本文提供了对反恶意软件和下一代(NG)反恶意软件引擎的Cato反恶意软件(策略的概述。 有关更多自定义访问权限策略的信息,请参见配置反恶意软件访问权限策略。
Cato反恶意软件安全策略提供两层保护,以防止恶意文件进入您的网络:反恶意软件和下一代反恶意软件。 两个层次同时扫描来自广域网和互联网流量的文件。
- 反恶意软件层基于已知文件签名和启发式分析保护免受恶意软件威胁。
- 下一代反恶意软件是基于机器学习恶意软件检测技术的第二层,使用预测模型将文件分类为良性、可疑或恶意。 此层扫描文件并寻找指示文件是否为恶意的特性。 这些型号能够检测未知和零日恶意软件。
反恶意软件引擎扫描每个下载文件的唯一签名,并将该签名与已知恶意文件数据库进行比较。 数据库每30分钟更新一次,包含新的文件签名。 此引擎还使用启发式分析检查源代码,并与已知病毒进行比较。 如果代码与其他病毒的代码匹配,则文件被标识为恶意。 此层是针对恶意软件的主要威胁防护。
Cato实施了SentinelOne 下一代反恶意软件引擎,提供第二层威胁保护。 此引擎使用AI模型检测可移植可执行文件、PDF和Microsoft Office文档中的威胁。 通过从恶意软件库中提取数百万个恶意软件样本的特征来开发AI模型。 然后,使用(监督机器学习(SML)来识别和关联良性和恶意文件的不同特征。 引擎然后使用该模型识别未知文件中的类似特征,这些文件被分类为:
- 恶意文件——几乎可以肯定是恶意软件
- 可疑文件 - 文件或行为显示与恶意软件相关的特征,但没有足够的置信度或数据来明确将其分类为良性或恶意。
- 良性文件 - 包含安全文件的特征,很可能不是恶意软件
注意
注意: 下一代反恶意软件引擎的AI模型可以检测未知恶意软件。 然而,在极少数情况下,该模型可能会产生误报并阻止合法文件。 您可以创建例外并允许用户访问和下载文件,请参见配置反恶意软件访问权限策略。
由于NG反恶意软件引擎基于算法而不使用基于签名的检测,因此不需要高频更新。 引擎的算法每隔几个月更新一次。
本节说明在使用默认策略时,反恶意软件和NG反恶意软件保护层如何同时扫描文件。
在使用默认策略时,反恶意软件和NG反恶意软件引擎同时扫描所有下载的文件,并阻止任何被分类为恶意或可疑的文件。 如果文件下载请求被阻止,则文件被丢弃,并生成事件。 如果文件同时被两个引擎阻止,则可能会生成两个事件。
反恶意软件和下一代反恶意软件引擎扫描HTTP、HTTPS和FTP流量。
基于默认策略,当终端用户开始从互联网或广域网下载文件的过程时,以下是每个引擎在同时扫描文件时的行为:
-
反恶意软件引擎扫描文件并使用文件签名和启发式分析来判断文件是恶意还是良性。
- 如果判定为恶意,则文件被阻止,删除,并生成事件。 在用户的互联网浏览器中显示阻止页面。
- 如果判定为良性,则文件可能可以下载。
-
NG反恶意软件层扫描文件并使用AI模型将文件分类为恶意、可疑或良性。
- 如果文件是恶意或可疑的,则被阻止,删除,并生成事件。 在用户的互联网浏览器中显示阻止页面。
- 如果判定为良性,则文件可能可以下载。
注意
注意: 扫描的文件已删除且未被 Cato 保留处理。
当两个引擎的判定为良性时,文件允许继续到用户,然后生成判定无风险的事件。
统一的反恶意软件扫描不会对用户体验造成明显的延迟。 终端用户立即下载干净的文件。
反恶意软件和下一代反恶意软件引擎支持特定的文件格式。 有关更多信息,请参见支持的反恶意软件保护文件格式。 (您必须登录才能查看本文)
0 条评论
请登录写评论。