攻击者使用“非恶意软件”也能识别，来看看这个即将在RSA 2017上发布的新技术

常见的黑客攻击往往以病毒程序或恶意文件为载体，通过网络进行传播——这种攻击方式较容易被端点防护程序所检测到。但是如果黑客不走寻常路呢？在下周即将到来的RSA Conference 2017 （美国信息安全大会）上，Carbon Black（美国信息安全公司，也就是原来的Bit9）将推出新的解决方案来针对那些另辟蹊径的攻击。

即将揭晓的技术被称作数据流防护技术（Streaming Prevention），能够通过云端分析引擎，对用户终端一系列活动的前后的行为进行分析比对，既可以侦测传统的恶意程序攻击，也可以侦测利用非恶意程序开展的攻击。

该技术的主要实现方式是先为终端发生的事件打上标记，再将其上传到Carbon Black的云端分析平台。数据引擎会判断该事件是否属攻击行为的某一环。如确认，则将指示终端做好相应的防护措施。

Carbon Black为全球两千多家企业提供端点威胁解决方案，拥有海量终端设备所提交、反馈的数据，Streaming Prevention中利用的云端分析引擎正是建立在这个基础上。通过对终端数据建立统计模型，云端引擎可以甄别那些看似无害的行为是否为恶意攻击。

作为补充，安全分析者还会挑出那些云端引擎没能识别出来的攻击行为去分析究竟，并依此对数据统计的算法进行调整和改进，确保系统不会再对类似的攻击判断失误。

许多非恶意软件攻击会尝试利用合法工具，如PowerShell，Remote Desktop（远程桌面）和Flash来掩盖恶意行为。例如，通过Remote Desktop连接其他设备是很正常的一件事，但与一些不怀好意的手法相结合，Remote Desktop可能就被黑客利用，成为暗渡陈仓的幌子。传统单点防护技术如果习惯于把签名或信誉已记录在案的恶意文件当做单一的威胁指示器，就可能被黑客绕过。

不过Streaming Prevention的出现使得对此类恶意行为进行定位变得可能。分析引擎不仅会对单一事件进行标记，还会对事件前后发生的活动进行分析，比较。用Carbon Black自己的话说，“Carbon Black Defense（CB Defense）的云端平台收集汇总上千万终端的数据，这将有效减少威胁误报和漏报的发生。”

Streaming Prevention技术将应用于Carbon Black端点威胁解决方案的下一次升级，预计将在4月份实施。由于针对端点设备的攻击层出不穷，端点安全一直是RSA大会的一个重要议题。