易受攻击的中间件、漏洞、弱口令应用难彻查、难修复。人工梳理资产、维护资产耗时耗力、难落地，影子资产、风险资产导致的问题频发。东西向资产访问关系不可控、不可视。

单一边界防护难以应对加密绕过、混淆流量特征、0day攻击等新型黑客攻击手法。基于文件规则特征检测机制无法检测无文件、内存马、等无特征的更高级攻击手法。传统的被动防御机制，缺乏上下文关联信息漏报误报多，告警信息真实性难甄别。

传统基于流量、文件特征检测的机制导致漏报误报多，告警信息真实性难甄别。安全事件彼此孤立，缺少可视化协助研判溯源，提升响应排查效率，缩短研判溯源周期。缺少集约有效的处置手段，根据告警一键根治威胁威胁，避免反复发生。

构建预防、防御、检测、响应于一体的主机主动防御体系，重点关注持续监测、快速响应能力建设

过往的方案因技术路线、防御体系设定、能力构建思路等原因难以有效满足用户在检测及响应能力上的诉求。需要以更简单、更省心、更有效的方案发现海量告警背后的真正威胁。

关键障碍：仅针对已知恶意文件。EPP通过对病毒文件的特征码和落盘文件进行一一对比，通过把控病毒文件的入口实现安全防护。该手段主要针对静态样本源代码，依赖样本的准确度和质量。

关键障碍：能力与网络侧产品重复。虚拟化安全是通过在虚拟化层Nsx组件进行流量清洗，一般采用无代理的部署方式。识别机制与网络侧安全产品高度重复，针对加密、绕过攻击的检测能力弱，误报漏报率高。由于其无法采集端点信息，导致资产、脆弱性、响应处置能力皆受到制约。

关键障碍：仅被动防御已知攻击行为。过往HIDS核心能力是基于已知威胁形成防御策略进行判黑，针对变种、魔改的攻击手法有效性降低，并且仅能起到被动防御的作用，无法很好的事前预防及快速响应处置。

深信服主机安全保护平台：基于极轻量端技术，持续监测主机安全环境的变化，建立集预防、防御、检测、响应于一体的安全防护体系, 为物理服务器、主机提供统一的资产可视化和和攻击面管理能力，通过异常行为检测和响应机制保护主机免受攻击。

场景化采集兼容性好、资源占用低，业务0侵害；动态维护资产指纹库，实时感知资产脆弱性对应情况。精准识别互联网暴露面与脆弱性，支持高危漏洞一键缓解；

覆盖ATT&CK重点专项超180+项，采用6大检测引擎及全网威胁情报，全方位关联审计主机敏感操作、攻击及失陷信标，有效对抗高级攻击手法；直观还原威胁事件故事全貌，自动化溯源取证，实现快速定位威胁源头并举一反三，让威胁事件看得见、看得懂，提高安全运营效率；

支持XDR/SIP/第三方安全运营平台联动响应，矩阵化协作AF、EDR等产品，实现E+N聚合分析、跨终端协防；支持拓展MSS/MDR、SOAR、XTH等能力，实现剧本编排、事件自动化响应处置；

XDR/SIP平台联动对接，实现多安全设备互联互通、E+N告警降噪能力拓展，开放API接口，对接客户现有安全运营平台。

轻量严格限制Agent资源使用，保障业务优先（逃生机制）。支持根据分组生成一句话安装命令，安装成功主机Agent上线后实现自动分组（可通过批量运维工具实现批量安装）。自动适配各种虚拟机、物理机、云环境。

集中管控所有主机，清晰展示各主机上中间件、进程、系统账号、端口、数据库、应用、Web站点等信息。基于真实的进程行为、外联行为、操作行为等行为，结合IOA+IOC提供的战情研判能力，有效防止漏洞攻击、内存后门、反弹shell、提权、爆破等入侵行为。

云端安全专家接入进行安全事件的挖掘与狩猎，1-12小时内响应处置，推送处置建议或下发自动化响应处置脚本。持续运营优化安全引擎与规则，提升威胁的持续对抗能力。支持通过主机安全+SIR的产品叠加，构建安全响应和流程编排的数据中心安全运营方案。

轻端重云架构，业务零侵害。平台智能联动，接口开放融合。6大引擎采用IOA高级威胁、IOC失陷检测、内存扫描WMI（内存马专杀）、漏洞防御加固SANGFOR-RASP、WSK（Webshell专杀）、SAVE恶意文件查杀引擎。热更新的威胁情报、7*24小时专家服务。

覆盖ATT&CK攻击模型重点专项，以攻击者视角矩阵化覆盖攻击全流程

完备的主机威胁防御能力，有效抵抗劣性攻击事件

勒索病毒主动防御，全面防止业务不可逆中断

利用云端开放性及情报广度，实现威胁情报的快速更新

解决攻击从哪里来、到哪里去、做了什么操作的问题

通过威胁狩猎+云端安全专家赋能，实现自动化响应及策略优化

丰富的Usecase、专业的安全团队、高效的处置方案，7*24H极致响应。为用户补充高阶安全能力，协助用户进行高阶威胁的调查和处置。

消除信息孤岛，实现多设备联动响应。管理平台能力生长为XDR平台，支持多元数据接入实现E+N聚合。

利用SAAS订阅服务，实现保姆式安全交付

精细化资产管理、数据采集、系统监测技术，结合了语法分析、特征提取等技术。通过IOA+IOC双检测引擎（勒索挖矿、入侵）提升事件专项检测能力，结合多维信息实现告警降噪，自动化精准处置；覆盖ATT&CK重点专项，结合攻防经验、威胁情报、云端专家规则对威胁行为进行分析建模，强化威胁判定能力。

能力持续生长优化，网端联动统管：平台威胁定性分析，帮助用户判断安全事件是否是真实的攻击，剔除误报，实现威胁精准判别；小时级响应，专家团队1-12小时内响应处置，以微信推送等方式威胁根因深度分析及处置建议推送；云端威胁狩猎，云端安全专家接入进行安全事件的挖掘与狩猎，及时发现新型威胁，未知威胁，做安全引擎与规则的持续运营，提升威胁的持续对抗能力；策略热更新，联动响应AF、SIP、EDR等产品，网端统一管理，建立网状防御体系；

轻量agent自动化梳理隐藏的互联网暴露资产、中间件漏洞、弱密码。业务、威胁上下文精准识别常用攻击入口，实现风险分级治理。识别致命攻击入口，一键缓解（RASP技术、弱密码二次认证）。

“大数据局全面掌控委办单位上云业务安全风险，实现精准有效的监管和指导，推动安全责任落地”

某政数局已建好政务大数据平台，汇聚大量的政务数据，各委办局业务上云后,云上的资产多且复杂，云内安全风险不可视、不可控,安全监管存在盲区,此外委办单位自身也缺乏有效的安全工具进行主机安全问题有效治理。

1、资产不可视：委办局上云业务缺乏基于安全视角的资产,大数据局作为监管单位无法有效识别主机上的安全风险(高风险端口、漏洞、弱密码)，紧急漏洞广泛爆发时无法精准定位涉事资产，快速推动整改闭环。2、云内安全不可控：缺乏有效的政务云内安全风险监测机制,对云上安全风险无法进行统一管控。3、重大事件保障：护网、重保期间安全大,缺乏行之有效云主机安全防护能力，保障云上业务的最后一公里安全 。

1、填补云内安全监测、主机安全态势风险的死角。2、基于安全视角的细粒度资产梳理，自动化监测梳理委办单位云上业务，实现精准监管。3、全面了解平台整体脆弱性风险，含暴漏面、漏洞、弱密码等关键信息。4、实时帮助客户发现入侵风险，精准发现并防御主机攻击行为。5、满足行业等保合规建设的系统基线要求。

“为弥补相关安全建设缺失点，在正式的国家级攻防演练中守住重要阵地 ”

某省级政府单位下辖各地市单位接入数十家，资产边界模糊且繁杂，且为关键信息基础设施单位。因被选中参与到国家级攻防演练对抗活动，作为下属单位也要进行攻防演练对抗，因为下辖单位接入点过多，资产繁杂，存在诸多应用漏洞和弱密码，成为攻击队攻击切入点。

1、应用系统交互复杂：省级政府单位自身应用复杂，且下辖单位接入点多，缺失统一主机资产梳理、资产交互分析、脆弱性管理 。2、缺乏有效检测手段：对于高级攻防对抗下，加密通信、免杀技术、隐秘通信隧道等高级攻击手法难以检测。3、缺乏溯源分析：发生安全事件无法快速定位发生安全事件的根因。发生什么事件？

1、通过全面资产梳理，明确部防边界，理清全网资产，特别是web中间件、框架、应用等暴露公网资产进行全面梳理。2、将通过风险排查，定位弱密码、漏洞的高危资产，指导前期脆弱性的的修复工作。3、通过实战对抗能力，对攻击全过程入侵检测，持续检测异常行为，并及时响应和有效处置。