【IT168 评论】提到网络安全，我们面临了太多的威胁，勒索软件、黑客攻击、钓鱼欺诈等层出不穷，让不少企业和部门都疲于应对。尤其对于规模较小的SMB类型的企业更是难于应付诸多的网络安全威胁。

　　当然面对诸多的网络安全威胁也不必过于悲观，为了应对网络安全威胁，更多更新的技术也在不断被应用到网络安全中，深度学习、机器学习等一个个耳熟能详的技术逐步被引用到安全中，对于企业来讲这无疑是一大福音。

　　近期，专注网络和端点安全的英国安全公司Sophos推出了Intercept X方案最新版本，新增由先进深度学习神经网络支持的恶意软件检测功能。这一最新版本的下一代端点保护方案结合了新的主动黑客攻击缓减、先进的应用程序锁定，以及增强型勒索软件防护等功能，实现了前所未有的检测和预防能力。

　　深度学习是机器学习的最新进展，它提供了一个庞大的可扩展检测模型，能够学习所有观察到的威胁形势。与传统的机器学习相比，深度学习凭借其处理数以亿计样本的能力，以更快的速度、更少的误报率做出更准确的预测。

　　根据企业战略集团(ESG)高级认证分析师Tony Palmer介绍，传统的机器学习模型依赖于专家威胁分析师来选择用于训练模型的属性，因而增加了主观的人为因素。随着添加的数据越来越多，模型也变得越来越复杂，成为繁琐而缓慢的千兆字节模型。这些模型的误报率也很高，管理员不得不亲自确定哪些是恶意软件，哪些是合法软件，从而降低了IT的工作效率。

　　而Intercept X的深度学习神经网络能够让系统通过经验进行学习，从而在观察到的行为和恶意软件之间建立关联。这些关联性分析提高了对现有的和零日恶意软件检测的精确性，降低了误报率。ESG实验室的分析表明，这种神经网络模型很容易扩展，并且它得到的数据越多，模型就变得越智能。这样就可以主动进行检测，而且不会影响管理或者系统性能。

　　此外，最新版本的Sophos Intercept X还包括有防勒索软件和漏洞利用攻击防护，以及主动黑客攻击缓减等创新技术，例如凭证盗窃保护功能。随着反恶意软件的进步，攻击逐渐集中于盗窃凭证，目的是以合法用户身份在系统和网络中行动，而Intercept X可检测并预防此类事件发生。通过基于云的管理平台Sophos Central进行部署，Intercept X能够与任何厂商现有的端点安全软件一同安装，并即刻增加端点保护。当与Sophos XG防火墙一起使用时，Intercept X引入同步安全功能，进一步增加保护能力。

　　Sophos高级副总裁兼产品总经理Dan Schiappa认为，预测性保护将会是IT安全的未来。#FormatImgID_2##FormatImgID_3#将深度学习神经网络引入业界领先的漏洞利用和勒索软件保护产品Intercept X，是Sophos向前迈出的一大步。

　　而根据官方介绍，Intercept X最新版本产品的特点主要包括以下几点：

　　●深度学习恶意软件检测：

　　○深度学习模型可在已知和未知的恶意软件以及潜在不需要的应用程序(PUA)执行前，无需依靠特征码对其进行检测。

　　○该模型不到20MB，无需经常更新。

　　●主动攻击缓减：

　　○凭证盗窃防护——防止窃取内存、注册表和永久存储中的验证密码和散列信息，而这些信息有可能被 Mimikatz 这类攻击利用。

　　○代码洞利用——检测出植入其他应用程序中的代码，这通常用于存留和反病毒程序

　　○APC保护——侦测异步程序调用(APC)的滥用，APC通常用在 AtomBombing 代码注入技术的一部分，而最近被用于通过 EternalBlue 和 DoublePulsar 传播 WannaCry 蠕虫和 NotPetya 清除软件(攻击者滥用这些调用来捕获其他进程，以此执行恶意代码)。

　　●新的增强漏洞利用预防技术

　　○恶意进程迁移——检测攻击者使用的远程反射DLL注入方法，该方法在系统之间迁移运行的进程。

　　○进程权限提升——防止低权限进程被蓄意升级，这是一种用来获取更高系统访问权限的策略。

　　○浏览器行为锁定——Intercept X防止恶意使用浏览器的 PowerShell，以作为基本的行为锁定措施。

　　○HTA 应用程序锁定——浏览器加载的 HTML 应用程序将像浏览器一样应用锁定减缓。

　　写在最后

　　当安全威胁可以预见，安全防护也势必更加行之有效，可以说由于深度学习技术的应用使得网络安全建设工作更加完善。相信通过对深度学习、机器学习等技术的不断发掘应用，网络安全工作将愈加得心应手。相信在网络攻击、勒索软件横行的今天，Sophos Intercept X最新版本的应用势必会带来更大的价值。