@邪恶贝壳
2年前 提问
1个回答

EDR主要有哪些技术

上官雨宝
2年前

端点检测与防护(Endpoint Detection and Response,EDR)是一种基于采集、记录并存储数字环境中各端点行为数据与状态数据,并对数据进行关联分析,以应对威胁的安全能力,主要包括以下技术:

  • 沙箱技术:是针对可疑代码进行动态行为分析的关键技术,通过模拟各类虚拟资源,创建严格受控和高度隔离的程序运行环境,运行并提取可疑代码运行过程中的行为信息,实现对未知恶意代码的快速识别。

  • 机器学习技术:是一门多学科交叉知识,是人工智能领域的核心,专门研究计算机如何模拟实现人类的学习行为,通过获取新的技能知识重组已有的知识体系,并不断完善自身性能。在大规模数掘处理中,可以自动分析获得规律,然后利用这些规律预测未知的数据。

  • 大数据关联分析技术:在EDR中,端点采集的各类安全运行数据是终端安全工作中防御、检测和响应的重要依据。对海量终端安全数据进行自动智能化的关联分析,追溯其攻击过程,寻找漏洞源和攻击源,是有效防御和确保终端安全的重要途径和方法。

  • 攻击场景重构技术:在EDR中,攻击场景重构通过对关联规则及知识的形式化表述,将庞杂,无序的安全数据流转换为结构化、易于理解的攻击场景,将反映攻击过程和意图的场景图呈现出来,发现攻击者的攻击策略和目的,甚至推测漏报的告警和预测下一步可能的攻击行为,以协助管理人员获取更有价值的网络安全信息。

  • 数字取证技术:数字取证是指对具有足够可靠和有说服力的,存在于计算机、网络、电子设备等数字设备中的数字证据,进行确认、保护、提取和归档的过程。在EDR中,数字取证要克服云计算环境取证、智能终端取证、大数据取证等关键技术,自动定位和采集端点人侵电子证据,降低取证分析的技术门槛,提高取证效率及其分析结果的准确性,为端点安全事件调查、打击网络犯罪提供技术支持。