以卡巴斯基终端安全云为例，了解现代杀毒软件的工作原理 自动翻译

现代网络威胁正以前所未有的速度演变，要求安全系统采取全新的方法来保护企业基础设施。 如今的反病毒技术是一套复杂的集成解决方案，将传统的检测方法与先进的机器学习算法和云服务相结合。卡巴斯基终端安全云展示了现代安全系统如何适应数字时代的挑战，并提供了一种多层次的方法来确保终端安全。

云安全体系架构基础

混合基础设施模型

卡巴斯基终端安全云基于混合架构原则构建，将提供商的云基础架构与组织的客户端环境相结合。这种方法可以集中安全管理，同时保持对关键操作的本地控制。

卡巴斯基安全中心云控制台云基础架构包含一个基于 Web 的管理控制台，可用于创建和支持企业网络保护系统。该控制台充当中央管理节点，管理员可以通过它访问安全策略设置、设备状态监控和安全事件分析。

组织的客户端基础架构可能包含各种组件：Windows 工作站、服务器、iOS 和 Android 移动设备以及 macOS 计算机。每种类型的设备都受到适用于特定操作系统的专用代理的保护。

网络和协议

系统使用特定的端口范围来确保组件之间的可靠通信。TCP 端口 23100-23199 和 27200-27299 用于连接到卡巴斯基安全中心云控制台，从而提供灵活的网络配置。端口 13000 负责管理客户端设备和提供更新，而端口 443 用于连接到卡巴斯基云服务和控制台检测服务。

这种架构确保了即使在网络连接暂时失败的情况下系统也能稳定运行，因为设备上的代理可以在离线模式下继续工作，并在连接恢复后进行后续数据同步。

保护系统的技术组成部分

多平台安全代理

卡巴斯基终端安全云包含针对每个受支持平台的专用组件。适用于 Microsoft Windows 的网络代理与卡巴斯基终端安全协同工作，通过集成基础和高级威胁检测机制提供多层保护。

基础级防护采用成熟的签名分析和启发式检测技术，有效抵御大规模攻击。高级防护则采用行为分析和机器学习技术，旨在防御复杂的定向攻击。

控制组件可减少攻击面，并确保企业安全策略的实施。管理代理充当本地保护组件和云控制台之间的中介，传输配置更改和检测到的威胁信息。

移动设备安全

该系统支持通过各种机制（具体取决于操作系统）管理移动设备。对于 iOS 设备，移动设备管理技术通过一个包含服务器地址和安全证书的特殊 XML 文件实现。安装此配置文件后，设备将置于集中管理之下。

安卓设备通过卡巴斯基安全移动应用程序 (Kaspersky Security for Mobile) 进行保护，该应用程序集保护功能和云服务器通信功能于一体。这种方法为组织的移动基础设施提供了全面的安全保障，同时最大程度地减少了对用户体验的影响。

威胁检测与分析方法

特征分析作为检测的基础

签名分析仍然是现代反病毒系统中检测已知威胁的基本方法。该方法基于在扫描文件中搜索特定字符串或模式，以及分析整个文件的哈希值。卡巴斯基安全云使用定期更新的庞大反病毒数据库，以提供针对最新威胁的防护。

签名分析的优点包括检测速度快、误报率低以及对受保护设备计算资源的要求低。然而，在处理多态恶意软件和现有威胁的新变种时，该方法存在局限性。

为了克服这些限制，该系统采用结构启发式签名和SmartHash技术，通过分析文件的结构特征来检测未知和多态恶意软件。

启发式分析和模拟

启发式分析通过分析受控环境中对象的行为，显著扩展了检测能力。该系统会创建一个安全的人工环境，在其中模拟可疑文件或脚本的执行。如果在模拟过程中检测到可疑活动，则该对象会被归类为潜在恶意对象。

该模拟器重建了一个功能执行环境，包括目标操作系统的系统功能和各种子系统，但不涉及真实系统组件。这种方法可以安全地分析可疑对象的行为，而不会有感染真实系统的风险。

启发式分析对新型和未知威胁尤其有效，因为它分析的是程序的行为而非签名。即使特定的恶意软件变体尚未被录入签名数据库，该系统也能检测到恶意行为。

SmartHash技术和智能哈希

SmartHash 是一种专利算法，用于构建考虑文件本地化的智能哈希值。该技术允许根据功能相似性对文件进行分组，即使它们在二进制代码级别上有所不同。

当不同的文件以类似的方式运行时，它们可能具有相同的 SmartHash 值。特定的 SmartHash 值可以识别一整个类似文件的集群，从而允许基于已知家族有效检测未知恶意软件。

SmartHash 技术采用多级精度，确保即使是高度多态性的恶意软件也能被检测到，同时最大程度地减少误报。SmartHash 的在线组件会通过全球卡巴斯基安全网络，将客户端计算值与数据库中数十亿个已知的干净文件进行比较。

机器学习在安全系统中的应用

监督和无监督学习方法

卡巴斯基终端安全云在威胁检测过程的各个阶段积极应用机器学习方法。该系统使用监督学习和非监督学习方法执行各种安全分析任务。

监督学习会分析一组对象属性及其对应的分类标签，从而创建一个能够正确判断先前未知对象状态的模型。属性可以包括文件统计信息、所用 API 函数列表以及其他特征，而分类则涵盖从简单的“良性”或“恶意”分类到更详细的威胁类型分类。

无监督学习方法用于发现数据中隐藏的模式，检测相似对象组，并识别相互关联的属性。这种方法对于识别现有分类类别无法涵盖的新型威胁尤其有用。

静态和动态分析

该系统实现了两种基于机器学习的对象分析主要方法：不执行对象的静态分析和执行过程中的行为动态分析。

静态分析无需执行对象即可处理其相关信息，具有较高的泛化能力和效率。检测器的工作分为两个阶段：首先，计算一个灵活的哈希值来检查对象是否属于“脏”区域；然后，根据需要进行详细分析。

动态分析检查对象在执行期间的行为，包括系统调用、网络活动、文件系统和注册表更改，以及执行过程中生成的数据。内存转储提供对原始代码的访问，并允许您检测指示恶意意图的数据。

自动化模型训练

该系统采用自动化威胁情报中心，持续处理大量恶意文件和干净文件。该中心提取基本的行为特征并训练模型，然后将其转换为行为场景，并通过增量更新的方式传递给检测器。

机器人逐行处理沙箱日志，利用机器学习技术学习新的恶意样本的执行记录，发现新的检测指标，丰富专家创建的检测方法和启发式行为记录的数学模型。

行为分析和活动监控

多级系统事件监控

卡巴斯基网络安全解决方案云中的行为分析功能会分析受保护设备可信环境中所有组件的活动。该系统区分多个分析级别，首先监控关键系统事件。

第一级包括跟踪进程创建、关键注册表值的更改、文件修改以及其他关键系统操作。所有接收到的事件都会被规范化，转换为通用格式，以便由各个分析模块进行后续处理。

下一阶段会为某些事件添加额外的信息：系统确定修改的文件是否可执行、分析访问权限、检查数字签名以及执行事件上下文的其他检查。

行为模式的过滤和聚合

在过滤、聚合和场景提取阶段，系统识别出构成特定行为场景的重要事件组合和序列。恶意场景库由自动化中心生成，并根据对新威胁的分析定期更新。

行为分析的优势在于它能够实际观察程序的行为，这与入侵防御阶段分析的假设行为模式截然不同。该系统可以检测利用合法系统工具实现恶意目标的复杂多阶段攻击。

检测器通过识别恶意行为场景来判断对象的恶意性，从而可以阻止复杂的威胁，包括零日漏洞利用和无文件攻击。

基于云的威胁情报技术

卡巴斯基云沙盒和虚拟分析环境

卡巴斯基云沙盒是一款先进的自动化恶意软件分析系统，基于二十多年的威胁研究经验而开发。该系统采用混合方法，将基于PB级统计数据的威胁研究与行为分析相结合。

该沙盒包含强大的反规避和人类行为建模技术，例如自动点击器、文档滚动和虚拟进程。这些技术能够激活恶意软件，使其试图检测虚拟环境并逃避分析。

该系统提供最高级别的检测能力，每天可识别数千个新的恶意文件。这一优势使其能够检测复杂的定向威胁和绕过传统防病毒解决方案的复杂攻击。

文件行为的详细分析

卡巴斯基云沙盒提供有关可执行文件操作和行为的详细信息。系统监控 DLL 库的加载和启动、互斥的创建、注册表部分的修改和创建、以及与域名和 IP 地址的外部连接。

分析包括监控 HTTP 和 DNS 请求、通过可执行文件创建进程以及创建、修改和删除文件。系统针对每种检测到的活动类型提供上下文建议，帮助分析人员了解威胁的性质并采取适当的措施。

用户友好的界面让您轻松解读分析结果，并支持导出 JSON、STIX 和 CSV 格式，确保与现有安全分析系统集成。REST API 支持让您能够自动化分析流程，并将沙盒集成到组织的工作流程中。

事件检测和响应功能

EDR技术的集成

卡巴斯基安全中心云控制台可以集成威胁检测和响应 (EDR) 功能，以防御高级网络威胁。该解决方案的功能将自动威胁检测与响应功能相结合，以防御复杂的攻击，包括新型漏洞利用、勒索软件和无文件攻击。

当 Endpoint Protection Platform 应用程序检测到威胁时，系统会将警报添加到通知列表中。警报包含有关检测到的威胁的详细信息，并允许您分析和调查其特征。管理员可以通过创建威胁链图来可视化威胁，该图描述了攻击随时间推移的发展阶段。

系统提供了一组预定义的响应操作：隔离不受信任的对象、将受感染的设备与网络隔离、为可疑对象创建执行预防规则以及其他响应措施。

托管检测和响应

卡巴斯基网络安全解决方案云支持与托管检测和响应 (MDR) 服务集成。检测到威胁后，系统会在事件列表中创建一个新事件，其中包含有关该威胁的详细信息。

安全运营中心分析师负责调查事件并提出补救措施建议。组织可以手动接受或拒绝建议的措施，也可以启用自动接受所有建议的功能，以加快响应流程。

这种方法使组织能够获得安全专业人员的专业知识和经验，而无需建立自己的安全运营中心。

保护虚拟和云环境

虚拟化专业解决方案

现代组织积极使用虚拟和云技术，这需要专门的安全方法。卡巴斯基虚拟和云环境安全解决方案可保护虚拟机、公共云以及运行 Windows 和 Linux 的服务器。

该系统提供新一代防御现代网络威胁的保护，增强企业服务器的保护，并降低攻击得逞的风险。该多级系统包含增强可靠性、防御漏洞、监控文件完整性和阻止网络攻击等功能。

该解决方案与流行的云平台集成，包括 AWS、Microsoft Azure、Google Cloud 和 Yandex.Cloud，为组织的混合基础设施提供统一保护。

SharedCache技术与资源优化

对于虚拟桌面基础架构 (VDI)，系统支持通过链接克隆和完整克隆技术快速配置机器。预安装轻量级代理，您只需克隆模板即可创建新的虚拟机。

克隆完成后，新机器将自动受到集中式虚拟安全设备的保护。这种方法简化了VDI管理，无需不断更新虚拟桌面映像中的安全产品。

SharedCache技术优化了虚拟环境中的资源使用率，确保保护系统高效运行，同时不影响虚拟机的性能。

集中管理

云管理控制台

卡巴斯基终端安全云让管理员能够访问始终在线的云控制台，从而可以通过任何连接到互联网的设备应用和更改安全功能。这种方法对于没有现场系统管理员的组织尤其方便。

该控制台的云架构无需购买和维护额外的硬件，初始设置也能够快速完成。所有安全功能均可通过单一控制台在所有类型的设备上进行配置和部署：Windows 工作站、笔记本电脑、文件服务器和移动设备。

简洁易用的界面让您能够快速配置策略并将其应用于组织内的所有工作站。专家开发的预装安全策略简化了系统的初始配置。

安全配置文件和策略

该系统使用安全配置文件的概念来管理不同设备组的保护设置。管理员可以使用制造商专家提供的预设，为所有类型的设备和操作系统创建统一的安全配置文件。

安全配置文件部分包含已配置的配置列表，每个配置都定义了用于检测各种对象类型的参数。系统允许您配置对病毒、蠕虫、木马和恶意实用程序的检测，还可以扩展列表以包括对广告程序和入侵者可能使用的合法应用程序的控制。

策略设置的灵活性使您可以根据组织的特定要求调整安全系统，在安全级别和公司资源的易用性之间取得平衡。