TECHNOLOGY
多层安全方法
真正的网络安全应基于各种保护技术的协同作用,从经典的 AV 记录,到具有深度学习模型的、基于行为的检测。
由于更新、更复杂的网络攻击试图克服现有的保护措施,因此必须建立分层防御,涵盖不同级别的基础架构,并对每个受保护资产应用多种不同性质的保护层。这样可以有效地防御各种类型的恶意软件,同时使系统从容防范大多数攻击者。上图显示了文件防病毒的各个保护层如何阻止威胁。
第一层由一种速度超快的可靠技术构成,可通过掩码和哈希值检测恶意软件。
第二层使用了模拟,可在隔离的环境中运行可疑代码。二进制文件和脚本均被模拟,这对于防范 Web 威胁至关重要。
第三层是经典的检测例程。该工具允许 Kaspersky 专家编写代码并将其直接传递给数据库中的用户。此技术是真正不可替代的;它为解决方案补充了勒索软件的解密程序和合法打包程序的解包程序。
第四层假定在客户端使用机器学习模型。该模型的高度归纳能力有助于以一致的质量检测未知威胁(即使超过两个月都没有更新数据库)。
第五层是使用大数据进行云检测。它利用来自 Kaspersky Security Network 中所有端点的威胁分析,可以对新威胁做出前所未有的反应,并最大程度地减少误报。
第六层是基于执行日志的启发法。在抓捕罪犯时,当场抓获是最能避免损失的方法。即时备份受可疑进程影响的数据,并自动回滚,此过程可在检测到恶意软件后立即将其消除。
第七层涉及收集文件的实时行为见解,以创建深度学习模型。该模型能够在分析最少数量的指令的同时,检测出文件的恶意性质。这有助于最大程度减少威胁持续性,即使模型长时间不更新,机器学习也可以提供较高的检测率。
正如您所看到的,从本质上讲,在文件防病毒子系统的各个层上使用机器学习是 Kaspersky 的新一代多层保护方法的有力证明。在内部,这被称为“多层机器学习”。在创建其他安全解决方案时,我们也使用了相同的方法。