終端威脅檢測與響應技術研究及發展研判*

劉 飛，黃云婷，江 巍，李佳楠

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

近年來網絡安全事件頻發，從“震網”病毒事件到烏克蘭“電力門事件”，從棱鏡門事件到勒索病毒事件，以及針對我國的“蔓靈化”事件、“海連花”事件、“藍寶菇”事件等，這些安全事件歸納起來，均具備如下三方面特點。

首先，都發生在終端設備上，攻擊的主要對象是各類計算實施設備，通過攻擊各類終端設備，實現數據竊取、系統破壞、錢財勒索等目的。

其次，對傳統的攻擊而言，這些攻擊過程更具隱蔽性，攻擊目標也更有針對性。攻擊者在發起攻擊之前，往往會進行潛伏、偵查、分析、武器化、傳輸、漏洞利用、滲透、攻擊、隱蔽等步驟[1]，攻擊步驟經過精心策劃和縝密設計。

最后，這些攻擊大多會利用操作系統上未公開的漏洞，傳統的終端安全防護軟件（EPP 軟件），大多基于已有經驗或者已知特征進行被動式防御，在面臨通過0day 漏洞發起的攻擊時，顯得無能為力。

面對攻擊手段出現的這些新變化，以及操作系統層出不窮的未知安全漏洞，終端安全亟需打破傳統的防御思路，破解被動挨打的局面，從技術上主動發現、識別各類已知和未知安全威脅，及時阻斷網絡入侵行為，同時能夠提供一種安全防護托底的手段，在安全事件發生后，對安全事件進行取證分析和追蹤溯源。

1 EDR 概述

1.1 EDR 的定義

終端威脅檢測與響應技術（Endpoint Detetion And Response，EDR）是一種新型的、智能化和快速迅捷的主動防御技術，該技術遵循Gartner“預測、防護、檢測和響應”的防御模型，作用貫穿安全事件發生的全過程。EDR 實時監測終端上發生的各類行為，采集終端運行狀態，在后端通過大數據安全分析、機器學習、沙箱分析、行為分析、機器學習等技術，提供深度持續監控、威脅檢測、高級威脅分析、調查取證、事件響應處置、追蹤溯源等功能，可第一時間檢測并發現惡意活動，包括已知和未知威脅，并快速智能地做出響應，全面賦予終端主動、積極的安全防御能力。同時，EDR 技術還能與SIEM、SOC、態勢感知類產品進行融合，為構建“網”“端”“云”融合的大安全防護體系提供數據和技術支撐。

Gartner 在2013 年首次提出終端威脅檢測與響應的概念之后，立即引起了安全界的廣泛關注，之后在2016 年到2019 年連續進入 Gartner 的 10 大技術之列。根據Gartner 等國外著名咨詢機構的統計數據顯示，2015 年至2019 年間，EDR 市場的年復合增長率保持在40%以上，預計并在2020 年突破10 億美元大關。國內外的安全公司（尤其是綜合性的大公司）也都紛紛布局終端威脅檢測與響應產品，國內有深信服的終端檢測響應平臺EDR、天融信的TopEDR、奇安信的天擎，國外有Comodo 的Comodo Advanced Endpoint Protection（AEP）、卡巴斯基的Kaspersky Endpoint Detetion And Response（KEDR）、CrowdStrike 的Falcon Host 等。

1.2 安全模型

Gartner 在2017 年發布的《應用保護市場指南》中首次提出了PPDR 的安全防御模型[3]，即由預測（Predict）、防護（Prevent），檢測（Detect）、響應（Response）四個階段組成的自適應安全防御模型[2]。而EDR 技術與此防御模型的四個階段完全吻合，功能上完全覆蓋，如圖1 所示。

圖1 EDR 安全防模型

預測：EDR 實時采集終端的運行數據，提取終端的運行狀態和行為動作，通過后端數據分析，主動發現和識別終端上存在的安全隱患和風險，對終端可能遭受的網絡攻擊進行預測。

防護：EDR 通過不斷的終端行為學習，形成基于終端的行為模型，在終端遭受網絡攻擊時，EDR通過行為模式識別和規則匹配，能夠及時發現和阻斷攻擊行為，對終端能夠起到實時地防護作用。當年裝了EDR 產品的終端，能夠免受“永恒之藍”病毒的攻擊就是EDR 防護能力的印證。

檢測：EDR 能夠實時檢測終端的運行狀態，核查終端存在的風險點和不符合規定項，如開啟的威脅服務、開放的網絡端口、存在的系統賬戶，關鍵文件的異常操作、系統安全策略設置等，并提供修復和整改措施，通過持續的檢測和修復，不斷降低終端安全風險，提升網絡攻擊門檻。

響應：在安全事件發生后，EDR 能夠及時清除攻擊代碼，修復漏洞或關閉服務，防止再被攻擊。依托后端數據分析，實現攻擊過程的溯源追蹤，將攻擊發生的時間、地點、進程、文件、注冊表、服務、網絡端口等進行關聯分析，還原整個攻擊過程，同時提取攻擊特征，實現攻擊二次抑制。

1.3 工作原理

終端威脅檢測與響應的原理架構如圖2 所示，包括四部分，分別是防護代理、管理平臺、分析中心和安全態勢，各部分的功能和作用如下：

防護代理：防護代理運行在終端設備上，對終端的安全狀態進行安全評估和核查，實時監控操作系統上發生的各類行為，采集并上報運行數據，提取可疑樣本到管理平臺分析，同時在發現安全威脅時，能夠自動響應處置。

管理平臺：基于大數據平臺進行安裝部署，是EDR 的核心部位，其作用是管理、存儲和分發整個系統的安全策略，監視防護代理的運行狀態，對防護代理采集的數據進行威脅分析，感知和發現入侵行為，提取入侵攻擊的行為特征，對入侵者進行畫像，并對入侵攻擊行為發起應急響應處理等。

分析平臺：分析平臺向管理平臺提供分析服務，通過對樣本進行黑白名單查詢、病毒引擎檢測、智能沙箱分析、威脅情報分析和專家系統分析后，識別出惡意樣本文件，并將識別結果反饋給管理平臺，實現惡意代碼二次攻擊抑制。

安全態勢：對EDR 采集的安全狀態數據、告警日志數據、安全事件信息、任務處置情況進行融合處理、過濾、分析、整編，以GIS、圖表等可視化方式展示攻擊源、攻擊過程、統計排名等態勢數據，為應急處置提供決策依據，是EDR 宏觀掌握終端整體安全狀態的重要抓手。

圖2 EDR 工作原理

2 關鍵技術分析

EDR 不僅僅是一種技術，更是終端安全防御的一種思想。為了將這種思想轉為具體的產品，需融合多種關鍵技術，包括終端安全防護技術、數據采集技術、大數據分析技術、威脅情報技術、安全取證技術等[3]，通過對這些技術的有效組合和合理運用，實現終端的安全威脅檢測與響應。

2.1 終端安全防護技術

EDR 解決的是終端安全問題，那么EDR 首先需要的就是終端安全防護技術，包括終端基線核查、補丁加固、創新微隔離、行為監視、終端管理、策略分發、樣本提取等都屬于終端安全防護的技術范疇，同樣地EDR 也需要考慮操作系統、硬件平臺、應用系統的兼容問題等。

終端安全防護技術是EDR 的基本基礎，要進行威脅分析和響應處置，首先離不開終端安全防護技術的支撐。也可以說EDR 是終端安全技術發展到一定階段的必然產物，也是EPP 在發展到一定階段遇到瓶頸之后，出現的一種全新的思維模式和解決方案。

2.2 數據采集技術

EDR 在終端需進行靜態和動態數據采集，靜態數據采集部分包括采集操作系統運行的當前狀態，如資產信息、服務、端口、進程、線程、漏洞等。動態信息包括操作系統上發生的各類行為操作，如賬戶創建、網絡訪問、數據發送、文件操作等，記錄并采集動作關聯的進程、目標文件、動作結果、網絡數據等。數據采集是EDR 進行威脅預測和安全分析的前提和基礎，也是EDR 區別于EPP 的重要特征之一。

數據采集并沒有統一的標準，各廠家對數據采集的定義也不盡相同，對數據種類、數據屬性、數據描述都需以數據分析為牽引，為數據分析服務。雖然數據采集標準不統一，但通常各廠家進行數據采集時會參考威脅情報的數據定義標準，如Stix、TaxII、CybOX、OpenIOC 等[4]。

2.3 大數據分析技術

EDR 區別于EPP 的另一個重要的特征就在于EDR 具有大數據分析的能力，EDR 能夠將終端采集的各類異構數據進行集中存儲和數據分析，通過深度學習、強度學習、關聯分析、聚類分析等，發現和識別出終端上隱藏的安全威脅，挖掘出已淪陷的終端主機，發現不滿足安全要求和不符合安全規定的終端。

EDR 能夠對抗無文件攻擊、0day 漏洞攻擊和APT 攻擊的一種重要原因就在于其能夠利用大數據分析技術，對網絡攻擊各個環節的動作和產生的數據進行長期持續地分析，能夠在沒有規則和先驗知識的情況下，識別中網絡中存在的威脅。

2.4 威脅情報技術

威脅情報技術是EDR 能夠快速、準確識別高級威脅和未知威脅的重要基礎和前提。威脅情報能為EDR提供海量的內外部威脅數據、惡意樣本數據、攻擊特征數據、黑客組織畫像信息等關鍵數據，幫助對網絡攻擊進行綜合研判，對樣本進行識別、識別攻擊家族等。通過多源情報關聯信息，對攻擊者進行追蹤溯源，挖掘攻擊者發起攻擊的動機，同時基于威脅情報數據以及大數據分析，EDR 還能高效地檢測未知攻擊，實現對未知攻擊類型的防御。

此外，EDR 本身具有威脅捕獲功能，EDR 在識別和發現威脅后，通過逆向樣本文件，提取威脅特征，又能生產威脅情報數據，為威脅情報的其他應用場景（如NDR、SIEM、SOC 或者態勢感知）提供支撐。

2.5 安全取證技術

在安全事件發生后，為了能夠追查攻擊行為，重放攻擊過程，對攻擊事件進行追蹤和溯源，需要使用安全取證技術對攻擊發生前、發生時和發生后的終端運行狀態進行取證，在安全取證過程中難點是要保證取證數據的相關性、真實性和完整性。

3 EDR 發展趨勢研判

3.1 EDR 和EPP 的融合

不管是EPP 還是EDR，都涉及大量操作系統底層技術，安裝不同廠家的EPP 和EDR 產品，容易產生兼容性問題，同時也會給用戶增加管理運維難度。基于此，正如 Gartner 在 EDR 技術架構解析中指出，傳統的EPP 解決方案與當前的EDR 解決方案，將是一個互相融合的趨勢。將EPP 和EDR進行融合，打造終端的一體化解決方案，不僅能夠節約管理和運維成本，防止不兼容性現象，提升用戶體驗，更重要的是能夠實現EDR 和EPP 的聯動，如EDR 為EPP 的防護策略提供依據和來源，EPP為EDR 提供更全面、更有效的安全響應措施。EPP和EDR 的集成和融合，能夠達到1+1 ＞2 的效果。

3.2 向物聯網滲透

隨著5G、IoT、云計算和大數據等新興技術的不斷發展，未來萬物互聯是必然趨勢。對于接入網絡相互連接的任意終端設備，都有被防護的需求，物聯網的安全防護能力呈現“木桶效益”原理，任意一個物聯網終端自身的漏洞都可能影響全局安全。EDR 作為終端安全的重要解決方案，其作用對象不僅僅包括是主機、服務器、云終端、虛擬機等，還需要包括嵌入式設備、移動終端、智能終端、工控設備、BYOD 設備等各種物聯網終端形態[5]。EDR 管理終端的類型越多、數量越多，其作用的范圍就越廣，收據收集越全，分析和檢測能力也就越強。EDR對物聯網的滲透既是EDR自身發展的需要，也是物聯網安全發展的需求。

3.3 自主平臺安全

加強網絡信息技術自主創新已經作為網絡強國戰略的首要任務，掌握前沿核心關鍵技術，加快推進國產自主可控替代計劃，構建安全可控的信息技術體系已成為國家基本戰略[6]。未來的國內市場，尤其是企業、政府、軍隊等ToB 和ToG 市場，構建完全自主可控的軟硬件終端生態環境將是必然趨勢，EDR 也就向全面兼容和支持國產平臺方向發展，而目前國內主流的EDR 廠商均不同程度地支持國產軟硬件平臺。由于國產軟硬件平臺太多、太繁雜（操作系統就包括中標麒麟、銀河麒麟、湖南麒麟、深度系統等，處理器平臺包括龍芯、飛騰、申威、海光等），而EDR 作用于操作系統層面，與操作系統內核和處理器架構存在強關聯關系，所以EDR在國產化適配的道路上任重而道遠。

3.4 云和服務器安全

由于個人計算終端在數據安全性、管理難度、靈活性和資源利用度等方面所表現出的劣勢，越來越多的企業將會選擇云上解決方案[7]，計算終端的云化部署也將是一大趨勢，EDR 也將會更多地與云計算技術相融合，實現對云終端的威脅監測與響應。不同于物理計算終端，EDR 在云終端上，通常會采用云工作負載安全平臺（CWPP:Cloud Workload Protection Platforms）方案，使用輕量級代理，減輕對云主機性能影響,同時EDR 還會與云平臺聯動，實現東西向流量監測、網絡入侵檢測與防御、創新微隔離等功能。目前國際上的Crowdstrike、Sophos等均將主打產品放在云上，而國內廠家（如安全狗、杰思、網思科平等）也都形成了專門針對云環境的EDR 產品。

4 結語

與EPP 側重于終端管理和控制不同，EDR 更側重于對終端運行狀態的分析，通過終端采集的各類運行數據，借助大數據分析、威脅情報、智能沙箱、人工智能等多種創新安全防護技術，在第一時間感知可疑行為，將安全威脅（包括勒索軟件、APT 攻擊、0day 攻擊等）可視化，并快速做出響應。由于EDR 具備更強的未知威脅檢測發現能力，能夠真實反應網絡攻擊的全過程，未來將在物聯網安全、國產化安全、云和服務器安全上等領域得到越來越多的運用。