深信服 2022 十大技术升级盘点，致力于让所有用户的安全领先一步

2022 年，从全球安全来看，勒索攻击、APT 攻击等高危害性网络攻击愈演愈烈，国内外数据泄露事件频发；从国内政策来看，今年 14 项网络安全国家标准获批发布，网络安全越来越受到国家重视。然而，随着黑客工具的频繁更新、新型病毒的不断迭代、RaaS (勒索软件即服务) 模式的盛行，企业单位对安全的诉求也越来越强烈，对安全技术的要求也越来越高。

深信服作为国内专注于企业级安全、云计算及基础架构的产品、服务和解决方案的供应商，近日盘点了其 2022 年的十大升级技术，威胁的精准检测定位、业务安全访问与接入安全、数据安全、应用开发安全……

针对用户遇到的这些安全建设痛点，在面对业界普遍面临的技术难题上，深信服是如何解决的? 接下来，我们就进入盘点:

安全的本质是攻防，而防御的核心在于精准检测。还记得去年，我们给大家盘点了我们在主动检测、IoA 高级威胁检测、加密流量检测和未知威胁挖掘上的检测能力，今年在检测能力上，深信服的目标就是更加精准。

未知病毒检测：AI 检测引擎 SAVE 升级

为进一步提升未知病毒的检测泛化能力以及快速更新迭代能力，深信服引入基于多智能体模型算法推荐架构，对可疑病毒文件进行多重检测。

首先通过 AI 技术 (word2vec, 主成分分析) 对文件隐藏的静态恶意文本字段进行自动化提取，然后综合多种 AI 模型算法 (随机森林算法，神经网络) 对提取的恶意文本字段进行自动化分析，实现未知病毒的多分类精准定位检测，还能够持续快速迭代。

未知行为检测：BASE 引擎检测终端异常行为

为了绕过安全系统的规则检测，越来越多威胁以人工介入的 0day 漏洞利用、复杂攻击等行为进入网络，深信服从来自数百万终端的安全运维及 1000 + 实战攻防对抗事件中，沉淀出从异常行为模型、智能学习、异常研判、基线调整等的异常自学习引擎 Behavior

Anomaly Self-learning Engine (BASE), 快速发现规则检测难以检测的未知攻击、无文件攻击、APT 攻击等行为。

攻击链溯源: 智能遥测和 SENSE 攻击成功引擎

遥测数据是经过最小化处理的数据，是为了证明特定攻击行为而产生的。这种遥测数据和元数据最大的不同是它是和特定的攻击技战术行为相关。

遥测技术不仅仅是对已知风险进行判断和响应，而是通过将各遥测点采集的遥测数据进行聚合与分析，深度了解所保护或监控的对象中是否存在的安全风险与攻击 (含隐蔽的), 进而形成安全日志。遥测数据可以帮助用户回溯之前已经发生过的相关安全事件，让网络安全具备可观测性。

同时随着安全检测技术演进，生成的安全日志增多，哪些行为是攻击成功、需重点关注及处置，又成为难题。因此，定位攻击成功的威胁变得越来越重要。

深信服 Sense 攻击成功引擎在 E+N 检测基础上创新合入语义分析技术识别攻击意图、上下文的关联分析技术识别攻击成功。

未知资产梳理：AI 赋能未知资产识别

深信服通过未知资产识别技术提升资产规则库的数量和质量，最终赋能各类具备资产识别能力的产品，包括但不限于可扩展检测响应平台 XDR、云镜、物联网接入安全网关 SIG、下一代防火墙 AF。

深信服未知资产识别的核心算法已申请了 10 + 项发明专利，涉及指纹推荐、指纹自动生成、机器学习资产识别等。

零信任作为新一代的网络安全防护理念，如何做到高稳定、高安全、高易用地落地，成为了业界关注的焦点。

第三代 SPA + 一人一码技术，

打造零信任安全接入基础

用户在进行业务接入安全建设时，为保障业务接入身份合法性，零信任的安全接入已经被广泛使用。其中防止不法分子嗅探服务，通常使用 SPA 单包授权技术，实现服务隐身，从网络上无法连接、无法扫描。而传统方式通过 UDP 或 TCP 的 SPA 技术，要么会造成源 IP 放大，要么端口暴露，不够安全。

深信服 aTrust 创新采用了 UDP+TCP 混合的第三代 SPA 技术，结合前两种 SPA 单包授权的优点，建立接入稳定安全的基础，并提出"一人一码"管理模式，改变过去控制软件包或终端等传统模式，有效解决安全码丢失、安全码冒用等问题，进一步提升用户接入的安全性。

高性能分布式集群架构，

保障安全更稳定

今年，深信服在零信任落地实践上也取得了诸多突破性的成绩。

深信服 aTrust 推出了 X-Performance

2.0 分布式高可靠架构，在安全性层面上，X-Performance 采用了端云联合计算架构，支持安全因子在终端 + 云端联合检测，以降低服务端负载、提高响应速度，同时也在云端做安全策略最终核验，防范终端被攻破、保障安全效果，取得性能和安全间的优异平衡。

X-Performance 2.0 架构已在某大型客户处落地实践，一套分布式集群统一管理 4 个集群节点，支撑了 200 万 + 终端、日并发在线 110 万 + 的真实使用，分布式内所有用户会话可在各集群节点间漂移，充分保障业务超大并发下安全可靠、连续使用。

各行各业的业务逐步向微服务化、无服务化、边缘计算、应用交付 SaaS 化趋势发展，数据共享开放变得越来越普遍。然而，这也给黑客提供了更多"商机"，企业的核心数据，一个不留意就成了暗网买卖，企业名誉受损，甚至面临法律惩罚…… 数据安全保护刻不容缓!

面向 API 场景的脆弱性风险检测，全面识别潜在安全隐患

当大数据平台或业务系统通过 API 进行数据传输时，因为 API 自身的不可见性，安全管理员往往难以掌握 API 资产现状以及接口的安全情况。

深信服通过丰富的脆弱性检测规则，能够有效进行 API 资产管理和接口脆弱性的检出，识别发现潜在接口未鉴权、安全规范、敏感数据泄露等因接口自身设计缺陷而带来的安全隐患，通过自动化验证工具进一步佐证风险的危害性，实现精准的风险闭环。

利用脆弱性检测技术，我们协助用户有效闭环了多个高危 API 数据安全泄露风险。

面向 API 场景的 UEBA 数据异常行为检测，精准有效识别异常行为风险

面向 API 的异常访问调用或攻击风险，传统的安全防护手段主要以边界安全为主，在安全能力上无法覆盖到 API 敏感数据的保护，从而导致 API 数据泄露和违规访问的风险依然无法规避。

深信服通过大数据与 UEBA 用户行为分析技术，对用户数据访问流量进行建模，自动生成安全基线，并结合异常行为特征模型对数据访问行为进行研判，生成异常访问行为风险告警。

结合实战攻防场景，梳理高危的 API 数据泄露场景，基于异常行为风险告警，做进一步的自动化关联分析，以场景化的视角还原攻击过程。管理员可以通过安全事件了解整个异常事件产生的风险画像，降低风险分析的难度，提升告警精准率和安全事件闭环效率。

此外，深信服情报云实时进行暗网监测，如有疑似数据泄露事件也将通过深瞻情报实验室威胁情报专家第一时间进行响应分析。

业务 or 安全? 成为横亘在应用软件开发阶段的一道坎，而应用的快速迭代，也让现有安全举措难以匹配业务进行有效防护。

VPT 漏洞优先级排序技术 +

IAP-vPath 应用内生虚拟补丁技术

深信服 VPT 漏洞优先级技术，基于漏洞所对应的资产重要程度、影响范围，以及漏洞可利用程度和黑客攻击频率几个重要维度，帮助用户快速分析漏洞的风险等级，风险等级高的优先修复，有效降低风险。

IAP-vPatch 虚拟补丁技术，可以在业务运行中植入虚拟补丁，不影响业务运行的情况下，针对应用漏洞进行精准拦截，对应用漏洞进行虚拟修复，提升应用安全免疫能力。

除了在产品与方案上的技术落地，在安全技术研究上，深信服也在持续对外分享。

今年深信服千里目安全技术中心也迎来了全新升级，以"6+1"实验室的架构与大家见面，以前沿、开发、共享的价值理念，在国内外的技术舞台上分享交流着安全技术研究。

致力于让所有用户的安全领先一步

深信服一直保持着对用户数字化安全需求的深入研究与分析，从云化转型、平台化升级、AI 赋能、安全左移四个方向，努力实现网络安全的数字化转型，坚持技术创新，重视技术实用性，致力于打造集安全效果与体验于一体的，简单有效、省心可靠的安全产品，致力于让所有用户的安全体验领先一步，安全效果领跑一路。