安全技术新突破——SonicWall最新实时深度内存检测技术-SONICWALL 音墙网络

近日，为全球逾100万网络提供保护的安全供应商SonicWall发布一款全新 Capture Cloud引擎，该引擎已发现数百种之前的沙盒技术未能发现的新型恶意软件变种。通过上述技术（目前正在申请专利），SonicWall Capture实验室安全研究人员设计了一种更为先进的方法——通过深度内存检测实时识别和缓解威胁。

SonicWall正在推出这项新技术，以强化该公司的自动化实时漏洞检测和预防平台。SonicWall RTDMI是其正在申请专利的技术，利用该专利技术，SonicWall Capture Cloud可识别和缓解最危险、最前沿的威胁，包括今后将出现的Meltdown漏洞利用。全新RTDMI技术：

通过深度内存检测实时、主动检测并阻断未知的面向大众市场的恶意软件；
对不显示任何恶意行为、并通过自定义加密隐藏其“攻击武器”的恶意软件进行检测和阻断；
强制恶意软件将其“攻击武器”展示到内存中；
对“攻击武器”暴露时间小于100纳秒的复杂攻击进行识别和缓解。

缓解Meltdown

1月3日，Google Project Zero安全团队发布了一个名为Meltdown的新的处理器漏洞。成功利用该漏洞可使攻击者访问现代处理器上受保护内存区域内的敏感信息（例如密码、高价值的加密密钥、登录的cookies、VPN凭据）。

SonicWall Capture实验室威胁研究人员已对SonicWall RTDMI技术进行验证，通过引擎对指令和内存使用情况的实时分析，该技术也能有效防止基于Meltdown漏洞的其他的漏洞利用攻击。

工作原理

SonicWall将RTDMI引擎部署到Capture Cloud Platform中，并利用该技术为SonicWall的分层安全平台提供支持，其中包括下一代防火墙、无线网络安全、电子邮件安全、安全移动和远程访问产品以及云和物联网解决方案。

SonicWall的RTDMI技术能够对不显示任何恶意行为、并通过加密隐藏其攻击武器的恶意软件进行检测和阻断。通过强制恶意软件将其“攻击武器”展示到内存中，RTDMI引擎能够主动检测并阻断面向大众市场的零日威胁和未知的恶意软件。

沙箱引擎在虚拟环境中执行文件、记录最终活动，然后在执行后查找并尝试关联恶意行为。这些活动和行为的相关性和评分容易呈现假阳性和假阴性。

现代恶意软件编写者采用高级技术，包括自定义加密、模糊处理和打包以及沙盒环境中的良性行为，来隐藏其恶意行为。这些技术常常隐藏最尖端的攻击武器，这些攻击武器只在动态运行时才会暴露，因而在大多数情况下，使用静态检测技术进行实时分析并不可行。

SonicWall Capture实验室研究人员利用各种深度学习技术来分析数百TB的恶意软件代码块和相关的高质量具备提取特征的元数据，综合起来产生了RTDMI解决方案。

DPI的演进

2004年，SonicWall Capture实验室研究人员率先使用机器学习进行威胁分析，这种远见和创新使得其获得专利的免重组深度数据包检测技术能够无需重组、实时地扫描文件中的威胁并进行阻断，从而催生了一种低延迟、高性能且无内存限制的解决方案。如今，SonicWall的机器学习技术进一步强化了Capture Cloud Platform提供的保护。