可以應對簡單的勒索以及特定類型的網頁漏洞利用。3.3.3 黑白名單HiSec Endpoint 支持用戶配置白名單和黑名單，服務端檢測時會根據白名單直接放過，根據黑名單直接生成告警信息。同時 Hisec Endpoint 支持基于統計頻繁項的白名單自學習機制，生成的白名單經過服務端匯總合并后，主動推送到各個 Agent，作為過濾基線，降低數據上報量。3.4 威脅檢測3.4.1 靜態檢測3.4.1.1 下一代 AV 檢測HiSec Endpoint集成下一代AV病毒檢測引擎CDE(Content

60、Detection Engine)，支持防護包括勒索、挖礦、木馬、僵尸、隱蔽通道、漏洞利用、蠕蟲、病毒、黑客工具、灰色軟件、惡意廣告等各類惡意家族病毒。當客戶終端被攻擊下載病毒文件，在終端落盤或運行時，病毒檢測引擎會對病毒進行實時的防護。病毒檢測引擎主要由文件類型識別、內容深度分析以及病毒掃描引擎組成，主要原理如下圖所示。圖 3-3 病毒檢測引擎組成1415版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能各模塊的主要功能是：一、文件類型識別：支持精準識別上百種文件類型文件類型識別模塊通過分析文件內容實現對海量文件的文

61、件類型的精準分類。文件類型識別模塊擁有以下三大能力：1.識別速度快：CDE 集成了專用的文件類型識別算法，可以快速、精確地識別上百種文件類型。2.識別范圍多：CDE 支持各類常見的文件類型，包括 PE、ELF、APK、PDF、HTML、JS、WEBSHELL、LNK、BASH 和各類 OFFICE 等文件類型。3.識別結果準：CDE 會對文件的真實內容進行檢測，即使攻擊者對文件后綴或內容進行仿冒，CDE 也能精準識別實際的文件類型，防止惡意文件逃逸檢測。二、內容深度解析：支持對惡意文件的深度分析內容深度分析模塊負責對二進制文件、復合文檔和各類腳本文件進行分析，識別潛藏的惡意信息，為檢測模塊提供

62、完整的內容信息。內容深度分析精準的識別能力離不開強大的語義分析能力和動態引擎的加持：1.內容深度檢測：針對各類復雜文件中可能潛藏的病毒，CDE通過各類復雜文件進行了全面、扎實、深度的解析，能夠識別到隱藏在原始文件中的惡意信息。即使攻擊者通過深層混合壓縮或者復合文檔附件等手段隱藏病毒，在 CDE 的檢測下都無所遁形。2.語義分析能力：CDE 通過對腳本進行詞法、語義分析，精準還原腳本病毒簡化的原始語義內容，檢測傳統內容檢測技術無法檢測的腳本病毒。三、病毒掃描引擎：支持強大的病毒檢測能力病毒檢測引擎負責檢測文件中是否存在惡意代碼，通過 MDL 檢測引擎、神經網絡引擎 AI 引擎和云端智能中心的加持

63、，實現使用少量資源即可精準覆蓋海量病毒變種的檢測，具體如下：1.MDL 檢測引擎：CDE 使用了華為獨有積累多年的 MDL 可編程病毒檢測語言，通過豐富、靈活的病毒檢測語法，配套專用病毒語言編譯器，編譯生成高性能病毒庫，使用更少的內存對各類病毒變種進行更高性能的檢測，實現數億級的海量病毒覆蓋。2.啟發式檢測引擎：是基于特征匹配技術上的升級，與傳統反病毒特征檢測技術相比，優點在于對未知病毒的防御。華為的 AV 支持靜態啟發式檢測，通過分析數千萬的惡意程序樣本，提煉出惡意文件的代碼邏輯并進行建模，在靜態分析文件數據時與任意一種建模的代碼邏輯一致即可識別為病毒文件。3.神經網絡 AI 引擎：CDE

64、基于華為領先的輕量化、并行化和自動化的 SiteAI 平臺，通過分析數億級的海量病毒構建了多個專用的病毒檢測 AI 算法。這些病毒檢測 AI 算法實現了對海量已知病毒和未知病毒高性能和高準確率的檢測。CDE 引擎部署在 HiSec Endpoint 中，發揮實際防護能力，除了引擎外，站在背后的是華為的核心云端智能中心，云端智能中心提供最全面的文件安全能力，為客戶側的 CDE 引擎提供了最關鍵的、持續、強力的安全能力支撐，華為病毒分析專家依托智能中心云計算技術構建了完整、可靠、高效的云端安全系統，實時、準確地對抗并分析海量最新病毒，CDE 引擎會實時更新來自云端安全智能中心的最新防病毒能力，及時

65、為客戶防護全網最新流行病毒。3.4.1.2 云查詢云查詢是在用戶本地靜態查殺的基礎上，對于未完全確定的樣本進行服務端威脅信息庫二次查詢，以此增強病毒檢測和響應的技術手段。例如，當用戶本地的病毒特征庫版本較低，本地查殺引擎尚無法確信樣本的危害時，可通過樣本的特征信息去威脅信息庫進行二次確定，以此快速鎖定惡意樣本，更快阻攔新型病毒。當前在服務端和客戶端為用戶提供了功能啟停配置，配置項以服務端配置為優先。3.4.1.3 病毒查殺模式HiSec Endpoint 終端通過自研的 AV 病毒檢測引擎，支持本地用戶與云端管理員多模式的病毒查殺模式，包括快速查殺、全盤查殺、自定義查殺?？焖俨闅ⅲ菏褂孟到y默認

66、的查殺策略對終端執行病毒掃描任務，只檢查基本的系統目錄和指定類型的文件。全盤查殺：對終端全磁盤執行病毒掃描任務，檢查項最多，查殺病毒最徹底。自定義查殺：根據用戶實際需要，使用針對性的查殺策略對終端執行病毒掃描任務,自定義查殺需要配置相應的查殺策略，以滿足精細化的掃描要求。此外本地終端用戶可通過選定部分文件及文件夾，通過右鍵觸發自定義查殺。病毒查殺具有如下兩大特點：高性能：通過病毒查殺高效的緩存和線程池調度技術，實現病毒查殺速度領先，其中二次病毒查殺能力達到分鐘級，資源占用一半以下。資源自適應：在用戶辦公場景下，HiSec Endpoint 盡量做到病毒查殺無感知，不影響用戶正常使用。通過對系統

67、內存、磁盤 IO、CPU 的綜合評估，實現用戶辦公時病毒查殺自動退避，等待空閑階段再繼續病毒查殺工作。3.4.1.3.1 專項查殺專項查殺是一種管理員基于已知高危樣本特征 hash 對終端進行重點查殺的模式。管理員在某臺終端發現惡意樣本后，可以基于惡意樣本的特征向租戶管轄下其他終端下發專項查殺任務，確保相同特征的惡意樣本可以被快速發現并處置，避免惡意樣本的長期潛伏和擴散。管理員可以按需配1415版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能各模塊的主要功能是：一、文件類型識別：支持精準識別上百種文件類型文件類型識別

68、模塊通過分析文件內容實現對海量文件的文件類型的精準分類。文件類型識別模塊擁有以下三大能力：1.識別速度快：CDE 集成了專用的文件類型識別算法，可以快速、精確地識別上百種文件類型。2.識別范圍多：CDE 支持各類常見的文件類型，包括 PE、ELF、APK、PDF、HTML、JS、WEBSHELL、LNK、BASH 和各類 OFFICE 等文件類型。3.識別結果準：CDE 會對文件的真實內容進行檢測，即使攻擊者對文件后綴或內容進行仿冒，CDE 也能精準識別實際的文件類型，防止惡意文件逃逸檢測。二、內容深度解析：支持對惡意文件的深度分析內容深度分析模塊負責對二進制文件、復合文檔和各類腳本文件進行分

69、析，識別潛藏的惡意信息，為檢測模塊提供完整的內容信息。內容深度分析精準的識別能力離不開強大的語義分析能力和動態引擎的加持：1.內容深度檢測：針對各類復雜文件中可能潛藏的病毒，CDE通過各類復雜文件進行了全面、扎實、深度的解析，能夠識別到隱藏在原始文件中的惡意信息。即使攻擊者通過深層混合壓縮或者復合文檔附件等手段隱藏病毒，在 CDE 的檢測下都無所遁形。2.語義分析能力：CDE 通過對腳本進行詞法、語義分析，精準還原腳本病毒簡化的原始語義內容，檢測傳統內容檢測技術無法檢測的腳本病毒。三、病毒掃描引擎：支持強大的病毒檢測能力病毒檢測引擎負責檢測文件中是否存在惡意代碼，通過 MDL 檢測引擎、神經網

70、絡引擎 AI 引擎和云端智能中心的加持，實現使用少量資源即可精準覆蓋海量病毒變種的檢測，具體如下：1.MDL 檢測引擎：CDE 使用了華為獨有積累多年的 MDL 可編程病毒檢測語言，通過豐富、靈活的病毒檢測語法，配套專用病毒語言編譯器，編譯生成高性能病毒庫，使用更少的內存對各類病毒變種進行更高性能的檢測，實現數億級的海量病毒覆蓋。2.啟發式檢測引擎：是基于特征匹配技術上的升級，與傳統反病毒特征檢測技術相比，優點在于對未知病毒的防御。華為的 AV 支持靜態啟發式檢測，通過分析數千萬的惡意程序樣本，提煉出惡意文件的代碼邏輯并進行建模，在靜態分析文件數據時與任意一種建模的代碼邏輯一致即可識別為病毒文

71、件。3.神經網絡 AI 引擎：CDE 基于華為領先的輕量化、并行化和自動化的 SiteAI 平臺，通過分析數億級的海量病毒構建了多個專用的病毒檢測 AI 算法。這些病毒檢測 AI 算法實現了對海量已知病毒和未知病毒高性能和高準確率的檢測。CDE 引擎部署在 HiSec Endpoint 中，發揮實際防護能力，除了引擎外，站在背后的是華為的核心云端智能中心，云端智能中心提供最全面的文件安全能力，為客戶側的 CDE 引擎提供了最關鍵的、持續、強力的安全能力支撐，華為病毒分析專家依托智能中心云計算技術構建了完整、可靠、高效的云端安全系統，實時、準確地對抗并分析海量最新病毒，CDE 引擎會實時更新來自

72、云端安全智能中心的最新防病毒能力，及時為客戶防護全網最新流行病毒。3.4.1.2 云查詢云查詢是在用戶本地靜態查殺的基礎上，對于未完全確定的樣本進行服務端威脅信息庫二次查詢，以此增強病毒檢測和響應的技術手段。例如，當用戶本地的病毒特征庫版本較低，本地查殺引擎尚無法確信樣本的危害時，可通過樣本的特征信息去威脅信息庫進行二次確定，以此快速鎖定惡意樣本，更快阻攔新型病毒。當前在服務端和客戶端為用戶提供了功能啟停配置，配置項以服務端配置為優先。3.4.1.3 病毒查殺模式HiSec Endpoint 終端通過自研的 AV 病毒檢測引擎，支持本地用戶與云端管理員多模式的病毒查殺模式，包括快速查殺、全盤查

73、殺、自定義查殺?？焖俨闅ⅲ菏褂孟到y默認的查殺策略對終端執行病毒掃描任務，只檢查基本的系統目錄和指定類型的文件。全盤查殺：對終端全磁盤執行病毒掃描任務，檢查項最多，查殺病毒最徹底。自定義查殺：根據用戶實際需要，使用針對性的查殺策略對終端執行病毒掃描任務,自定義查殺需要配置相應的查殺策略，以滿足精細化的掃描要求。此外本地終端用戶可通過選定部分文件及文件夾，通過右鍵觸發自定義查殺。病毒查殺具有如下兩大特點：高性能：通過病毒查殺高效的緩存和線程池調度技術，實現病毒查殺速度領先，其中二次病毒查殺能力達到分鐘級，資源占用一半以下。資源自適應：在用戶辦公場景下，HiSec Endpoint 盡量做到病毒查殺

74、無感知，不影響用戶正常使用。通過對系統內存、磁盤 IO、CPU 的綜合評估，實現用戶辦公時病毒查殺自動退避，等待空閑階段再繼續病毒查殺工作。3.4.1.3.1 專項查殺專項查殺是一種管理員基于已知高危樣本特征 hash 對終端進行重點查殺的模式。管理員在某臺終端發現惡意樣本后，可以基于惡意樣本的特征向租戶管轄下其他終端下發專項查殺任務，確保相同特征的惡意樣本可以被快速發現并處置，避免惡意樣本的長期潛伏和擴散。管理員可以按需配1617版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能置專項查殺的策略，并選擇終端進行下發，

75、遇到相同特征的樣本將自動發現并處置。3.4.1.4 U 盤掃描U 盤防護通過實時監控系統 USB 設備的插入拔出，對未知的 USB 設備加入進行高效的病毒掃描，并對其中高危的病毒進行安全處置。設備插入后，將基于 USB 防護配置進行安全掃描，掃描過程中也將實時顯示掃描的進度信息。遇到高危的病毒將按照策略進行自動隔離。設備拔出后，將自動跟隨退出3.4.2 爆破檢測暴力破解是一種通過反復試驗來破解密碼、登錄憑據和加密密鑰的黑客方法。這是一種簡單而可靠的策略，可用于未經授權訪問個人帳戶以及組織的系統和網絡。HiSec Endpoint 基于采集到的原始登錄日志和 HIPS 引擎提供的統計檢測能力，登

76、錄服務包括不限于SSH、TELNET、RDP 等，對短時間內，大量次數的登錄失敗上報遭受暴力破解事件，同時監控是否暴力破解成功。HiSec Endpoint 可對異常登錄狀態實現實時監控，并精確檢測暴力破解事件上報告警。3.4.3 漏洞檢測企業 IT 環境漏洞從大類上可分為應用程序漏洞、操作系統遠程 RCE 漏洞和提權漏洞。漏洞往往是攻擊者入侵的初始路徑,由于系統的復雜性和動態環境，導致新漏洞不斷出現且難以識別，檢測難度極大。攻擊者的隱蔽性和技術演進，使得傳統檢測工具面臨誤報和漏報的挑戰。HiSec Endpoint 針對終端側漏洞建立了完整的防御體系。在應用程序漏洞上，從宏觀層面學習重要應用

77、的行為，以檢測偏離基線的可疑漏洞利用；微觀層面上使用基于棧序列的異常檢測，檢測函數級別的可疑偏離，實現檢測已知和 0-Day 應用程序漏洞的目的。針對提權漏洞，監控 UAC、管道、令牌等關鍵路徑，精確識別進程權限變化并告警。在內核層檢測遠程操作系統 RCE 漏洞，可實時阻攔漏洞利用,防止類似 Wannacry 之類的勒索病毒利用遠程漏洞快速傳播，造成企業基礎設施不可用。針對漏洞利用，HiSec Endpoint 提供以下五個層面的縱深防御。3.4.3.1 應用程序漏洞檢測HiSec Endpoint 團隊基于現網流行漏洞利用的案例分析，針對常用攻擊手法進行重點監控，如啟動可疑下載進程，釋放可疑

78、文件，執行無文件攻擊?；谧匝袃却鎴D溯源引擎檢測單跳和多跳可疑漏洞攻擊，可鎖定攻擊入口并支持實時阻斷，覆蓋 Microsoft，Cisco，Adobe，Google，Oracle，Apache，VMware，Mozilla，Citrix，Atlassian，常見 OA 系統以及系統關鍵服務等重要應用程序。HiSec Endpoint 在漏洞攻擊初期迅速感知并阻斷可疑行為，避免真實攻擊意圖動作展開，造成不可挽回的損失，對于未知漏洞檢測具有較好的感覺和防護效果，可有效保障企業和組織的終端免受 0-Day 漏洞的攻擊威脅。3.4.3.2 基于白基線檢測0-Day漏洞是指尚未被公開或修補的漏洞。近幾年

79、來0-Day漏洞數量不斷增加，攻擊者經常使用0-Day漏洞來執行惡意代碼、竊取敏感信息或控制受害者的計算機系統，而不被發現。0-Day 漏洞攻擊難以檢測和防范，對于國家基礎設施和企業來說都是一個嚴峻的挑戰。HiSec Endpoint 針對 0-Day 漏洞攻擊構建了白基線防護策略，對于容易被漏洞利用的應用如瀏覽器，office，Adobe 以及系統進程等，學習其正常運行時的行為特點，進行特征畫像。當監控到行為不符合正常特征畫像時，上報告警，并結合其他可疑信息研判攻擊的真實性，實時溯源被漏洞利用的程序，并完成處置動作。部署 HiSec Endpoint 后，系統可以準確地捕捉 0-Day 漏洞

80、攻擊初期的可疑行為，并自動結合其他可疑行為聯合研判漏洞攻擊，顯著降低誤報，確認攻擊后完成處置和事件上報，使得組織免疫漏洞攻擊。3.4.3.3 基于?；厮莸臋z測調用棧能夠清晰反映程序的執行過程，還原 API 調用序列及其上下文。通過識別異常的調用序列，華為HiSec Endpoint 能夠在漏洞利用早期及時發現攻擊行為。華為 HiSec Endpoint 在漏洞利用必經之路監控關鍵系統行為，采集調用棧序列，基于棧序列相似度識別異常行為棧?；跅；厮莸穆┒蠢脵z測方案能有效覆蓋緩沖區溢出、堆溢出、ROP 等漏洞類型。（Return-Oriented Programming，返回導向編程，在棧緩沖區

81、溢出的基礎上，通過利用程序中已有的小片段(gadgets)來改變某些寄存器或者變量的值，從而控制程序的執行流程）3.4.3.4 提權威脅檢測Windows 上的 LPE（Local Privilege Escalation，本地特權提升）是指攻擊者利用操作系統或應用程序中的漏洞，提升自身權限的一種手段，一旦成功，攻擊者可以執行任意系統命令、安裝惡意軟件、竊取敏感信息等，對系統安全構成嚴重威脅。LPE 技術主要分為如下 7 種類型，其中用戶賬戶控制（UAC）是最為常見的 LPE 技術。1617版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技

82、術有限公司03核心功能置專項查殺的策略，并選擇終端進行下發，遇到相同特征的樣本將自動發現并處置。3.4.1.4 U 盤掃描U 盤防護通過實時監控系統 USB 設備的插入拔出，對未知的 USB 設備加入進行高效的病毒掃描，并對其中高危的病毒進行安全處置。設備插入后，將基于 USB 防護配置進行安全掃描，掃描過程中也將實時顯示掃描的進度信息。遇到高危的病毒將按照策略進行自動隔離。設備拔出后，將自動跟隨退出3.4.2 爆破檢測暴力破解是一種通過反復試驗來破解密碼、登錄憑據和加密密鑰的黑客方法。這是一種簡單而可靠的策略，可用于未經授權訪問個人帳戶以及組織的系統和網絡。HiSec Endpoint 基于

83、采集到的原始登錄日志和 HIPS 引擎提供的統計檢測能力，登錄服務包括不限于SSH、TELNET、RDP 等，對短時間內，大量次數的登錄失敗上報遭受暴力破解事件，同時監控是否暴力破解成功。HiSec Endpoint 可對異常登錄狀態實現實時監控，并精確檢測暴力破解事件上報告警。3.4.3 漏洞檢測企業 IT 環境漏洞從大類上可分為應用程序漏洞、操作系統遠程 RCE 漏洞和提權漏洞。漏洞往往是攻擊者入侵的初始路徑,由于系統的復雜性和動態環境，導致新漏洞不斷出現且難以識別，檢測難度極大。攻擊者的隱蔽性和技術演進，使得傳統檢測工具面臨誤報和漏報的挑戰。HiSec Endpoint 針對終端側漏洞建

84、立了完整的防御體系。在應用程序漏洞上，從宏觀層面學習重要應用的行為，以檢測偏離基線的可疑漏洞利用；微觀層面上使用基于棧序列的異常檢測，檢測函數級別的可疑偏離，實現檢測已知和 0-Day 應用程序漏洞的目的。針對提權漏洞，監控 UAC、管道、令牌等關鍵路徑，精確識別進程權限變化并告警。在內核層檢測遠程操作系統 RCE 漏洞，可實時阻攔漏洞利用,防止類似 Wannacry 之類的勒索病毒利用遠程漏洞快速傳播，造成企業基礎設施不可用。針對漏洞利用，HiSec Endpoint 提供以下五個層面的縱深防御。3.4.3.1 應用程序漏洞檢測HiSec Endpoint 團隊基于現網流行漏洞利用的案例分析

85、，針對常用攻擊手法進行重點監控，如啟動可疑下載進程，釋放可疑文件，執行無文件攻擊?；谧匝袃却鎴D溯源引擎檢測單跳和多跳可疑漏洞攻擊，可鎖定攻擊入口并支持實時阻斷，覆蓋 Microsoft，Cisco，Adobe，Google，Oracle，Apache，VMware，Mozilla，Citrix，Atlassian，常見 OA 系統以及系統關鍵服務等重要應用程序。HiSec Endpoint 在漏洞攻擊初期迅速感知并阻斷可疑行為，避免真實攻擊意圖動作展開，造成不可挽回的損失，對于未知漏洞檢測具有較好的感覺和防護效果，可有效保障企業和組織的終端免受 0-Day 漏洞的攻擊威脅。3.4.3.2 基

86、于白基線檢測0-Day漏洞是指尚未被公開或修補的漏洞。近幾年來0-Day漏洞數量不斷增加，攻擊者經常使用0-Day漏洞來執行惡意代碼、竊取敏感信息或控制受害者的計算機系統，而不被發現。0-Day 漏洞攻擊難以檢測和防范，對于國家基礎設施和企業來說都是一個嚴峻的挑戰。HiSec Endpoint 針對 0-Day 漏洞攻擊構建了白基線防護策略，對于容易被漏洞利用的應用如瀏覽器，office，Adobe 以及系統進程等，學習其正常運行時的行為特點，進行特征畫像。當監控到行為不符合正常特征畫像時，上報告警，并結合其他可疑信息研判攻擊的真實性，實時溯源被漏洞利用的程序，并完成處置動作。部署 HiSec

87、 Endpoint 后，系統可以準確地捕捉 0-Day 漏洞攻擊初期的可疑行為，并自動結合其他可疑行為聯合研判漏洞攻擊，顯著降低誤報，確認攻擊后完成處置和事件上報，使得組織免疫漏洞攻擊。3.4.3.3 基于?；厮莸臋z測調用棧能夠清晰反映程序的執行過程，還原 API 調用序列及其上下文。通過識別異常的調用序列，華為HiSec Endpoint 能夠在漏洞利用早期及時發現攻擊行為。華為 HiSec Endpoint 在漏洞利用必經之路監控關鍵系統行為，采集調用棧序列，基于棧序列相似度識別異常行為棧?；跅；厮莸穆┒蠢脵z測方案能有效覆蓋緩沖區溢出、堆溢出、ROP 等漏洞類型。（Return-Ori

88、ented Programming，返回導向編程，在棧緩沖區溢出的基礎上，通過利用程序中已有的小片段(gadgets)來改變某些寄存器或者變量的值，從而控制程序的執行流程）3.4.3.4 提權威脅檢測Windows 上的 LPE（Local Privilege Escalation，本地特權提升）是指攻擊者利用操作系統或應用程序中的漏洞，提升自身權限的一種手段，一旦成功，攻擊者可以執行任意系統命令、安裝惡意軟件、竊取敏感信息等，對系統安全構成嚴重威脅。LPE 技術主要分為如下 7 種類型，其中用戶賬戶控制（UAC）是最為常見的 LPE 技術。1819版權所有 華為技術有限公司華為 HiSec

89、Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能圖 3-4 LPE 技術類型HiSec Endpoint Agent 通過實時監測終端活動、收集關鍵數據、進行深度行為分析，能夠精準識別并快速響應潛在的本地提權攻擊，有效遏制威脅擴散，保護企業核心資產不受損害。尤其是針對 UAC 繞過的提權攻擊，例如“Bypassuac_windows_store_reg”漏洞系列和“Bypassuac_sdclt”漏洞系列。3.4.3.5 內核態漏洞攔截HiSec Endpoint 可在內核層監控，實時截獲細粒度指令流,及時阻斷遠程 RCE 漏洞如永恒之藍，永恒之黑，遠程 RD

90、P 漏洞等。確保用戶系統不遭受類似 wannacry 利用操作系統 RCE 漏洞進行快速傳播的嚴重威脅。3.4.4 釣魚木馬檢測釣魚木馬是一種常見的惡意軟件，在高級持續性威脅（APT）攻擊和國家護網對抗中被廣泛使用。通過誘騙用戶點擊執行惡意文件，釣魚木馬實現竊取敏感信息或控制受感染設備的目的。釣魚木馬對個人用戶和大型組織的安全構成了嚴重威脅。在文件格式方面，釣魚樣本常偽裝為常見文件格式誘騙用戶點擊執行。其中，PE 文件數量最多，同時近年來 lnk 快捷方式文件明顯增多。PE 釣魚木馬檢測HiSec Endpoint 基于機器學習算法和圖像處理技術檢測 PE 釣魚木馬的關鍵特征，能夠有效解決現有

91、釣魚檢測方法準確性低，誤報率高的問題。lnk 快捷方式檢測快捷方式通常偽裝成合法的可執行文件或 PDF 文件，誘使毫無戒心的用戶點擊，最終導致其系統或網絡受到損害。針對快捷方式釣魚木馬的特點，HiSec Endpoint 利用圖像處理技術，結合快捷方式的屬性等方式動態識別惡意快捷方式。針對現有釣魚木馬檢測技術的局限性，HiSec Endpoint 能有效提高釣魚木馬檢測的精確率和召回率。通過對釣魚木馬的特征進行深入分析，結合機器學習算法和圖像處理技術，HiSec Endpoint 能夠有效識別和阻止釣魚木馬的傳播。3.4.5 無文件攻擊檢測近年來無文件和基于內存的攻擊顯著攀升。據統計，2022

92、 年無文件攻擊的增長速度超過 900%。無文件攻擊不代表真的沒有文件，是一種攻擊策略,其出發點是避免將真正的惡意代碼放在磁盤上,以逃避安全檢測。無文件也不代表攻擊全程無文件，部分采用了基于內存的攻擊。無文件攻擊給傳統安全軟件的檢測帶來了極大的挑戰，特別是靜態檢測引擎，用于掃描的文件惡意代碼成分少，真正的惡意部分直接在內存中執行。無文件攻擊主要分為以下三類：1.利用系統合法工具無文件威脅通常不在硬盤上留下可識別的文件，而是利用系統內存、注冊表或其他合法的系統工具（如Powershell、WMI 等）進行攻擊。這使得傳統的基于文件的檢測方法無效。2.篡改合法進程攻擊者常常采用注入，或進程挖空修改操

93、作系統自帶的合法工具（如記事本、svchost 等）內存，替換和執行惡意代碼。由于工具本身是合法的，因此很難被安全軟件識別。3.惡意代碼外置攻擊者常常不在文件層面存放惡意代碼,真正的惡意代碼放在網絡上黑客控制的服務器中，或者存放于本地的加密文件中。運行時利用 shellcode 從網絡下載或者讀取本地文件解密后直接內存執行。HiSec Endpoint 產品使用以下關鍵技術檢測無文件威脅：1.腳本基線和基于 AMSI 的檢測學習腳本宿主如 wscript,jscript,Powershell 的行為基準，發生高度疑似系統破壞行為時，即時終止惡意腳本.還可以利用 AMSI 技術實時獲取解密后的內

94、容供殺毒引擎檢測。2.實時進程行為檢測在內核層和應用態關鍵函數上打點，檢測各種進程注入技術，如遠程線程，APC 注入,線程上下文修改，遠程挖礦，反射 DLL 注入。3.深度內存分析1819版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能圖 3-4 LPE 技術類型HiSec Endpoint Agent 通過實時監測終端活動、收集關鍵數據、進行深度行為分析，能夠精準識別并快速響應潛在的本地提權攻擊，有效遏制威脅擴散，保護企業核心資產不受損害。尤其是針對 UAC 繞過的提權攻擊，例如“Bypassuac_windows

95、_store_reg”漏洞系列和“Bypassuac_sdclt”漏洞系列。3.4.3.5 內核態漏洞攔截HiSec Endpoint 可在內核層監控，實時截獲細粒度指令流,及時阻斷遠程 RCE 漏洞如永恒之藍，永恒之黑，遠程 RDP 漏洞等。確保用戶系統不遭受類似 wannacry 利用操作系統 RCE 漏洞進行快速傳播的嚴重威脅。3.4.4 釣魚木馬檢測釣魚木馬是一種常見的惡意軟件，在高級持續性威脅（APT）攻擊和國家護網對抗中被廣泛使用。通過誘騙用戶點擊執行惡意文件，釣魚木馬實現竊取敏感信息或控制受感染設備的目的。釣魚木馬對個人用戶和大型組織的安全構成了嚴重威脅。在文件格式方面，釣魚樣本

96、常偽裝為常見文件格式誘騙用戶點擊執行。其中，PE 文件數量最多，同時近年來 lnk 快捷方式文件明顯增多。PE 釣魚木馬檢測HiSec Endpoint 基于機器學習算法和圖像處理技術檢測 PE 釣魚木馬的關鍵特征，能夠有效解決現有釣魚檢測方法準確性低，誤報率高的問題。lnk 快捷方式檢測快捷方式通常偽裝成合法的可執行文件或 PDF 文件，誘使毫無戒心的用戶點擊，最終導致其系統或網絡受到損害。針對快捷方式釣魚木馬的特點，HiSec Endpoint 利用圖像處理技術，結合快捷方式的屬性等方式動態識別惡意快捷方式。針對現有釣魚木馬檢測技術的局限性，HiSec Endpoint 能有效提高釣魚木馬

97、檢測的精確率和召回率。通過對釣魚木馬的特征進行深入分析，結合機器學習算法和圖像處理技術，HiSec Endpoint 能夠有效識別和阻止釣魚木馬的傳播。3.4.5 無文件攻擊檢測近年來無文件和基于內存的攻擊顯著攀升。據統計，2022 年無文件攻擊的增長速度超過 900%。無文件攻擊不代表真的沒有文件，是一種攻擊策略,其出發點是避免將真正的惡意代碼放在磁盤上,以逃避安全檢測。無文件也不代表攻擊全程無文件，部分采用了基于內存的攻擊。無文件攻擊給傳統安全軟件的檢測帶來了極大的挑戰，特別是靜態檢測引擎，用于掃描的文件惡意代碼成分少，真正的惡意部分直接在內存中執行。無文件攻擊主要分為以下三類：1.利用系

98、統合法工具無文件威脅通常不在硬盤上留下可識別的文件，而是利用系統內存、注冊表或其他合法的系統工具（如Powershell、WMI 等）進行攻擊。這使得傳統的基于文件的檢測方法無效。2.篡改合法進程攻擊者常常采用注入，或進程挖空修改操作系統自帶的合法工具（如記事本、svchost 等）內存，替換和執行惡意代碼。由于工具本身是合法的，因此很難被安全軟件識別。3.惡意代碼外置攻擊者常常不在文件層面存放惡意代碼,真正的惡意代碼放在網絡上黑客控制的服務器中，或者存放于本地的加密文件中。運行時利用 shellcode 從網絡下載或者讀取本地文件解密后直接內存執行。HiSec Endpoint 產品使用以下

99、關鍵技術檢測無文件威脅：1.腳本基線和基于 AMSI 的檢測學習腳本宿主如 wscript,jscript,Powershell 的行為基準，發生高度疑似系統破壞行為時，即時終止惡意腳本.還可以利用 AMSI 技術實時獲取解密后的內容供殺毒引擎檢測。2.實時進程行為檢測在內核層和應用態關鍵函數上打點，檢測各種進程注入技術，如遠程線程，APC 注入,線程上下文修改，遠程挖礦，反射 DLL 注入。3.深度內存分析2021版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能斬斷無文件威脅進入內存的關鍵路徑 shellcode,

100、基于內存陷阱技術實時抓取黑客的控制服務器。即使有漏網之魚,還有深度內存掃描兜底，可快速掃描程序惡意內存塊，精確識別惡意程序家族。3.4.5.1 腳本檢測3.4.5.1.1 Powershell 檢測Powershell 是一種 Windows 系統的原生工具。據 splunk 2023 報告指出，在野利用的 TOP 20 ATT&CK 攻擊技術中，Powershell 命令和腳本解釋器武器化攻擊技術占比第一。Powershell 是無文件攻擊的首選工具，包括命令行混淆、防御方難以檢測，因此很多攻擊工具包中都集成了 Powershell 攻擊技術，包括 Empire、PoShC2、PowerSp

101、loit、Cobalt Strike 等。Powershell 在攻擊鏈條中一般處于比較靠前的位置，因此對 Powershell 攻擊進行精準檢測，提前阻斷后續惡意行為至關重要。HiSec Endpoint 基于大量樣本分析，獲取 Powershell 命令行的攻擊語義，從信息收集、腳本執行、防御逃避、橫向移動等八大場景中還原 100+Powershell 相關的檢測規則；同時，靜態分析出 Powershell 腳本中常見的單點惡意行為，以及 Powershell 腳本惡意行為序列，刻畫出Powershell 腳本攻擊檢測模型。Powershell 目前覆蓋的檢測打點維度見下圖。圖 3-5 P

102、owershell 打點維度3.4.5.1.2 基于 AMSI 的腳本檢測一般靜態檢測覆蓋僅 70%的 Powershell 腳本。攻擊者為繞過靜態簽名，90%腳本會做加密、混淆，或直接在內存中解密執行，給傳統 AV 檢測帶來極大挑戰。AMSI 是微軟公開的接口，在 HiSec Endpoint 中集成該框架后，會在腳本執行期間對混淆的腳本內容進行解混淆，并實時將解混淆后的腳本明文內容發送給 CDE 掃描；并將 Powershell 控制臺中輸入的(混淆/解混淆)命令行送給行為檢測引擎，阻斷惡意的內容或命令行?；?AMSI 的解混淆能力，會大幅的提升 Powershell、js 等腳本和 P

103、owershell 命令行的檢出率。圖 3-6 基于 AMSI 的腳本檢測3.4.5.2 WMI 檢測WMI(Windows Management Instrumentation)是 Windows 的管理工具，用于在 Windows 操作系統中管理和監控計算機系統、應用程序和網絡資源，并且觸發警報或執行相應的操作。黑客可以利用這些功能做持久化的無文件攻擊，因此，安全軟件需要對于一些可能應用于攻擊的 WMI 事件進行監控、處置。惡意的 WMI 使用者程序可以創建有惡意的 WMI 使用者實例，訂閱 WMI 托管服務的事件，通過這些事件觸發 WMI 執行其惡意的命令，或惡意腳本，通過內存數據寫入其

104、創建的 WMI 使用者實例，以此達到無文件攻擊的目的。HiSec Endpoint 監控 WMI 相關信息來檢測是否有惡意的 WMI 使用行為，對于有惡意的 WMI 使用者程序進行處置，并且刪除其創建的 WMI 使用者實例。3.4.5.3 注入檢測進程注入是一種廣泛應用于惡意軟件和無文件攻擊中的逃避技術，這意味著可以將自定義代碼運行在另一個合法進程的地址空間內。進程注入提高了隱蔽性，也實現了持久化。HiSec Endpoint 通過將進程注入劃分為確定目標進程、準備注入數據、寫入目標進程、執行注入數據等四個階段，并在各個階段進行關鍵行為打點，檢測異常 API 調用行為，最終通過關聯分析產生高置

105、信度告警。HiSec Endpoint 能夠高效檢測并處置包括遠程線程注入、DLL 注入、APC 注入、進程鏤空、線程劫持等多種常用注入手法，覆蓋包括 process-inject、s-inject 等典型開源注入工具。3.4.5.4 shellcode 檢測HiSec Endpoint 團隊在實際運營中發現，利用 shellcode 技術的遠控木馬已經成為現網中的最大危害，2021版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能斬斷無文件威脅進入內存的關鍵路徑 shellcode,基于內存陷阱技術實時抓取黑客的控制

106、服務器。即使有漏網之魚,還有深度內存掃描兜底，可快速掃描程序惡意內存塊，精確識別惡意程序家族。3.4.5.1 腳本檢測3.4.5.1.1 Powershell 檢測Powershell 是一種 Windows 系統的原生工具。據 splunk 2023 報告指出，在野利用的 TOP 20 ATT&CK 攻擊技術中，Powershell 命令和腳本解釋器武器化攻擊技術占比第一。Powershell 是無文件攻擊的首選工具，包括命令行混淆、防御方難以檢測，因此很多攻擊工具包中都集成了 Powershell 攻擊技術，包括 Empire、PoShC2、PowerSploit、Cobalt Strik

107、e 等。Powershell 在攻擊鏈條中一般處于比較靠前的位置，因此對 Powershell 攻擊進行精準檢測，提前阻斷后續惡意行為至關重要。HiSec Endpoint 基于大量樣本分析，獲取 Powershell 命令行的攻擊語義，從信息收集、腳本執行、防御逃避、橫向移動等八大場景中還原 100+Powershell 相關的檢測規則；同時，靜態分析出 Powershell 腳本中常見的單點惡意行為，以及 Powershell 腳本惡意行為序列，刻畫出Powershell 腳本攻擊檢測模型。Powershell 目前覆蓋的檢測打點維度見下圖。圖 3-5 Powershell 打點維度3.4

108、.5.1.2 基于 AMSI 的腳本檢測一般靜態檢測覆蓋僅 70%的 Powershell 腳本。攻擊者為繞過靜態簽名，90%腳本會做加密、混淆，或直接在內存中解密執行，給傳統 AV 檢測帶來極大挑戰。AMSI 是微軟公開的接口，在 HiSec Endpoint 中集成該框架后，會在腳本執行期間對混淆的腳本內容進行解混淆，并實時將解混淆后的腳本明文內容發送給 CDE 掃描；并將 Powershell 控制臺中輸入的(混淆/解混淆)命令行送給行為檢測引擎，阻斷惡意的內容或命令行?；?AMSI 的解混淆能力，會大幅的提升 Powershell、js 等腳本和 Powershell 命令行的檢出率

109、。圖 3-6 基于 AMSI 的腳本檢測3.4.5.2 WMI 檢測WMI(Windows Management Instrumentation)是 Windows 的管理工具，用于在 Windows 操作系統中管理和監控計算機系統、應用程序和網絡資源，并且觸發警報或執行相應的操作。黑客可以利用這些功能做持久化的無文件攻擊，因此，安全軟件需要對于一些可能應用于攻擊的 WMI 事件進行監控、處置。惡意的 WMI 使用者程序可以創建有惡意的 WMI 使用者實例，訂閱 WMI 托管服務的事件，通過這些事件觸發 WMI 執行其惡意的命令，或惡意腳本，通過內存數據寫入其創建的 WMI 使用者實例，以此達

110、到無文件攻擊的目的。HiSec Endpoint 監控 WMI 相關信息來檢測是否有惡意的 WMI 使用行為，對于有惡意的 WMI 使用者程序進行處置，并且刪除其創建的 WMI 使用者實例。3.4.5.3 注入檢測進程注入是一種廣泛應用于惡意軟件和無文件攻擊中的逃避技術，這意味著可以將自定義代碼運行在另一個合法進程的地址空間內。進程注入提高了隱蔽性，也實現了持久化。HiSec Endpoint 通過將進程注入劃分為確定目標進程、準備注入數據、寫入目標進程、執行注入數據等四個階段，并在各個階段進行關鍵行為打點，檢測異常 API 調用行為，最終通過關聯分析產生高置信度告警。HiSec Endpoi

111、nt 能夠高效檢測并處置包括遠程線程注入、DLL 注入、APC 注入、進程鏤空、線程劫持等多種常用注入手法，覆蓋包括 process-inject、s-inject 等典型開源注入工具。3.4.5.4 shellcode 檢測HiSec Endpoint 團隊在實際運營中發現，利用 shellcode 技術的遠控木馬已經成為現網中的最大危害，2223版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能不僅數量龐大，攻擊手段極多。例如，有黑產組織通過搜索引擎推廣假的 Telegram,Chrome,Firefox 安裝包,

112、隨后釋放白加黑木馬，控制用戶電腦。還有利用 CobaltStrike,Sliver,Brute Ratel C4 等商業遠控家族生成加密 shellcode,再使用一些新興語言如 Rust,Go 等包裹。這種方式制造的遠控木馬惡意代碼比例低，而白函數成分高,具有極強的對抗殺毒軟件靜動態檢測能力。據權威測試組織統計,知名殺毒軟件的初始攔截率只有 30%,有 70%的木馬都會繞過防護并遠控用戶主機。同時攻擊組織常常利用迷惑性很強的釣魚郵件攜帶這種特種木馬,用戶打開后執行,給組織的價值數據和資產帶來損失。針對上述流行的高級威脅攻擊方式，HiSec Endpoint 構筑了多層檢測防護體系。首先，記錄

113、惡意程序的關鍵行為序列，結合異常識別算法，精準識別白加黑威脅。其次，在進入內存的關鍵路徑上，HiSec Endpoint 能智能將無文件高級威脅扼殺于攻擊起始點。最后，即使有萬分之一的概率木馬繞過了上述檢測，HiSec Endpoint 的深度系統監測模塊還可以對進程做全面分析，高效識別模塊挖空、反射注入、遠程線程、系統關鍵白進程利用等高級內存攻擊場景。此外，HiSec Endpoint 還能從惡意樣本中提取攻擊組織關鍵基礎設施信息，與云端威脅信息聯動獲取攻擊組織信息，輔助用戶取證和定位。圖 3-7 shellcode 檢測流程3.4.5.5 內存掃描現代惡意軟件往往會為了繞過殺毒軟件使用加殼

114、，混淆，加密等方式在靜態文件層面隱藏攻擊意圖，在執行時再動態解密或從網上下載真正的惡意載荷，進而在內存中解密執行。如在護網場景中常見的MeterPreter,CobaltStrike 家族，以及新興的 Sliver 及 Brute Ratel 商業遠控。使用純靜態檢測方式會存在極大困難。HiSec Endpoint 提供深度內存掃描，可以對計算機內存中的數據進行實時分析和監控，以識別潛在的無文件威脅。與傳統的基于文件的掃描不同，內存掃描不依賴于文件系統中的可執行文件或文檔，而是直接檢查內存中的進程、線程和數據結構。這種方法能夠及時發現那些在內存中運行的惡意代碼，即使它們沒有在硬盤上留下任何痕跡

115、。3.4.6 逃逸檢測EDR Hooking 是 EDR 實現對各種惡意軟件行為進行檢測的重要手段，隨著 EDR 在安全防護中越來越重要，越來越多的攻擊者嘗試通過繞過 EDR Hooking 的檢測實現逃逸，以達到攻擊目的。一旦被繞過，EDR 將無法檢測惡意軟件行為活動。針對 EDR Hooking 的逃逸技術主要有直接系統調用和間接系統調用技術，其攻擊方式都是通過注入代碼指令改變系統調用執行路徑，從而繞過 EDR Hooking 的檢測，實現攻擊目的。HiSec Endpoint 通過內核級別的監控和檢測技術，能夠實時檢測直接系統調用、間接系統調用等各種逃逸行為。HiSec Endpoint

116、 通過逃逸檢測技術實時分析和應對那些突破傳統防病毒軟件的高級威脅，有效識別并阻止逃逸攻擊，保護組織免受未知和復雜威脅的侵害，包括 Magniber Ransomware、Lumma Stealer、FlokiBot 等惡意軟件的逃逸行為。3.4.7 內部發現內部發現是指對內部終端或內網進行可疑或惡意的行為探測、關鍵信息收集等。通常包括域發現、終端關鍵文件/服務/進程/注冊表偵測與篡改、內網掃描等。內部發現有時會被用以內網信息收集、漏洞識別、惡意軟件傳播等惡意目的。因此精確識別內部發現有助于在攻擊鏈條的第一階段提前控制風險，守護終端安全。HiSec Endpoint 通過實時監控用戶和網絡行為來

117、檢測內部發現行為。監控異常網絡活動，如內網掃描中利用工具主動發起的端口掃描、IP 掃描，被動的端口掃描等。監控異常用戶行為，如域信息的偵測，包括偵測系統賬戶列表、系統軟硬件詳細信息、關鍵應用版本信息、關鍵文件/服務/進程/注冊表偵測與篡改、遠程系統關鍵信息偵測等；嘗試使用掃描工具對內部網絡進行系統性掃描，以識別網絡中的設備、服務、開放端口和操作系統等信息，或進行內網穿透/代理等。內部發現檢測可有效守護終端安全，避免終端和服務器關鍵信息泄露，確保及時發現和止損。3.4.8 橫向移動檢測橫向移動是攻擊者從入口點傳播到網絡其余部分的過程。攻擊者利用橫向移動來以被攻陷的系統為跳板，感染多臺設備和多個帳

118、戶，維持對整個網絡的持續訪問，并獲得更多訪問敏感數據的權限。HiSec Endpoint通過實時監控用戶和網絡行為來檢測橫向移動，通過關聯分析精確識別攻擊者入侵路徑，定位網絡脆弱點，實現快速快速響應和精準溯源?？筛采w遠程服務的利用、內部魚叉式釣魚、橫向工具轉移、遠程服務會話劫持、遠程服務（RDP、DCOM、WinRs、SSH 等）、通過可移動介質進行復制、哈希傳遞攻擊等 ATT&CK 矩陣典型常用戰術。同時可支持對 frp、fscan、hydra 等多種常用橫移工具的檢測。橫向移動檢測可有效守護內網安全，避免大規模資產受損，通過繪制橫向移動路徑可實現精準溯源。2223版權所有 華為技術有限公司

119、華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能不僅數量龐大，攻擊手段極多。例如，有黑產組織通過搜索引擎推廣假的 Telegram,Chrome,Firefox 安裝包,隨后釋放白加黑木馬，控制用戶電腦。還有利用 CobaltStrike,Sliver,Brute Ratel C4 等商業遠控家族生成加密 shellcode,再使用一些新興語言如 Rust,Go 等包裹。這種方式制造的遠控木馬惡意代碼比例低，而白函數成分高,具有極強的對抗殺毒軟件靜動態檢測能力。據權威測試組織統計,知名殺毒軟件的初始攔截率只有 30%,有 70%的木馬都會繞過

120、防護并遠控用戶主機。同時攻擊組織常常利用迷惑性很強的釣魚郵件攜帶這種特種木馬,用戶打開后執行,給組織的價值數據和資產帶來損失。針對上述流行的高級威脅攻擊方式，HiSec Endpoint 構筑了多層檢測防護體系。首先，記錄惡意程序的關鍵行為序列，結合異常識別算法，精準識別白加黑威脅。其次，在進入內存的關鍵路徑上，HiSec Endpoint 能智能將無文件高級威脅扼殺于攻擊起始點。最后，即使有萬分之一的概率木馬繞過了上述檢測，HiSec Endpoint 的深度系統監測模塊還可以對進程做全面分析，高效識別模塊挖空、反射注入、遠程線程、系統關鍵白進程利用等高級內存攻擊場景。此外，HiSec En

121、dpoint 還能從惡意樣本中提取攻擊組織關鍵基礎設施信息，與云端威脅信息聯動獲取攻擊組織信息，輔助用戶取證和定位。圖 3-7 shellcode 檢測流程3.4.5.5 內存掃描現代惡意軟件往往會為了繞過殺毒軟件使用加殼，混淆，加密等方式在靜態文件層面隱藏攻擊意圖，在執行時再動態解密或從網上下載真正的惡意載荷，進而在內存中解密執行。如在護網場景中常見的MeterPreter,CobaltStrike 家族，以及新興的 Sliver 及 Brute Ratel 商業遠控。使用純靜態檢測方式會存在極大困難。HiSec Endpoint 提供深度內存掃描，可以對計算機內存中的數據進行實時分析和監控

122、，以識別潛在的無文件威脅。與傳統的基于文件的掃描不同，內存掃描不依賴于文件系統中的可執行文件或文檔，而是直接檢查內存中的進程、線程和數據結構。這種方法能夠及時發現那些在內存中運行的惡意代碼，即使它們沒有在硬盤上留下任何痕跡。3.4.6 逃逸檢測EDR Hooking 是 EDR 實現對各種惡意軟件行為進行檢測的重要手段，隨著 EDR 在安全防護中越來越重要，越來越多的攻擊者嘗試通過繞過 EDR Hooking 的檢測實現逃逸，以達到攻擊目的。一旦被繞過，EDR 將無法檢測惡意軟件行為活動。針對 EDR Hooking 的逃逸技術主要有直接系統調用和間接系統調用技術，其攻擊方式都是通過注入代碼指

123、令改變系統調用執行路徑，從而繞過 EDR Hooking 的檢測，實現攻擊目的。HiSec Endpoint 通過內核級別的監控和檢測技術，能夠實時檢測直接系統調用、間接系統調用等各種逃逸行為。HiSec Endpoint 通過逃逸檢測技術實時分析和應對那些突破傳統防病毒軟件的高級威脅，有效識別并阻止逃逸攻擊，保護組織免受未知和復雜威脅的侵害，包括 Magniber Ransomware、Lumma Stealer、FlokiBot 等惡意軟件的逃逸行為。3.4.7 內部發現內部發現是指對內部終端或內網進行可疑或惡意的行為探測、關鍵信息收集等。通常包括域發現、終端關鍵文件/服務/進程/注冊表偵

124、測與篡改、內網掃描等。內部發現有時會被用以內網信息收集、漏洞識別、惡意軟件傳播等惡意目的。因此精確識別內部發現有助于在攻擊鏈條的第一階段提前控制風險，守護終端安全。HiSec Endpoint 通過實時監控用戶和網絡行為來檢測內部發現行為。監控異常網絡活動，如內網掃描中利用工具主動發起的端口掃描、IP 掃描，被動的端口掃描等。監控異常用戶行為，如域信息的偵測，包括偵測系統賬戶列表、系統軟硬件詳細信息、關鍵應用版本信息、關鍵文件/服務/進程/注冊表偵測與篡改、遠程系統關鍵信息偵測等；嘗試使用掃描工具對內部網絡進行系統性掃描，以識別網絡中的設備、服務、開放端口和操作系統等信息，或進行內網穿透/代理

125、等。內部發現檢測可有效守護終端安全，避免終端和服務器關鍵信息泄露，確保及時發現和止損。3.4.8 橫向移動檢測橫向移動是攻擊者從入口點傳播到網絡其余部分的過程。攻擊者利用橫向移動來以被攻陷的系統為跳板，感染多臺設備和多個帳戶，維持對整個網絡的持續訪問，并獲得更多訪問敏感數據的權限。HiSec Endpoint通過實時監控用戶和網絡行為來檢測橫向移動，通過關聯分析精確識別攻擊者入侵路徑，定位網絡脆弱點，實現快速快速響應和精準溯源?？筛采w遠程服務的利用、內部魚叉式釣魚、橫向工具轉移、遠程服務會話劫持、遠程服務（RDP、DCOM、WinRs、SSH 等）、通過可移動介質進行復制、哈希傳遞攻擊等 AT

126、T&CK 矩陣典型常用戰術。同時可支持對 frp、fscan、hydra 等多種常用橫移工具的檢測。橫向移動檢測可有效守護內網安全，避免大規模資產受損，通過繪制橫向移動路徑可實現精準溯源。2425版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能3.4.9 信息收集檢測信息收集是指的攻擊者在進行攻擊之前和攻擊完成后所進行的活動，目的是收集目標系統、網絡和用戶的信息。通常是為了識別潛在的攻擊路徑和弱點及在成功駐留后,竊取用戶的機密和隱私數據。HiSec Endpoint 可以感知攻擊前的內網主機存活信息收集，系統信息收集

127、，掃描工具啟動收集，域信息收集,安裝軟件信息收集。以及成功控制主機后的增加系統用戶,變更用戶權限,鍵盤記錄，憑證竊取,攝像頭，麥克風監聽等后滲透行為。信息搜集是攻擊生命周期中的重要環節，成功的收集活動可以為后續的攻擊提供有力支持。HiSec Endpoint 可以在攻擊初始階段感知攻擊者的蛛絲馬跡,并能在主機失陷后攔截機密信息收集，幫助用戶盡早識別攻擊并最終挽回損失。圖 3-8 覆蓋范圍3.4.10 遠控檢測遠程控制木馬(Remote access trojan,RAT)旨在允許攻擊者遠程控制計算機，類似于用于遠程訪問或系統管理的遠程桌面協議(RDP)和 TeamViewer。RAT 將與攻擊

128、者的服務器建立一個命令和控制（C2）通道，通過該通道可以向 RAT 發送命令，并將數據發回。近年來，多起針對我國的APT攻擊活動中，總能看到遠控木馬的身影。攻擊者為了達到監控、滲出、修改、拒絕、破壞、命令控制等目標，它會采取類似于弱口令訪問控制、CDS 傳輸、加密破解、刪除數據等一系列行動，這些行動的實現就是通過遠程木馬來完成。所以遠控木馬檢測是高級威脅檢測關鍵節點。從技術角度來看，一次成功的遠控木馬上線，可包括初始入侵、隱蔽&提權和惡意功能執行幾個階段。HiSec Endpoint 通過對各階段典型技術的重點覆蓋，實現單點檢測，并通過威脅圖引擎進行攻擊上下文關聯分析，實現遠控木馬的精準檢測。

129、在隱蔽&提權階段廣泛使用的 shellcode 和進程注入關鍵技術進行了重點突破。初始訪問隱蔽&免殺惡意功能執行 進程注入檢測進程注入是一種在另一個進程的地址空間中執行任意代碼的方法。目前在野進程注入技術多變，但均可映射為獲取/創建進程、注入代碼寫入和注入數據執行三個階段。HiSec Endpoint 通過 Hook 各個階段的關鍵 API，并在數據采集引擎內部嵌入部分檢測過濾邏輯，避免正常事件大量上送帶來的效率問題。白加黑遠控檢測白加黑利用技術已經由來已久,但是由于繞過終端安全軟件的概率很高,所以仍然被廣泛使用,最近有黑產組織替換正常軟件安裝包并釋放白加黑遠控木馬控制用戶電腦,比如”銀狐”,

130、“金眼狗”組織,是國內用戶面臨的主流威脅.白加黑實際上是民間對一種DLL劫持技術(DLL Hijacking)的通俗稱呼，所謂的“白加黑”，其實來說是“可信 EXE”加“惡意 DLL”。病毒借助那些帶數字簽名的知名程序去加載自己帶有惡意代碼的 DLL 文件，便繞過殺毒軟件主動防御的，從而達到正常加載運行的目的。如果第三方軟件在編寫時對調用的 DLL 文件沒有進行校驗，那就很容易被木馬利用產生 DLL 劫持.HiSec Endpoint 通過對系統的重要指令打點,深度監控白加黑遠控木馬的關鍵行為,通過基于細粒度指令流分析獲取惡意行為鏈上的關鍵組件,結合異常檢測和智能行為分析,解決了白加黑木馬利用

131、信任程序繞過終端安全軟件防護的問題,可以精準揪出幕后黑手惡意 DLL 文件，具有高檢出低誤報的特點.3.4.11 挖礦檢測針對挖礦木馬，HiSec Endpoint 支持挖礦行為全鏈路檢測。對于落入端側挖礦木馬攻擊，HiSec Endpoint 動態檢測引擎基于內存威脅溯源圖，在文件、進程、網絡、注冊表和 CPU 占有率等多個關鍵維度上實時監控系統資源，一旦發現威脅立即處置。同時，內存威脅溯源圖集成了自適應基線模型、時序關聯模型、因果關聯模型等，在入侵、執行、持久化和橫移等多個攻擊階段均能及時響應，達到鏈式防御的效果。2425版權所有 華為技術有限公司華為 HiSec Endpoint 智能終

132、端安全系統技術白皮書版權所有 華為技術有限公司03核心功能3.4.9 信息收集檢測信息收集是指的攻擊者在進行攻擊之前和攻擊完成后所進行的活動，目的是收集目標系統、網絡和用戶的信息。通常是為了識別潛在的攻擊路徑和弱點及在成功駐留后,竊取用戶的機密和隱私數據。HiSec Endpoint 可以感知攻擊前的內網主機存活信息收集，系統信息收集，掃描工具啟動收集，域信息收集,安裝軟件信息收集。以及成功控制主機后的增加系統用戶,變更用戶權限,鍵盤記錄，憑證竊取,攝像頭，麥克風監聽等后滲透行為。信息搜集是攻擊生命周期中的重要環節，成功的收集活動可以為后續的攻擊提供有力支持。HiSec Endpoint 可以

133、在攻擊初始階段感知攻擊者的蛛絲馬跡,并能在主機失陷后攔截機密信息收集，幫助用戶盡早識別攻擊并最終挽回損失。圖 3-8 覆蓋范圍3.4.10 遠控檢測遠程控制木馬(Remote access trojan,RAT)旨在允許攻擊者遠程控制計算機，類似于用于遠程訪問或系統管理的遠程桌面協議(RDP)和 TeamViewer。RAT 將與攻擊者的服務器建立一個命令和控制（C2）通道，通過該通道可以向 RAT 發送命令，并將數據發回。近年來，多起針對我國的APT攻擊活動中，總能看到遠控木馬的身影。攻擊者為了達到監控、滲出、修改、拒絕、破壞、命令控制等目標，它會采取類似于弱口令訪問控制、CDS 傳輸、加密

134、破解、刪除數據等一系列行動，這些行動的實現就是通過遠程木馬來完成。所以遠控木馬檢測是高級威脅檢測關鍵節點。從技術角度來看，一次成功的遠控木馬上線，可包括初始入侵、隱蔽&提權和惡意功能執行幾個階段。HiSec Endpoint 通過對各階段典型技術的重點覆蓋，實現單點檢測，并通過威脅圖引擎進行攻擊上下文關聯分析，實現遠控木馬的精準檢測。在隱蔽&提權階段廣泛使用的 shellcode 和進程注入關鍵技術進行了重點突破。初始訪問隱蔽&免殺惡意功能執行 進程注入檢測進程注入是一種在另一個進程的地址空間中執行任意代碼的方法。目前在野進程注入技術多變，但均可映射為獲取/創建進程、注入代碼寫入和注入數據執行

135、三個階段。HiSec Endpoint 通過 Hook 各個階段的關鍵 API，并在數據采集引擎內部嵌入部分檢測過濾邏輯，避免正常事件大量上送帶來的效率問題。白加黑遠控檢測白加黑利用技術已經由來已久,但是由于繞過終端安全軟件的概率很高,所以仍然被廣泛使用,最近有黑產組織替換正常軟件安裝包并釋放白加黑遠控木馬控制用戶電腦,比如”銀狐”,“金眼狗”組織,是國內用戶面臨的主流威脅.白加黑實際上是民間對一種DLL劫持技術(DLL Hijacking)的通俗稱呼，所謂的“白加黑”，其實來說是“可信 EXE”加“惡意 DLL”。病毒借助那些帶數字簽名的知名程序去加載自己帶有惡意代碼的 DLL 文件，便繞過

136、殺毒軟件主動防御的，從而達到正常加載運行的目的。如果第三方軟件在編寫時對調用的 DLL 文件沒有進行校驗，那就很容易被木馬利用產生 DLL 劫持.HiSec Endpoint 通過對系統的重要指令打點,深度監控白加黑遠控木馬的關鍵行為,通過基于細粒度指令流分析獲取惡意行為鏈上的關鍵組件,結合異常檢測和智能行為分析,解決了白加黑木馬利用信任程序繞過終端安全軟件防護的問題,可以精準揪出幕后黑手惡意 DLL 文件，具有高檢出低誤報的特點.3.4.11 挖礦檢測針對挖礦木馬，HiSec Endpoint 支持挖礦行為全鏈路檢測。對于落入端側挖礦木馬攻擊，HiSec Endpoint 動態檢測引擎基于內

137、存威脅溯源圖，在文件、進程、網絡、注冊表和 CPU 占有率等多個關鍵維度上實時監控系統資源，一旦發現威脅立即處置。同時，內存威脅溯源圖集成了自適應基線模型、時序關聯模型、因果關聯模型等，在入侵、執行、持久化和橫移等多個攻擊階段均能及時響應，達到鏈式防御的效果。2627版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能挖礦攻擊多階段檢測：在檢測挖礦木馬時，HiSec Endpoint 可結合攻擊的上下文信息進行綜合分析，結合內存威脅溯源圖，將典型的挖礦木馬攻擊上下文進行關聯。1.在挖礦啟動前，HiSec Endpoint

138、 支持檢測挖礦準備工作，例如探測 CPU/GPU 信息、修改安全設置、競爭系統資源、配置網絡策略并創建計劃任務達到長期劫持計算資源的目的等，此外還支持挖礦工具落盤阻斷。2.在挖礦啟動時，HiSec Endpoint 支持檢測挖礦參數，例如錢包地址、幣種、HASH 算法等。3.在挖礦執行時，HiSec Endpoint 支持檢測 CPU 占用異常，結合其他可疑事件綜合研判為挖礦入侵。同時也支持礦池訪問檢測，支持實時的威脅信息聯動檢測，可在第一時間檢測到礦池域名請求工作，并溯源到發起礦池連接的根進程。在 Linux 系統中，HiSec Endpoint 還支持進程隱藏行為，有效追蹤躲避、隱藏等深度

139、對抗行為。為了對抗挖礦檢測和處置，攻擊者會采用多種高級攻擊技術來保持木馬在系統中的存在。其中包括濫用系統敏感 API 來篡改文件屬性或進程屬性，以避免被刪除或隔離。另外，攻擊者還可能采用進程注入的方式來躲避檢測。為了應對這些威脅，HiSec Endpoint 產品實現了在 API 級別監控系統的可疑行為，并直接阻斷惡意行為的執行，以防患于未然。通過這種方式，可以有效地提高系統的安全性，防止挖礦等惡意行為的發生。圖 3-9 HiSec Endpoint 捕獲的挖礦攻擊鏈路示意圖 挖礦攻擊全方位處置：在檢測到挖礦威脅后，對于檢測的到的可疑點，HiSec Endpoint 產品已支持 5 大類事件的

140、精準處置，實現檢測到處置的有效閉環。具體的處置對象及處置方法包括：終止挖礦進程、隔離挖礦木馬文件、聯動防火墻切斷外部通信、清理挖礦創建的計劃任務、系統服務等。3.4.12 勒索檢測勒索軟件攻擊防御為何困難重重。勒索軟件的本質是破壞數據完整性，它可以獲取文件或系統的控制權限，并阻止用戶控制這些文件或系統，導致企業核心業務停擺，直到受害者支付贖金以換取解密密鑰，該密鑰允許用戶恢復被程序加密的文件或系統。勒索軟件攻擊鏈條分成如圖所示的四個關鍵步驟：攻擊入侵、病毒投放&執行、加密勒索、橫向移動擴大戰果。將整個攻擊鏈條映射到 MITRE ATT&CK 框架中發現，70%以上的攻擊行為發生在終端側，故終端

141、是勒索防御的主戰場。圖 3-10 勒索軟件攻擊鏈條針對高級勒索軟件攻擊有如下挑戰：2627版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能挖礦攻擊多階段檢測：在檢測挖礦木馬時，HiSec Endpoint 可結合攻擊的上下文信息進行綜合分析，結合內存威脅溯源圖，將典型的挖礦木馬攻擊上下文進行關聯。1.在挖礦啟動前，HiSec Endpoint 支持檢測挖礦準備工作，例如探測 CPU/GPU 信息、修改安全設置、競爭系統資源、配置網絡策略并創建計劃任務達到長期劫持計算資源的目的等，此外還支持挖礦工具落盤阻斷。2.在挖礦

142、啟動時，HiSec Endpoint 支持檢測挖礦參數，例如錢包地址、幣種、HASH 算法等。3.在挖礦執行時，HiSec Endpoint 支持檢測 CPU 占用異常，結合其他可疑事件綜合研判為挖礦入侵。同時也支持礦池訪問檢測，支持實時的威脅信息聯動檢測，可在第一時間檢測到礦池域名請求工作，并溯源到發起礦池連接的根進程。在 Linux 系統中，HiSec Endpoint 還支持進程隱藏行為，有效追蹤躲避、隱藏等深度對抗行為。為了對抗挖礦檢測和處置，攻擊者會采用多種高級攻擊技術來保持木馬在系統中的存在。其中包括濫用系統敏感 API 來篡改文件屬性或進程屬性，以避免被刪除或隔離。另外，攻擊者還

143、可能采用進程注入的方式來躲避檢測。為了應對這些威脅，HiSec Endpoint 產品實現了在 API 級別監控系統的可疑行為，并直接阻斷惡意行為的執行，以防患于未然。通過這種方式，可以有效地提高系統的安全性，防止挖礦等惡意行為的發生。圖 3-9 HiSec Endpoint 捕獲的挖礦攻擊鏈路示意圖 挖礦攻擊全方位處置：在檢測到挖礦威脅后，對于檢測的到的可疑點，HiSec Endpoint 產品已支持 5 大類事件的精準處置，實現檢測到處置的有效閉環。具體的處置對象及處置方法包括：終止挖礦進程、隔離挖礦木馬文件、聯動防火墻切斷外部通信、清理挖礦創建的計劃任務、系統服務等。3.4.12 勒索檢

144、測勒索軟件攻擊防御為何困難重重。勒索軟件的本質是破壞數據完整性，它可以獲取文件或系統的控制權限，并阻止用戶控制這些文件或系統，導致企業核心業務停擺，直到受害者支付贖金以換取解密密鑰，該密鑰允許用戶恢復被程序加密的文件或系統。勒索軟件攻擊鏈條分成如圖所示的四個關鍵步驟：攻擊入侵、病毒投放&執行、加密勒索、橫向移動擴大戰果。將整個攻擊鏈條映射到 MITRE ATT&CK 框架中發現，70%以上的攻擊行為發生在終端側，故終端是勒索防御的主戰場。圖 3-10 勒索軟件攻擊鏈條針對高級勒索軟件攻擊有如下挑戰：2829版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書

145、版權所有 華為技術有限公司03核心功能 在攻擊入侵階段，伴隨著數字化資產的繁榮，黑客可利用的漏洞量也呈現正相關趨勢，不同于傳統的已知漏洞防御手，日益增加的 0-Day 漏洞、定向釣魚攻擊應該如何有效應對？大多數防護方案主要針對投放階段的文件建立防御，對于攻擊執行期間使用的新型攻擊，如進程注入、腳本執行、白加黑等無文件攻擊手段無法有效攔截。攻擊者為了控制目標系統往往采用更加隱蔽的加密通信技術，如何有效應對？攻擊者需要考慮投入產出比，為了快速拿到贖金或形成威懾，攻擊和加密速度極快。80%的TOP 勒索樣本從運行到開始加密的時間窗在 5 分鐘內，平均加密速度在 30MB/秒以上。面對勒索軟件的極速攻

146、擊，防御如何能更早一步攔截？勒索軟件攻擊鏈條復雜，如何全面還原勒索攻擊入侵鏈路，證明已經控制、根除勒索攻擊帶來的影響，并有效加固避免再次遭受勒索軟件攻擊？華為端邊云協同多層次防御方案針對勒索攻擊特點，主要的應對理念是防御前移，建立分層實時防御，盡早斷開攻擊者的入侵鏈路，降低攻擊者 ROI（Return-on-investment，投資凈利率）。通過邊界高級入侵線索發現，基于 IOA 高級威脅檢測，實現勒索加密前阻斷（Indicator of Attack，攻擊指標）；在勒索載荷執行過程中，抓住勒索軟件攻擊的不變量“文件加密”，布局主動誘捕技術加快攻擊意圖顯現，并在加密用戶核心數據前處置威脅實體

147、。層層防御，最大程度降低勒索軟件攻擊帶來的影響。通過深度溯源技術直接還原攻擊入口，助力定位根因，構建完整攻擊故事線，發現真實攻擊意圖，復盤企業信息系統弱點。不斷修復脆弱面，構建更完善的勒索防御體系。最后，為提升防御系統韌性，為用戶提供加密文件恢復的最終兜底方案，穩定恢復到加密前的狀態，確保用戶數據零損失。圖 3-11 為華為高級勒索防御方案的核心技術。圖 3-11 高級勒索防御方案核心技術以下對勒索防御方案的核心技術展開闡述：NDR 高級入侵線索發現邊界突破是未知勒索軟件進入目標系統的首要環節，外聯 C&C 通信是控制目標系統的重要手段。傳統IPS/IDS 僅能解決已知攻擊檢測，例如：N-da

148、y 漏洞、暴力破解、已知家族 C&C 信息等。面對 0-Day漏洞和日益增加的加密流量攻擊卻束手無策，華為 NDR 團隊創新采用三層防御方案有效應對：基于無監督學習、細粒度動態特征基線和統計分析，發現 0-Day 漏洞、未知加密流量攻擊線索。不依賴任何標簽，由安全資深專家和 AI 科學家實現跨領域知識融合，基于場景化建模的思路，利用統計工具、機器學習、極值理論等方法，將已知攻擊場景的數據泛化到未知行為發現，從而全面發現攻擊線索。因果關聯分析+監督樹算法+統計分析進行事件建模，從海量的告警中識別隱蔽攻擊，例如：代碼執行漏洞、慢速暴破等，精度可達 99.9%。風險傳播算法+行為相似度模型進行關系建

149、模，持續發現類似的攻擊模式和受害基礎設施。IOA 高級威脅檢測引擎對于繞過邊界防御的勒索軟件攻擊，HiSec Endpoint IOA 行為檢測引擎實現毫秒級實時分析，偵測終端上的異常行為模式，通過華為獨創的內存威脅溯源圖，與網絡側的攻擊線索深度聯動。包含泛化能力極強的圖因果關聯模型、時序關聯模型、時間關聯模型、統計關聯模型等，精準研判 0-Day 漏洞利用成功、Powershell 攻擊投遞、釣魚入侵成功等高級無文件攻擊，精準識別威脅子圖上下文，通過 XDR 與網關、終端聯動，切斷攻擊執行鏈路。對于已經執行起來的勒索軟件載體，基于內存溯源圖，通過啟發式的方式鎖定威脅根節點，組合流行勒索軟件家

150、族深度分析，高維度泛化抽象、挖掘關鍵因果鏈條，疊加信任傳播算法，可有效對變種和未知勒索軟件加密前的行為精準研判?；谕{根節點自動處置攻擊鏈條，緩解勒索軟件攻擊帶來的影響。內核主動誘捕技術文件攻擊（加密、破壞等）是勒索攻擊的不變量。為了從戰術上扭轉攻防對抗的不對等性，變被動為主動，HiSec Endpoint 產品基于內核級主動誘捕技術，在用戶業務無感知狀態下自動守護，保護客戶關鍵數據資產。攔截攻擊必經之路，捕獲勒索加密第一跳：基于流行勒索軟件家族攻擊模式、用戶行為模式學習，動態部署勒索誘餌，確保攻擊一發動即感知。誘捕全面數據采集：感知誘餌多維度細微變化，勒索攻擊透視無死角。內核級精準研判，鎖

151、定威脅實體：基于 AI 的海量勒索文件攻擊模式挖掘算法，實時精準研判，有效區分勒索攻擊和用戶正常操作。內核級毫秒級處置，用戶數據接近零損失：基于終端內存圖鎖定惡意進程鏈，第一時間發起勒索2829版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能 在攻擊入侵階段，伴隨著數字化資產的繁榮，黑客可利用的漏洞量也呈現正相關趨勢，不同于傳統的已知漏洞防御手，日益增加的 0-Day 漏洞、定向釣魚攻擊應該如何有效應對？大多數防護方案主要針對投放階段的文件建立防御，對于攻擊執行期間使用的新型攻擊，如進程注入、腳本執行、白加黑等無文件

152、攻擊手段無法有效攔截。攻擊者為了控制目標系統往往采用更加隱蔽的加密通信技術，如何有效應對？攻擊者需要考慮投入產出比，為了快速拿到贖金或形成威懾，攻擊和加密速度極快。80%的TOP 勒索樣本從運行到開始加密的時間窗在 5 分鐘內，平均加密速度在 30MB/秒以上。面對勒索軟件的極速攻擊，防御如何能更早一步攔截？勒索軟件攻擊鏈條復雜，如何全面還原勒索攻擊入侵鏈路，證明已經控制、根除勒索攻擊帶來的影響，并有效加固避免再次遭受勒索軟件攻擊？華為端邊云協同多層次防御方案針對勒索攻擊特點，主要的應對理念是防御前移，建立分層實時防御，盡早斷開攻擊者的入侵鏈路，降低攻擊者 ROI（Return-on-inve

153、stment，投資凈利率）。通過邊界高級入侵線索發現，基于 IOA 高級威脅檢測，實現勒索加密前阻斷（Indicator of Attack，攻擊指標）；在勒索載荷執行過程中，抓住勒索軟件攻擊的不變量“文件加密”，布局主動誘捕技術加快攻擊意圖顯現，并在加密用戶核心數據前處置威脅實體。層層防御，最大程度降低勒索軟件攻擊帶來的影響。通過深度溯源技術直接還原攻擊入口，助力定位根因，構建完整攻擊故事線，發現真實攻擊意圖，復盤企業信息系統弱點。不斷修復脆弱面，構建更完善的勒索防御體系。最后，為提升防御系統韌性，為用戶提供加密文件恢復的最終兜底方案，穩定恢復到加密前的狀態，確保用戶數據零損失。圖 3-11

154、 為華為高級勒索防御方案的核心技術。圖 3-11 高級勒索防御方案核心技術以下對勒索防御方案的核心技術展開闡述：NDR 高級入侵線索發現邊界突破是未知勒索軟件進入目標系統的首要環節，外聯 C&C 通信是控制目標系統的重要手段。傳統IPS/IDS 僅能解決已知攻擊檢測，例如：N-day 漏洞、暴力破解、已知家族 C&C 信息等。面對 0-Day漏洞和日益增加的加密流量攻擊卻束手無策，華為 NDR 團隊創新采用三層防御方案有效應對：基于無監督學習、細粒度動態特征基線和統計分析，發現 0-Day 漏洞、未知加密流量攻擊線索。不依賴任何標簽，由安全資深專家和 AI 科學家實現跨領域知識融合，基于場景化

155、建模的思路，利用統計工具、機器學習、極值理論等方法，將已知攻擊場景的數據泛化到未知行為發現，從而全面發現攻擊線索。因果關聯分析+監督樹算法+統計分析進行事件建模，從海量的告警中識別隱蔽攻擊，例如：代碼執行漏洞、慢速暴破等，精度可達 99.9%。風險傳播算法+行為相似度模型進行關系建模，持續發現類似的攻擊模式和受害基礎設施。IOA 高級威脅檢測引擎對于繞過邊界防御的勒索軟件攻擊，HiSec Endpoint IOA 行為檢測引擎實現毫秒級實時分析，偵測終端上的異常行為模式，通過華為獨創的內存威脅溯源圖，與網絡側的攻擊線索深度聯動。包含泛化能力極強的圖因果關聯模型、時序關聯模型、時間關聯模型、統計

156、關聯模型等，精準研判 0-Day 漏洞利用成功、Powershell 攻擊投遞、釣魚入侵成功等高級無文件攻擊，精準識別威脅子圖上下文，通過 XDR 與網關、終端聯動，切斷攻擊執行鏈路。對于已經執行起來的勒索軟件載體，基于內存溯源圖，通過啟發式的方式鎖定威脅根節點，組合流行勒索軟件家族深度分析，高維度泛化抽象、挖掘關鍵因果鏈條，疊加信任傳播算法，可有效對變種和未知勒索軟件加密前的行為精準研判?；谕{根節點自動處置攻擊鏈條，緩解勒索軟件攻擊帶來的影響。內核主動誘捕技術文件攻擊（加密、破壞等）是勒索攻擊的不變量。為了從戰術上扭轉攻防對抗的不對等性，變被動為主動，HiSec Endpoint 產品基

157、于內核級主動誘捕技術，在用戶業務無感知狀態下自動守護，保護客戶關鍵數據資產。攔截攻擊必經之路，捕獲勒索加密第一跳：基于流行勒索軟件家族攻擊模式、用戶行為模式學習，動態部署勒索誘餌，確保攻擊一發動即感知。誘捕全面數據采集：感知誘餌多維度細微變化，勒索攻擊透視無死角。內核級精準研判，鎖定威脅實體：基于 AI 的海量勒索文件攻擊模式挖掘算法，實時精準研判，有效區分勒索攻擊和用戶正常操作。內核級毫秒級處置，用戶數據接近零損失：基于終端內存圖鎖定惡意進程鏈，第一時間發起勒索3031版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功

158、能攻擊阻斷動作，將用戶數據風險降至最低。獨創端網存兩層備份創新端側內核實時勒索加密文件備份，和聯動存儲實現按需云端備份，支持文件黑名單攔截、快照提速、AIR GAP 熔斷聯動閉環動作?？缬蚬翩溸€原還原整個攻擊鏈路，是防御閉環的重要一步。攻擊者的對抗和逃逸手段日趨多樣化、隱秘化，攻擊鏈路的關鍵要素往往散落在多個數據域（進程、文件、系統服務、計劃任務、網絡連接、數據包等），呈現出碎片化的分布，給完整攻擊鏈路還原帶來挑戰。為應對上述挑戰，華為 XDR 做出如下創新：跨終端、異構數據時空關聯還原事件全貌：勒索軟件攻擊不是一次性完成的，它們會在各個路徑上都留下痕跡，通常以網絡、終端為主，通過全面遙測這

159、些數據，基于乾坤統一分析平臺進行攻擊故事線關聯，構建完整可視化進程鏈。構建攻擊逃逸知識庫，應對攻擊路徑碎片化：覆蓋計劃任務濫用、系統服務濫用、惡意代碼注入、漏洞利用等多種復雜攻擊場景，并通過攻擊語義關聯技術增強溯源，提供完整的可視化進程鏈。結合威脅信息、漏洞信息、沙箱等，通過 IOA+IOC+AI+UEBA（User and Entity Behavior Analytics，用戶和實體行為分析）等全面研判攻擊，實現 70%以上的威脅一鍵自動處置，提供基于圖 DB 的可視化深度溯源，定位根因。包括：攻擊者從哪里來，攻擊者整個入侵鏈路是什么，干了哪些壞事，攻擊者是否還有潛伏，是否持有更多權限，如

160、何徹底根除、修復勒索軟件攻擊帶來的影響等。通過自動揭示完整攻擊鏈路，幫助客戶一鍵完成深度清理，降低安全運營的人力投入。3.4.13 竊密檢測受利益驅使和數字化轉型帶來的，竊密產業鏈日益成熟完整，黑客組織不斷推出新型竊密木馬，以及更精細的竊密服務來滿足更高的竊密需求。竊密木馬會收集目標系統的重要數據（包括但不限于密碼憑據、隱私信息、重要文件、數字資產等），并將收集到的數據回傳至攻擊者服務器，給用戶造成隱私泄露、經濟損失等嚴重后果。商業竊密木馬通常具備下發惡意代碼的功能，攻擊者可借此傳播隱蔽通道程序、勒索軟件、挖礦木馬等，給受害者造成更大的損失。傳統 EDR 行為檢測缺少對竊密行為的監控，導致個人

161、隱私保護基礎能力缺失，HiSec Endpoint 基于異常隱私文件訪問行為精準監控竊密意圖，ms 級自動化處置響應，核心技術如下：1.依托大量樣本積累生成隱私文件列表，覆蓋竊密木馬經常竊取的瀏覽器、加密貨幣錢包、郵件、客戶端軟件、FTP 等多種隱私數據；2.通過監控隱私文件訪問行為檢測竊密意圖，若多次訪問或訪問極敏感數據時，可直接觸發處置；3.基于威脅圖關聯竊密木馬動態行為告警事件，識別攻擊上下文，有效抵御未知竊密木馬行為。HiSec Endpoint 竊密檢測有如下優勢：1.準確率高：從反向視角檢測竊密行為根本特點，準確率高，且具備未知檢測能力；2.召回率高：構建動靜結合檢測、攻擊上下文關

162、聯、家族特征識別等多層級縱深檢測，具有較高召回率，有效降低隱私泄露風險；3.自動化處置，用戶更加友好：基于精準檢測能力，HiSec Endpoint 產品能夠在竊密行為造成切實威脅前提供及時阻斷，避免隱私信息外泄，保護用戶資產和信息安全。3.4.14 MBR/VBR/分區表篡改檢測MBR（Master Boot Record）即主引導記錄，存儲在硬盤的第一個扇區的數據塊，用于存儲 Boot Loader 的一部分代碼，其中包含一個重要組成部分：分區表（Partition Table）存儲了硬盤的分區信息，包括每個分區的起始扇區、大小、類型和狀態。MBR 的在 BIOS 完成硬件的檢測和初始化后

163、，從硬盤中讀取 Boot Loader 的代碼，將其加載到內存中，然后執行 Boot Loader 的代碼，從而啟動操作系統。破壞性較強的 Petya 勒索會將用戶整個硬盤加密和鎖死，改寫 MBR，從而導致電腦不能正常啟動。因此在覆蓋這類攻擊時，需要增加對引導區的采集和同步阻斷，HiSec Endpoint 在這類檢測中增加了以下防護：檢測可疑的分區表修改；檢測可疑的 MBR 修改；檢測可疑的 VBR 修改；檢測可疑程序打開物理磁盤結合數字簽名、文件基線等文件相關屬性，對可疑進程做研判同步阻斷寫分區表等行為，保障用戶硬盤不被加密鎖死3.4.15 應用安全（RASP）隨著 Web 應用數量和復雜

164、度不斷提升，攻擊手段更加隱蔽，傳輸協議更加多元，安全邊界變得模糊，使得傳統安全防護方式無法再提供有效的防護能力。主要體現在以下三點：非法攻擊行為難以檢測：傳統基于流量的檢測還是優先采用基于請求特征+規則策略的防御控制手段，將攻擊攔截在外。但高級定向攻擊總能輕而易舉地繞過基于規則匹配的預防機制，例如對請求混淆，加密，導致傳統基于流量的檢測在面對新的攻擊方式時顯得捉襟見肘。傳輸協議愈發多元化：如今的應用程序使用的格式和協議越發復雜，比如JSON，XML，序列化對象等格式，請求也不僅使用 HTTP，還會使用各種包括 WebSocket 在內的其他協議，傳統的 Web 應用防火墻難以對傳輸協議做到完全

165、覆蓋。3031版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能攻擊阻斷動作，將用戶數據風險降至最低。獨創端網存兩層備份創新端側內核實時勒索加密文件備份，和聯動存儲實現按需云端備份，支持文件黑名單攔截、快照提速、AIR GAP 熔斷聯動閉環動作?？缬蚬翩溸€原還原整個攻擊鏈路，是防御閉環的重要一步。攻擊者的對抗和逃逸手段日趨多樣化、隱秘化，攻擊鏈路的關鍵要素往往散落在多個數據域（進程、文件、系統服務、計劃任務、網絡連接、數據包等），呈現出碎片化的分布，給完整攻擊鏈路還原帶來挑戰。為應對上述挑戰，華為 XDR 做出如下創

166、新：跨終端、異構數據時空關聯還原事件全貌：勒索軟件攻擊不是一次性完成的，它們會在各個路徑上都留下痕跡，通常以網絡、終端為主，通過全面遙測這些數據，基于乾坤統一分析平臺進行攻擊故事線關聯，構建完整可視化進程鏈。構建攻擊逃逸知識庫，應對攻擊路徑碎片化：覆蓋計劃任務濫用、系統服務濫用、惡意代碼注入、漏洞利用等多種復雜攻擊場景，并通過攻擊語義關聯技術增強溯源，提供完整的可視化進程鏈。結合威脅信息、漏洞信息、沙箱等，通過 IOA+IOC+AI+UEBA（User and Entity Behavior Analytics，用戶和實體行為分析）等全面研判攻擊，實現 70%以上的威脅一鍵自動處置，提供基于圖

167、 DB 的可視化深度溯源，定位根因。包括：攻擊者從哪里來，攻擊者整個入侵鏈路是什么，干了哪些壞事，攻擊者是否還有潛伏，是否持有更多權限，如何徹底根除、修復勒索軟件攻擊帶來的影響等。通過自動揭示完整攻擊鏈路，幫助客戶一鍵完成深度清理，降低安全運營的人力投入。3.4.13 竊密檢測受利益驅使和數字化轉型帶來的，竊密產業鏈日益成熟完整，黑客組織不斷推出新型竊密木馬，以及更精細的竊密服務來滿足更高的竊密需求。竊密木馬會收集目標系統的重要數據（包括但不限于密碼憑據、隱私信息、重要文件、數字資產等），并將收集到的數據回傳至攻擊者服務器，給用戶造成隱私泄露、經濟損失等嚴重后果。商業竊密木馬通常具備下發惡意代

168、碼的功能，攻擊者可借此傳播隱蔽通道程序、勒索軟件、挖礦木馬等，給受害者造成更大的損失。傳統 EDR 行為檢測缺少對竊密行為的監控，導致個人隱私保護基礎能力缺失，HiSec Endpoint 基于異常隱私文件訪問行為精準監控竊密意圖，ms 級自動化處置響應，核心技術如下：1.依托大量樣本積累生成隱私文件列表，覆蓋竊密木馬經常竊取的瀏覽器、加密貨幣錢包、郵件、客戶端軟件、FTP 等多種隱私數據；2.通過監控隱私文件訪問行為檢測竊密意圖，若多次訪問或訪問極敏感數據時，可直接觸發處置；3.基于威脅圖關聯竊密木馬動態行為告警事件，識別攻擊上下文，有效抵御未知竊密木馬行為。HiSec Endpoint 竊

169、密檢測有如下優勢：1.準確率高：從反向視角檢測竊密行為根本特點，準確率高，且具備未知檢測能力；2.召回率高：構建動靜結合檢測、攻擊上下文關聯、家族特征識別等多層級縱深檢測，具有較高召回率，有效降低隱私泄露風險；3.自動化處置，用戶更加友好：基于精準檢測能力，HiSec Endpoint 產品能夠在竊密行為造成切實威脅前提供及時阻斷，避免隱私信息外泄，保護用戶資產和信息安全。3.4.14 MBR/VBR/分區表篡改檢測MBR（Master Boot Record）即主引導記錄，存儲在硬盤的第一個扇區的數據塊，用于存儲 Boot Loader 的一部分代碼，其中包含一個重要組成部分：分區表（Par

170、tition Table）存儲了硬盤的分區信息，包括每個分區的起始扇區、大小、類型和狀態。MBR 的在 BIOS 完成硬件的檢測和初始化后，從硬盤中讀取 Boot Loader 的代碼，將其加載到內存中，然后執行 Boot Loader 的代碼，從而啟動操作系統。破壞性較強的 Petya 勒索會將用戶整個硬盤加密和鎖死，改寫 MBR，從而導致電腦不能正常啟動。因此在覆蓋這類攻擊時，需要增加對引導區的采集和同步阻斷，HiSec Endpoint 在這類檢測中增加了以下防護：檢測可疑的分區表修改；檢測可疑的 MBR 修改；檢測可疑的 VBR 修改；檢測可疑程序打開物理磁盤結合數字簽名、文件基線等文

171、件相關屬性，對可疑進程做研判同步阻斷寫分區表等行為，保障用戶硬盤不被加密鎖死3.4.15 應用安全（RASP）隨著 Web 應用數量和復雜度不斷提升，攻擊手段更加隱蔽，傳輸協議更加多元，安全邊界變得模糊，使得傳統安全防護方式無法再提供有效的防護能力。主要體現在以下三點：非法攻擊行為難以檢測：傳統基于流量的檢測還是優先采用基于請求特征+規則策略的防御控制手段，將攻擊攔截在外。但高級定向攻擊總能輕而易舉地繞過基于規則匹配的預防機制，例如對請求混淆，加密，導致傳統基于流量的檢測在面對新的攻擊方式時顯得捉襟見肘。傳輸協議愈發多元化：如今的應用程序使用的格式和協議越發復雜，比如JSON，XML，序列化對

172、象等格式，請求也不僅使用 HTTP，還會使用各種包括 WebSocket 在內的其他協議，傳統的 Web 應用防火墻難以對傳輸協議做到完全覆蓋。3233版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能安全邊界的模糊：隨著云原生時代的來臨，業務變得越來越開放和復雜，固定的防御邊界已經不復存在，基于網絡邊界進行的安全防護手段已經不再可靠。RASP（Runtime Application Self-Protection）使用插樁技術在應用程序內部通過 Hook 關鍵函數，將防護功能注入到應用程序中，與應用程序融為一體，并實

173、時監測應用運行時的內部情況。當出現可疑行為時，RASP 會根據當前的上下文信息精準識別攻擊行為，并實施阻斷攔截，使應用程序自身具備自我防護能力。圖 3-12 RASP 技術架構圖HiSec Endpoint RASP 的優勢主要包含以下四點：檢測更精確：RASP 是在應用程序內部對關鍵函數操作的運行數據進行分析，無論攻擊手段和攻擊入口如何變化，都無法繞開最終的關鍵函數執行過程，基于應用行為來精準識別攻擊；且在最終執行時函數入參都是明文的方式，即使請求流量被混淆或加密，也可以被 RASP 獲取到。攻擊更可見：RASP 深入應用程序的上下文，當檢測到攻擊行為時，可以提供詳盡的攻擊鏈路，包含攻擊來源

174、、攻擊目標、攻擊原始請求詳情、危險行為特征、代碼調用堆棧等信息，協助安全運維人員快速進行漏洞定位，復現以及制定修復方案。部署簡單，業務影響?。禾峁﹦討B安裝能力，業務應用集成時無需重啟；且和業務代碼解耦，對業務影響小。提供 0-Day 攻擊防護能力：通常攻擊檢測依賴已有規則，但 0-Day 漏洞無相應的規則容易繞過。RASP 基于底層調用進行檢測，例如數據庫訪問、命令執行等均無法繞過底層調用，所以RASP 對已知攻擊和未知 0-Day 攻擊都能提供有效的防護。3.4.16 云鑒定云鑒定是在本地靜態病毒檢測和云查詢的基礎上，針對仍然未知的樣本，提交沙箱高威脅分析平臺進行惡意定性，采用靜態檢測、動態

175、分析等多層次分析，檢測躲避、漏洞利用、未知惡意軟件和高級威脅。3.4.17 行為檢測引擎3.4.17.1 HIPS 引擎HIPS（Host-based Intrusion Prevention System）主要在病毒運行階段，對終端主機進行防護。HIPS 更針對于檢測未知的勒索病毒，通過對關鍵系統行為的實時分析，盡早阻斷病毒的惡意行為。HIPS 會在病毒的執行階段進行防護，HIPS 會實時分析病毒的每一個關鍵系統行為，包括對文件、網絡、注冊表、API、系統等方面的關鍵操作，一旦發現有惡意動作，就會立即實時阻斷病毒的后續執行過程，將危害降到最低。HIPS 同時也會聯動華為云端安全智能中心，持續

176、更新最新的專家勒索防護經驗。3.4.17.2 溯源圖HiSec Endpoint Agent 內置高性能內存圖引擎(Graph Streaming Process,GSP)，用于在受保護的內存中構建系統的影子世界，并實時跟蹤系統上發生的所有行為，包括常規的進程創建、文件讀寫、注冊表修改、網絡連接、DNS 訪問以及更隱蔽的內存訪問、進程注入、線程創建等行為。GSP 引擎就像一臺高速攝像機，記錄主機上發生的所有事情，并對可疑行為進行實時意圖分析。當檢測到威脅時，觸發實時處置和一鍵回滾系統破壞，保護客戶資產?；?EDR 溯源圖的高級威脅檢測是當前學術界和產業界的前沿技術。溯源圖以詳盡的可見性成為檢

177、測0-Day 和對抗 APT 威脅的有效手段之一。但是其背后依賴的海量數據分析帶來了計算和存儲成本高、檢測時延大等問題，限制了其在現網中的實戰部署（單終端典型工作負載下，單日產生 300M 行為日志，1w 終端量級的企業單日數據量便可輕易達到 TB 級別）。將圖引擎嵌入到 Agent 側，具有如下優勢：檢得快：檢測時延毫秒級將圖引擎下沉到端側，避免了傳統方案必須把數據全部上報才能檢測威脅的弊端，克服了傳統 EDR 方案的端云交互時延（平均 6s 以上）。另一方面，圖引擎基于實時圖計算理念設計，黑客只要暴露攻擊意圖，立馬會被推理引擎識別，并觸發告警。負載輕量，部署成本低圖引擎內部采用自動緩存淘汰

178、和實時圖計算理念設計，同時圖天然具有存儲緊湊的特點，使得輕量化的3233版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能安全邊界的模糊：隨著云原生時代的來臨，業務變得越來越開放和復雜，固定的防御邊界已經不復存在，基于網絡邊界進行的安全防護手段已經不再可靠。RASP（Runtime Application Self-Protection）使用插樁技術在應用程序內部通過 Hook 關鍵函數，將防護功能注入到應用程序中，與應用程序融為一體，并實時監測應用運行時的內部情況。當出現可疑行為時，RASP 會根據當前的上下文信息精

179、準識別攻擊行為，并實施阻斷攔截，使應用程序自身具備自我防護能力。圖 3-12 RASP 技術架構圖HiSec Endpoint RASP 的優勢主要包含以下四點：檢測更精確：RASP 是在應用程序內部對關鍵函數操作的運行數據進行分析，無論攻擊手段和攻擊入口如何變化，都無法繞開最終的關鍵函數執行過程，基于應用行為來精準識別攻擊；且在最終執行時函數入參都是明文的方式，即使請求流量被混淆或加密，也可以被 RASP 獲取到。攻擊更可見：RASP 深入應用程序的上下文，當檢測到攻擊行為時，可以提供詳盡的攻擊鏈路，包含攻擊來源、攻擊目標、攻擊原始請求詳情、危險行為特征、代碼調用堆棧等信息，協助安全運維人員

180、快速進行漏洞定位，復現以及制定修復方案。部署簡單，業務影響?。禾峁﹦討B安裝能力，業務應用集成時無需重啟；且和業務代碼解耦，對業務影響小。提供 0-Day 攻擊防護能力：通常攻擊檢測依賴已有規則，但 0-Day 漏洞無相應的規則容易繞過。RASP 基于底層調用進行檢測，例如數據庫訪問、命令執行等均無法繞過底層調用，所以RASP 對已知攻擊和未知 0-Day 攻擊都能提供有效的防護。3.4.16 云鑒定云鑒定是在本地靜態病毒檢測和云查詢的基礎上，針對仍然未知的樣本，提交沙箱高威脅分析平臺進行惡意定性，采用靜態檢測、動態分析等多層次分析，檢測躲避、漏洞利用、未知惡意軟件和高級威脅。3.4.17 行為

181、檢測引擎3.4.17.1 HIPS 引擎HIPS（Host-based Intrusion Prevention System）主要在病毒運行階段，對終端主機進行防護。HIPS 更針對于檢測未知的勒索病毒，通過對關鍵系統行為的實時分析，盡早阻斷病毒的惡意行為。HIPS 會在病毒的執行階段進行防護，HIPS 會實時分析病毒的每一個關鍵系統行為，包括對文件、網絡、注冊表、API、系統等方面的關鍵操作，一旦發現有惡意動作，就會立即實時阻斷病毒的后續執行過程，將危害降到最低。HIPS 同時也會聯動華為云端安全智能中心，持續更新最新的專家勒索防護經驗。3.4.17.2 溯源圖HiSec Endpoint

182、 Agent 內置高性能內存圖引擎(Graph Streaming Process,GSP)，用于在受保護的內存中構建系統的影子世界，并實時跟蹤系統上發生的所有行為，包括常規的進程創建、文件讀寫、注冊表修改、網絡連接、DNS 訪問以及更隱蔽的內存訪問、進程注入、線程創建等行為。GSP 引擎就像一臺高速攝像機，記錄主機上發生的所有事情，并對可疑行為進行實時意圖分析。當檢測到威脅時，觸發實時處置和一鍵回滾系統破壞，保護客戶資產?；?EDR 溯源圖的高級威脅檢測是當前學術界和產業界的前沿技術。溯源圖以詳盡的可見性成為檢測0-Day 和對抗 APT 威脅的有效手段之一。但是其背后依賴的海量數據分析帶

183、來了計算和存儲成本高、檢測時延大等問題，限制了其在現網中的實戰部署（單終端典型工作負載下，單日產生 300M 行為日志，1w 終端量級的企業單日數據量便可輕易達到 TB 級別）。將圖引擎嵌入到 Agent 側，具有如下優勢：檢得快：檢測時延毫秒級將圖引擎下沉到端側，避免了傳統方案必須把數據全部上報才能檢測威脅的弊端，克服了傳統 EDR 方案的端云交互時延（平均 6s 以上）。另一方面，圖引擎基于實時圖計算理念設計，黑客只要暴露攻擊意圖，立馬會被推理引擎識別，并觸發告警。負載輕量，部署成本低圖引擎內部采用自動緩存淘汰和實時圖計算理念設計，同時圖天然具有存儲緊湊的特點，使得輕量化的3435版權所有

184、 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能實時圖檢測成為可能。將圖引擎下沉到端側，每一個 Agent 邊緣實時分析全量原始數據，只將收斂后的告警和可疑事件上報到云端，可以過濾 80%以上噪聲數據，降低云端成本和分析消耗。檢得準基于上下文的深度關聯，行為細粒度打點，有效檢測未知勒索、挖礦、隱蔽通道等攻擊，只有真正識別并判斷出攻擊意圖，才會觸發告警，大大降低誤報，避免客戶遭遇“狼來了”和“告警疲勞”困局。響應快，處置全：毫秒級深度處置圖引擎檢測到威脅后，實時輸出威脅子圖，并沿圖進行深度處置，除了簡單的 kill 進程、隔離

185、文件外，還支持注冊表恢復、計劃任務刪除、駐留服務清理等深度處置。3.4.17.3 關聯分析關聯分析引擎是基于 apache flink 的低延時、低代碼、高性能流式大數據分析引擎，通過低代碼的方式支撐安全運營人員在現網直接配置安全規則，快速落地分析檢測效果。便捷的數據接入：關聯分析引擎采用元數據驅動的理念，與乾坤云數據治理平臺打通。安全運營人員只需要在數據治理平臺配置對應的邏輯實體與物理實體，即可在關聯分析引擎中引用，包括終端日志、邊界日志等。同時關聯分析引擎還支持 flink sql 原生自定義數據源。高效的數據開發：安全運營人員只需要編寫符合關聯分析引擎規范的 sql 即可以快速構建實時關

186、聯分析應用，包括：暴力破解、存活主機探測、可疑計劃任務、橫移檢測。相比定制代碼開發，平均效率可以提升 400%開放的算子：關聯分析引擎預置了數據計算、聚合等基礎算子，同時支持威脅信息服務、IP 處理、多級緩存聚合等安全高階算子，同時完整支持了 flink udf 方式的算子拓展能力，包括 udsf、udaf、udtf 等。靈活的部署：同時支持 k8s、yarn 等分布式集群部署方式，支持以增加并行度的方式從三節點到數百節點橫向拓展。強勁的性能：采用華為定制內核，并進行大量關聯分析場景，數百規則下可支撐超過數萬 EPS 的計算性能要求3.4.17.4 威脅信息聯動檢測華為安全智能中心，通過每日對

187、海量數據的分析和處理，形成了惡意 IP 地址、惡意域名、惡意文件HASH 等礎網絡威脅信息，并通過特征庫更新發布到 Hisec Endpoint 產品中。通過威脅信息的持續反饋機和更新，實現了“一點發現、全局聯動”的協同防御及由單點“已知威脅”到檢測多點“未知威脅”。HiSec Endpoint 客戶端在運行過程中，通過將主機和網絡上觀測到的文件、域名、IP 地址等使用基于威脅信息的云查殺引擎進行鑒定，可以快速、精準的對文件的屬性及網絡請求進行判定，進而發現惡意的攻擊事件，尤其是對于企業內網的勒索、挖礦、惡意外聯等威脅事件，云查殺引擎具備識別快、發現準的特點。此外，威脅信息還提供了豐富的上下文

188、信息，在 HiSec Endpoint 服務端的運營界面，通過查詢威脅信息數據，可以對惡意文件、惡意域名、惡意 IP 等的首次現網活躍時間、攻擊行為等進行分析，從而輔助運營人員進行威脅的判定和響應處置。Hisec Endpoint 上使用的威脅信息能力包括惡意域名威脅信息：可識別礦池、勒索軟件、C&C、惡意站點、APT 等的高精度威脅惡意域名威脅信息及千萬級全量惡意域名威脅信息惡意 IP 威脅信息：可識別挖礦、C&C、掃描、漏洞利用等的惡意 IP 威脅信息文件 HASH 威脅信息：熱點文件 HASH 威脅信息，可識別隱蔽通道、木馬、病毒、蠕蟲等各類惡意軟件，OP 本地可識別熱點勒索、挖礦等惡意

189、軟件的本地威脅信息庫。3.5 XDR 聯動HiSec Endpoint 提供了 syslog 數據外發和北向響應接口供第三方系統調用，可以與 HiSec Insight 等第三方態勢感知、SIEM 系統對接。syslog 外發支持對外發送平臺告警、安全事件、安全資產信息、病毒事件等。北向接口聯動支持進程信息查詢、文件 HASH 處置、網絡隔離等，并記錄了詳細的操作日志。3.5.1 邊界防護與 EDR 聯動檢測HiSec Endpoint 依托云邊端一體化聯動方案，提供失陷主機一鍵處置，主機網絡威脅全網封堵，威脅事件云網端協同檢測的能力。3435版權所有 華為技術有限公司華為 HiSec End

190、point 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能實時圖檢測成為可能。將圖引擎下沉到端側，每一個 Agent 邊緣實時分析全量原始數據，只將收斂后的告警和可疑事件上報到云端，可以過濾 80%以上噪聲數據，降低云端成本和分析消耗。檢得準基于上下文的深度關聯，行為細粒度打點，有效檢測未知勒索、挖礦、隱蔽通道等攻擊，只有真正識別并判斷出攻擊意圖，才會觸發告警，大大降低誤報，避免客戶遭遇“狼來了”和“告警疲勞”困局。響應快，處置全：毫秒級深度處置圖引擎檢測到威脅后，實時輸出威脅子圖，并沿圖進行深度處置，除了簡單的 kill 進程、隔離文件外，還支持注冊表恢復、計劃任務刪除、駐

191、留服務清理等深度處置。3.4.17.3 關聯分析關聯分析引擎是基于 apache flink 的低延時、低代碼、高性能流式大數據分析引擎，通過低代碼的方式支撐安全運營人員在現網直接配置安全規則，快速落地分析檢測效果。便捷的數據接入：關聯分析引擎采用元數據驅動的理念，與乾坤云數據治理平臺打通。安全運營人員只需要在數據治理平臺配置對應的邏輯實體與物理實體，即可在關聯分析引擎中引用，包括終端日志、邊界日志等。同時關聯分析引擎還支持 flink sql 原生自定義數據源。高效的數據開發：安全運營人員只需要編寫符合關聯分析引擎規范的 sql 即可以快速構建實時關聯分析應用，包括：暴力破解、存活主機探測、

192、可疑計劃任務、橫移檢測。相比定制代碼開發，平均效率可以提升 400%開放的算子：關聯分析引擎預置了數據計算、聚合等基礎算子，同時支持威脅信息服務、IP 處理、多級緩存聚合等安全高階算子，同時完整支持了 flink udf 方式的算子拓展能力，包括 udsf、udaf、udtf 等。靈活的部署：同時支持 k8s、yarn 等分布式集群部署方式，支持以增加并行度的方式從三節點到數百節點橫向拓展。強勁的性能：采用華為定制內核，并進行大量關聯分析場景，數百規則下可支撐超過數萬 EPS 的計算性能要求3.4.17.4 威脅信息聯動檢測華為安全智能中心，通過每日對海量數據的分析和處理，形成了惡意 IP 地

193、址、惡意域名、惡意文件HASH 等礎網絡威脅信息，并通過特征庫更新發布到 Hisec Endpoint 產品中。通過威脅信息的持續反饋機和更新，實現了“一點發現、全局聯動”的協同防御及由單點“已知威脅”到檢測多點“未知威脅”。HiSec Endpoint 客戶端在運行過程中，通過將主機和網絡上觀測到的文件、域名、IP 地址等使用基于威脅信息的云查殺引擎進行鑒定，可以快速、精準的對文件的屬性及網絡請求進行判定，進而發現惡意的攻擊事件，尤其是對于企業內網的勒索、挖礦、惡意外聯等威脅事件，云查殺引擎具備識別快、發現準的特點。此外，威脅信息還提供了豐富的上下文信息，在 HiSec Endpoint 服

194、務端的運營界面，通過查詢威脅信息數據，可以對惡意文件、惡意域名、惡意 IP 等的首次現網活躍時間、攻擊行為等進行分析，從而輔助運營人員進行威脅的判定和響應處置。Hisec Endpoint 上使用的威脅信息能力包括惡意域名威脅信息：可識別礦池、勒索軟件、C&C、惡意站點、APT 等的高精度威脅惡意域名威脅信息及千萬級全量惡意域名威脅信息惡意 IP 威脅信息：可識別挖礦、C&C、掃描、漏洞利用等的惡意 IP 威脅信息文件 HASH 威脅信息：熱點文件 HASH 威脅信息，可識別隱蔽通道、木馬、病毒、蠕蟲等各類惡意軟件，OP 本地可識別熱點勒索、挖礦等惡意軟件的本地威脅信息庫。3.5 XDR 聯動

195、HiSec Endpoint 提供了 syslog 數據外發和北向響應接口供第三方系統調用，可以與 HiSec Insight 等第三方態勢感知、SIEM 系統對接。syslog 外發支持對外發送平臺告警、安全事件、安全資產信息、病毒事件等。北向接口聯動支持進程信息查詢、文件 HASH 處置、網絡隔離等，并記錄了詳細的操作日志。3.5.1 邊界防護與 EDR 聯動檢測HiSec Endpoint 依托云邊端一體化聯動方案，提供失陷主機一鍵處置，主機網絡威脅全網封堵，威脅事件云網端協同檢測的能力。3637版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權

196、所有 華為技術有限公司03核心功能圖 3-13 邊界防護與 EDR 聯動檢測 HiSec Endpoint Agent 與防火墻自動關聯客戶已開通邊界防護及響應服務，在網絡出口或者邊界部署了防火墻/天關并被乾坤安全服務平臺納管后，在終端 PC 或者服務器安裝 EDR，該主機會與防火墻/天關進行自動匹配，無需人工干預，免去客戶的關聯配置工作。協同檢測相較于單獨的流量檢測或者主機病毒檢測，通過邊界防護與終端防護進行協同檢測，將惡意流量檢測與主機異常行為識別結合，檢測更快、更準，全量覆蓋熱門挖礦家族和幣種，勒索檢測覆蓋 Att&ck 攻擊路徑，檢測更全面。主機威脅全網封堵當終端防護服務識別到主機存在

197、暴力破解、異常登錄、橫向擴散等網絡威脅時，通過與邊界防護與響應服務聯動，支持聯動網絡邊界的防火墻/天關設備設置 IP 黑名單，對攻擊地址進行一鍵封禁，實現全網攻擊免疫 失陷主機一鍵處置當邊界防護服務發現存在惡意流量的失陷主機時，通過聯動 HiSec Endpoint 進行一鍵處置，分鐘級閉環主機風險。終端細粒度響應：文件隔離 刪除、進程終止、定時任務清除、注冊表恢復、感染文件恢復、勒索備份回滾等。3.5.2 存儲聯動 背景與挑戰企業無法基于全網態勢識別黑客入侵、擴散、勒索病毒投放過程，全網監測能力有待提高。勒索病毒一旦爆發，現網無法實現統一聯動響應，有效阻止病毒擴散。存儲側勒索病毒檢測能力較弱

198、且滯后，勒索病毒存在漫延至存儲系統的風險，造成數據損失。沒有永遠百分百檢出的防御系統，提升業務系統對抗攻擊的韌性是關鍵，在漏檢場景，需要提供業務和數據的兜底方案。聯動方案實現說明構筑網絡側防火墻、沙箱、探針、EDR 等多層勒索防御體系，告警和遙測數據在 HiSec Insight 上進行統一關聯分析，完成網絡側勒索事件自閉環，并提供創新存儲聯動備份能力。包括：1.HiSec insight 關聯分析勒索事件后，聯動防火墻（或通過 SecoManager）下發響應指令，阻止黑客進一步攻擊。2.HiSec insight 聯動 HiSec Endpoint 服務端，向對應 EDR 終端下發查詢、取

199、證、處置，在主機側徹底清除病毒，防止勒索病毒再次爆發。3.同時 HiSec insight 將“勒索病毒”告警事件發送至存儲側 DME，DME 向控制器存儲一體機下發處置策略，目前支持文件黑名單攔截、快照提速、AIR GAP 熔斷聯動閉環動作。安全快照：生產中心、安全隔離區的存儲通過安全快照技術，保證數據只讀且在設定時間范圍內無法被修改和刪除 黑名單攔截：文件攔截黑名單防止勒索病毒寫入存儲區 AIR GAP 熔斷：AIR GAP 通過對復制鏈路自動關斷控制，將數據復制到隔離區，形成更安全保護效果。3.5.3 HiSec Insight 聯動HiSec Insight 接收防火墻、沙箱、探針的威

200、脅事件后可通過 HiSec Endpoint 開放接口下發調查取證、處置策略。3637版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能圖 3-13 邊界防護與 EDR 聯動檢測 HiSec Endpoint Agent 與防火墻自動關聯客戶已開通邊界防護及響應服務，在網絡出口或者邊界部署了防火墻/天關并被乾坤安全服務平臺納管后，在終端 PC 或者服務器安裝 EDR，該主機會與防火墻/天關進行自動匹配，無需人工干預，免去客戶的關聯配置工作。協同檢測相較于單獨的流量檢測或者主機病毒檢測，通過邊界防護與終端防護進行協同檢測

201、，將惡意流量檢測與主機異常行為識別結合，檢測更快、更準，全量覆蓋熱門挖礦家族和幣種，勒索檢測覆蓋 Att&ck 攻擊路徑，檢測更全面。主機威脅全網封堵當終端防護服務識別到主機存在暴力破解、異常登錄、橫向擴散等網絡威脅時，通過與邊界防護與響應服務聯動，支持聯動網絡邊界的防火墻/天關設備設置 IP 黑名單，對攻擊地址進行一鍵封禁，實現全網攻擊免疫 失陷主機一鍵處置當邊界防護服務發現存在惡意流量的失陷主機時，通過聯動 HiSec Endpoint 進行一鍵處置，分鐘級閉環主機風險。終端細粒度響應：文件隔離 刪除、進程終止、定時任務清除、注冊表恢復、感染文件恢復、勒索備份回滾等。3.5.2 存儲聯動

202、背景與挑戰企業無法基于全網態勢識別黑客入侵、擴散、勒索病毒投放過程，全網監測能力有待提高。勒索病毒一旦爆發，現網無法實現統一聯動響應，有效阻止病毒擴散。存儲側勒索病毒檢測能力較弱且滯后，勒索病毒存在漫延至存儲系統的風險，造成數據損失。沒有永遠百分百檢出的防御系統，提升業務系統對抗攻擊的韌性是關鍵，在漏檢場景，需要提供業務和數據的兜底方案。聯動方案實現說明構筑網絡側防火墻、沙箱、探針、EDR 等多層勒索防御體系，告警和遙測數據在 HiSec Insight 上進行統一關聯分析，完成網絡側勒索事件自閉環，并提供創新存儲聯動備份能力。包括：1.HiSec insight 關聯分析勒索事件后，聯動防火

203、墻（或通過 SecoManager）下發響應指令，阻止黑客進一步攻擊。2.HiSec insight 聯動 HiSec Endpoint 服務端，向對應 EDR 終端下發查詢、取證、處置，在主機側徹底清除病毒，防止勒索病毒再次爆發。3.同時 HiSec insight 將“勒索病毒”告警事件發送至存儲側 DME，DME 向控制器存儲一體機下發處置策略，目前支持文件黑名單攔截、快照提速、AIR GAP 熔斷聯動閉環動作。安全快照：生產中心、安全隔離區的存儲通過安全快照技術，保證數據只讀且在設定時間范圍內無法被修改和刪除 黑名單攔截：文件攔截黑名單防止勒索病毒寫入存儲區 AIR GAP 熔斷：AI

204、R GAP 通過對復制鏈路自動關斷控制，將數據復制到隔離區，形成更安全保護效果。3.5.3 HiSec Insight 聯動HiSec Insight 接收防火墻、沙箱、探針的威脅事件后可通過 HiSec Endpoint 開放接口下發調查取證、處置策略。3839版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能圖 3-14 HiSec Insight 聯動3.6 溯源和響應3.6.1 溯源取證和主動狩獵網絡安全博弈過程中，面對潛藏在暗處的攻擊者，防御方取勝的關鍵在于全局的網絡可見性和海量遙測、告警數據的快速處理。通過

205、極簡界面設置，Hisec Endpoint 提供一鍵直達海量遙測數據的溯源狩獵功能，為企業安全團隊提供了一個事件調查和攻防對抗的利器。HiSec Endpoint 基于統一數據底座提供自動告警上下文補全和手動溯源狩獵功能。自動告警上下文補全如下圖展示了一次挖礦病毒執行詳情，點擊相應進程節點，可以查看進程命中的告警詳情圖 3-15 一次挖礦病毒執行詳情 溯源狩獵遙測數據實時存入經過高度優化和定制建模的圖數據庫，實現百億以上原始事件的秒級 IOC 溯源能力?？苫诳梢捎蛎?、網絡地址、MD5、進程 UUID 的全局檢索，精確返回受害者終端列表，并用威脅圖呈現失陷終端事件的完整上下文。業界大多數廠商提

206、供的威脅狩獵雖然可以進行豐富的條件組合，但是受限于后臺 DB 的能力，僅能支持簡單的線性搜索和一跳查詢，且只支持以列表形式返回受害者終端列表和進程信息。下圖展示了基于域名的溯源結果：3839版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能圖 3-14 HiSec Insight 聯動3.6 溯源和響應3.6.1 溯源取證和主動狩獵網絡安全博弈過程中，面對潛藏在暗處的攻擊者，防御方取勝的關鍵在于全局的網絡可見性和海量遙測、告警數據的快速處理。通過極簡界面設置，Hisec Endpoint 提供一鍵直達海量遙測數據的溯源

207、狩獵功能，為企業安全團隊提供了一個事件調查和攻防對抗的利器。HiSec Endpoint 基于統一數據底座提供自動告警上下文補全和手動溯源狩獵功能。自動告警上下文補全如下圖展示了一次挖礦病毒執行詳情，點擊相應進程節點，可以查看進程命中的告警詳情圖 3-15 一次挖礦病毒執行詳情 溯源狩獵遙測數據實時存入經過高度優化和定制建模的圖數據庫，實現百億以上原始事件的秒級 IOC 溯源能力?？苫诳梢捎蛎?、網絡地址、MD5、進程 UUID 的全局檢索，精確返回受害者終端列表，并用威脅圖呈現失陷終端事件的完整上下文。業界大多數廠商提供的威脅狩獵雖然可以進行豐富的條件組合，但是受限于后臺 DB 的能力，僅能

208、支持簡單的線性搜索和一跳查詢，且只支持以列表形式返回受害者終端列表和進程信息。下圖展示了基于域名的溯源結果：4041版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能圖 3-16 基于域名的溯源HiSec Endpoint 提供場景化狩獵功能，支持用圖查詢語言表達復雜的狩獵邏輯，并以威脅圖的形式展現完整狩獵結果。內置華為安全團隊多年積累的實戰狩獵腳本，實現自動搜索，捕獲逃避前置防御的高級威脅。高級狩獵支持開放自定義腳本，企業安全團隊可以根據自身業務特點定制狩獵腳本，并添加到例行任務中，發現針對性攻擊，實現精準狩獵和安全

209、守護。3.6.2 聯動處置 SOARSOAR（安全編排與自動化響應）支持 EDR 聯動，將 HiSec Endpoint 處置能力編排為劇本，在 SOC處置中心選擇需要處置的威脅事件，關聯創建的劇本執行自動處置。針對邊界防護服務和 HiSec Endpoint 告警關聯生成的威脅事件，SOAR 支持調用威脅信息服務接口查詢 IP 威脅信息，調用邊界防護服務下發黑名單接口阻斷威脅 IP 流量，同時調用 EDR 接口執行終止進程和隔離文件等處置動作。針對只關聯 HiSec Endpoint 告警的威脅事件，SOAR 支持人工決策功能，安全運營專家根據返回的推薦處置方式決策是否按推薦方式執行處置。選

210、擇按推薦處置方式處置后，調用 EDR 事件處置接口執行處置動作。針對邊界防護失陷主機的威脅事件，SOAR 支持自動的威脅判定，對確認的威脅事件自動下發黑名單，并發送告警。3.6.3 Office 文件恢復終端安全場景下，用戶對于 PC 上掃描出來的病毒，期望終端安全軟件能夠支持病毒惡意數據的消除，其中最受用戶關注的文件類型是被感染過宏病毒的 office 文檔，如果可以支持自動化清除惡意宏數據，可以極大地提升用戶對于 EDR 終端安全軟件的使用體驗，提升產品競爭力。傳統的反病毒殺軟一般更側重檢測能力，對于病毒清除支持情況不太理想，業界對于 office 宏病毒清除有類似的實現，但是對于宏病毒清

211、除實現的較為簡單粗暴，僅支持消除宏，未考慮消除后文檔的可用性，且對于復雜的文檔嵌套場景無法支持。HiSec Endpoint 反病毒引擎(CDE)在原有的支持宏病毒檢測的基礎上，支持：1.針對多種 office 宏格式進行了深入解析，在不同文件格式下精準獲取待清除的數據，確保消除后文檔的可用性；2.進行了惡意數據消除的全局架構設計，支持復雜的文檔嵌套宏病毒清除，且架構上具備良好的可擴展性；3.設計了引擎和特征庫的聯動機制，支持通過特征規則來靈活控制每一條規則是否支持宏病毒清除。整體方案如下：圖 3-17 Office 文件恢復整體方案實現效果：1.精準識別 office 宏病毒，可對宏病毒威脅

212、 100%消除和成功修復，支持 office03/office07 word/4041版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能圖 3-16 基于域名的溯源HiSec Endpoint 提供場景化狩獵功能，支持用圖查詢語言表達復雜的狩獵邏輯，并以威脅圖的形式展現完整狩獵結果。內置華為安全團隊多年積累的實戰狩獵腳本，實現自動搜索，捕獲逃避前置防御的高級威脅。高級狩獵支持開放自定義腳本，企業安全團隊可以根據自身業務特點定制狩獵腳本，并添加到例行任務中，發現針對性攻擊，實現精準狩獵和安全守護。3.6.2 聯動處置 S

213、OARSOAR（安全編排與自動化響應）支持 EDR 聯動，將 HiSec Endpoint 處置能力編排為劇本，在 SOC處置中心選擇需要處置的威脅事件，關聯創建的劇本執行自動處置。針對邊界防護服務和 HiSec Endpoint 告警關聯生成的威脅事件，SOAR 支持調用威脅信息服務接口查詢 IP 威脅信息，調用邊界防護服務下發黑名單接口阻斷威脅 IP 流量，同時調用 EDR 接口執行終止進程和隔離文件等處置動作。針對只關聯 HiSec Endpoint 告警的威脅事件，SOAR 支持人工決策功能，安全運營專家根據返回的推薦處置方式決策是否按推薦方式執行處置。選擇按推薦處置方式處置后，調用

214、EDR 事件處置接口執行處置動作。針對邊界防護失陷主機的威脅事件，SOAR 支持自動的威脅判定，對確認的威脅事件自動下發黑名單，并發送告警。3.6.3 Office 文件恢復終端安全場景下，用戶對于 PC 上掃描出來的病毒，期望終端安全軟件能夠支持病毒惡意數據的消除，其中最受用戶關注的文件類型是被感染過宏病毒的 office 文檔，如果可以支持自動化清除惡意宏數據，可以極大地提升用戶對于 EDR 終端安全軟件的使用體驗，提升產品競爭力。傳統的反病毒殺軟一般更側重檢測能力，對于病毒清除支持情況不太理想，業界對于 office 宏病毒清除有類似的實現，但是對于宏病毒清除實現的較為簡單粗暴，僅支持消

215、除宏，未考慮消除后文檔的可用性，且對于復雜的文檔嵌套場景無法支持。HiSec Endpoint 反病毒引擎(CDE)在原有的支持宏病毒檢測的基礎上，支持：1.針對多種 office 宏格式進行了深入解析，在不同文件格式下精準獲取待清除的數據，確保消除后文檔的可用性；2.進行了惡意數據消除的全局架構設計，支持復雜的文檔嵌套宏病毒清除，且架構上具備良好的可擴展性；3.設計了引擎和特征庫的聯動機制，支持通過特征規則來靈活控制每一條規則是否支持宏病毒清除。整體方案如下：圖 3-17 Office 文件恢復整體方案實現效果：1.精準識別 office 宏病毒，可對宏病毒威脅 100%消除和成功修復，支持

216、 office03/office07 word/4243版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能xls 宏病毒清除，清除后不影響文檔正常查看；2.具備業界廠商產品均不支持的多層嵌套辦公文檔修復功能，支持嵌套宏病毒清除(office03 嵌套，office07 嵌套)，；3.支持通過特征規則來靈活控制每一條規則是否支持宏病毒清除；3.6.4 勒索加密文件恢復沒有百分百絕對安全的防御系統，在新型攻擊技術不斷進化下，除了提升防御和檢測的有效性，更需要構建系統對抗攻擊的韌性。為了確保數據零損失，HiSec Endpo

217、int 產品內置終端輕量級備份恢復機制作為兜底方案，可在檢測到勒索攻擊后，將被加密文件恰好恢復至加密前的狀態，并清理勒索信等垃圾文件，實現無損回滾。HiSec Endpoint 產品內置終端輕量級備份恢復機制優勢:存儲資源占用小:按事件觸發備份,只有當關鍵文件修改事件發生時內核層才會將該文件備份到保護區內。實時備份:當檢測到勒索程序后,將文件正好恢復到被加密時間之前的點,不會有文件版本差異。自動化:當檢測到勒索程序后,自動恢復用戶被加密的文件,無需用戶手工選擇備份版本恢復。HiSec Endpoint 產品最終可達成以下效果:1.文件破壞全場景覆蓋：克服高難度的內核態開發挑戰，在內核層監控勒索

218、病毒對文件的所有細粒度動作，并抽象到備份邏輯，融入驅動程序。2.勒索病毒全進程鏈回滾：全面覆蓋勒索病毒的多進程加密行為，支持全進程鏈回滾，內置復雜的精細化文件回滾順序機制，支持勒索病毒全進程鏈自動化逆修改。3.輕量靈活：備份單文件毫秒級，不僅內置對 doc、xls、ppt、pdf 等上百種重要文件的保護，用戶還可以自行添加需要備份的文件類型，設定備份區位置，備份區占用比等，易用性高。通過聯動存儲可進一步實現按需觸發的云端備份，支持文件黑名單攔截、快照提速、AIR GAP 熔斷聯動閉環動作。端云雙層備份，提升業務系統對抗勒索攻擊的韌性，為關鍵數據資產兜底。3.6.5 注冊表恢復注冊表恢復是指恢復

219、 Windows 注冊表的過程，Windows 注冊表是存儲配置設置和已安裝應用程序的重要系統數據庫。當注冊表由于惡意軟件感染而被篡改時，就需要進行注冊表恢復。惡意軟件通常以注冊表為目標，通過修改注冊表禁用安全功能，或更改系統行為以實現持久性攻擊。這種篡改可能導致系統不穩定，危及安全性，并降低性能。因此，將注冊表恢復到其正確的，未感染的狀態對于正常的系統操作，完整性和安全性至關重要，確保刪除任何惡意修改。華為 HiSec Endpoint 基于業界注冊表恢復的兩種主流技術，進行創新結合，通過 snapshot 記錄注冊表的信息，同時通過監控注冊表變更事件并將變更事件記錄到數據庫中，使用更少的磁

220、盤空間和 CPU 資源進行注冊表備份，更準確的恢復注冊表。修改注冊表是惡意軟件常見行為，超過 60%的惡意軟件在終端執行時都會更改注冊表值，HiSec Endpoint 通過實時監控注冊表變化，及時恢復被惡意修改的內容，有效防御惡意攻擊，保障系統穩定與安全，降低維護成本，提升整體防御能力。4243版權所有 華為技術有限公司華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司03核心功能xls 宏病毒清除，清除后不影響文檔正常查看；2.具備業界廠商產品均不支持的多層嵌套辦公文檔修復功能，支持嵌套宏病毒清除(office03 嵌套，office07 嵌套)，；3

221、.支持通過特征規則來靈活控制每一條規則是否支持宏病毒清除；3.6.4 勒索加密文件恢復沒有百分百絕對安全的防御系統，在新型攻擊技術不斷進化下，除了提升防御和檢測的有效性，更需要構建系統對抗攻擊的韌性。為了確保數據零損失，HiSec Endpoint 產品內置終端輕量級備份恢復機制作為兜底方案，可在檢測到勒索攻擊后，將被加密文件恰好恢復至加密前的狀態，并清理勒索信等垃圾文件，實現無損回滾。HiSec Endpoint 產品內置終端輕量級備份恢復機制優勢:存儲資源占用小:按事件觸發備份,只有當關鍵文件修改事件發生時內核層才會將該文件備份到保護區內。實時備份:當檢測到勒索程序后,將文件正好恢復到被加

222、密時間之前的點,不會有文件版本差異。自動化:當檢測到勒索程序后,自動恢復用戶被加密的文件,無需用戶手工選擇備份版本恢復。HiSec Endpoint 產品最終可達成以下效果:1.文件破壞全場景覆蓋：克服高難度的內核態開發挑戰，在內核層監控勒索病毒對文件的所有細粒度動作，并抽象到備份邏輯，融入驅動程序。2.勒索病毒全進程鏈回滾：全面覆蓋勒索病毒的多進程加密行為，支持全進程鏈回滾，內置復雜的精細化文件回滾順序機制，支持勒索病毒全進程鏈自動化逆修改。3.輕量靈活：備份單文件毫秒級，不僅內置對 doc、xls、ppt、pdf 等上百種重要文件的保護，用戶還可以自行添加需要備份的文件類型，設定備份區位置

223、，備份區占用比等，易用性高。通過聯動存儲可進一步實現按需觸發的云端備份，支持文件黑名單攔截、快照提速、AIR GAP 熔斷聯動閉環動作。端云雙層備份，提升業務系統對抗勒索攻擊的韌性，為關鍵數據資產兜底。3.6.5 注冊表恢復注冊表恢復是指恢復 Windows 注冊表的過程，Windows 注冊表是存儲配置設置和已安裝應用程序的重要系統數據庫。當注冊表由于惡意軟件感染而被篡改時，就需要進行注冊表恢復。惡意軟件通常以注冊表為目標，通過修改注冊表禁用安全功能，或更改系統行為以實現持久性攻擊。這種篡改可能導致系統不穩定，危及安全性，并降低性能。因此，將注冊表恢復到其正確的，未感染的狀態對于正常的系統操

224、作，完整性和安全性至關重要，確保刪除任何惡意修改。華為 HiSec Endpoint 基于業界注冊表恢復的兩種主流技術，進行創新結合，通過 snapshot 記錄注冊表的信息，同時通過監控注冊表變更事件并將變更事件記錄到數據庫中，使用更少的磁盤空間和 CPU 資源進行注冊表備份，更準確的恢復注冊表。修改注冊表是惡意軟件常見行為，超過 60%的惡意軟件在終端執行時都會更改注冊表值，HiSec Endpoint 通過實時監控注冊表變化，及時恢復被惡意修改的內容，有效防御惡意攻擊，保障系統穩定與安全，降低維護成本，提升整體防御能力。45版權所有 華為技術有限公司04部署場景44版權所有 華為技術有限

225、公司4 部 署 場景 乾坤公有云部署場景該方案為乾坤云服務部署方案，適用于數據可出局、愿意托管給乾坤云進行運維管理的用戶。該方案中HiSec Endpoint 管理端部署在公有云上，客戶只需購買乾坤云終端防護與響應服務，無需購買服務器安裝管理端。該場景要求客戶的終端能通過互聯網連接到 HiSec Endpoint 管理端上。管理員可在自己的終端，通過瀏覽器訪問HiSec Endpoint管理端，管理自己的終端Agent，進行事件處置，安全策略配置，殺毒等。HiSec Endpoint 管理端會自動從升級中心更新 Agent/病毒庫/HIPS，小時級更新安全能力。圖 4-1 乾坤云服務部署示意圖

226、 乾坤 OP 部署場景該方案為 On-Premises 線下部署方案，適用于數據不出局、有自主運維管理能力的用戶。該方案中HiSec Endpoint 管理端部署在企業內部服務器上，其中服務器可以是物理機，也可以是華為私有云HCS 上的虛擬機服務器。該場景只需終端通關內網能與 HiSec Endpoint 管理端連通即可。管理員可在自己的終端，通過瀏覽器訪問HiSec Endpoint管理端，管理自己的終端Agent，進行事件處置，安全策略配置，殺毒等。在 HiSec Endpoint 管理端能連網時，可自動從升級中心更新 Agent/病毒庫/HIPS，小時級更新安全能力。在 HiSec En

227、dpoint 管理端無法連網時，可由運維人員手動從升級中心下載最新的 Agent/病毒庫/HIPS，然后通過移動介質帶到內網，通過瀏覽器導入到 HiSec Endpoint 管理端，然后再使能各個終端進行更新升級。45版權所有 華為技術有限公司04部署場景44版權所有 華為技術有限公司4 部 署場 景 乾坤公有云部署場景該方案為乾坤云服務部署方案，適用于數據可出局、愿意托管給乾坤云進行運維管理的用戶。該方案中HiSec Endpoint 管理端部署在公有云上，客戶只需購買乾坤云終端防護與響應服務，無需購買服務器安裝管理端。該場景要求客戶的終端能通過互聯網連接到 HiSec Endpoint 管

228、理端上。管理員可在自己的終端，通過瀏覽器訪問HiSec Endpoint管理端，管理自己的終端Agent，進行事件處置，安全策略配置，殺毒等。HiSec Endpoint 管理端會自動從升級中心更新 Agent/病毒庫/HIPS，小時級更新安全能力。圖 4-1 乾坤云服務部署示意圖 乾坤 OP 部署場景該方案為 On-Premises 線下部署方案，適用于數據不出局、有自主運維管理能力的用戶。該方案中HiSec Endpoint 管理端部署在企業內部服務器上，其中服務器可以是物理機，也可以是華為私有云HCS 上的虛擬機服務器。該場景只需終端通關內網能與 HiSec Endpoint 管理端連通

229、即可。管理員可在自己的終端，通過瀏覽器訪問HiSec Endpoint管理端，管理自己的終端Agent，進行事件處置，安全策略配置，殺毒等。在 HiSec Endpoint 管理端能連網時，可自動從升級中心更新 Agent/病毒庫/HIPS，小時級更新安全能力。在 HiSec Endpoint 管理端無法連網時，可由運維人員手動從升級中心下載最新的 Agent/病毒庫/HIPS，然后通過移動介質帶到內網，通過瀏覽器導入到 HiSec Endpoint 管理端，然后再使能各個終端進行更新升級。46華為 HiSec Endpoint 智能終端安全系統技術白皮書版權所有 華為技術有限公司圖 4-2 乾坤 OP 部署示意圖華為技術有限公司地址：深圳市龍崗區坂田華為總部辦公樓郵編：518129網址：https:/客戶服務郵箱：客戶服務電話：4008302118主編談晶林智剛徐志超易蜀峰熊永鑫編 委 會馬燁梁躍旗蔡駿曹同強劉丙雙高金鎖徐永強參編人員（排名不分先后）張偉雙楊駿飛陳甲康鵬林翟育鵬朱乾徽孫開們魏仁政王君楠賁永明焦麗娟賈蘊豪王天宇劉柱張日華孟繁庫徐穎夏婷婷劉向文杜興劉吉鵬程志輝湯海燕葛馬駿夏亦凡金芙奇黃詩月彭陽陳姝編寫單位華為技術有限公司