高效处置未知威胁

深信服EDR在有效抵御已知威胁的基础上不断创新突破，为用户提供有效抵御未知威胁的终端安全解决方案。

在面对未知威胁的检测方面，深信服EDR采用轻量级人工智能检测引擎SAVE和多维度漏斗型检测框架。 

区别于基于静态特征的传统安全防护体系，深信服EDR创新基于AI的轻量级人工智能检测引擎SAVE，利用深度学习技术对数亿维的原始特征进行分析和综合，结合安全专家的领域知识，最终选出数千维最有效的高维特征对未知病毒进行有效鉴定。 

同时，基于文件的检测，深信服EDR构建了一个多维度、轻量级的漏斗型检测框架，包含文件信誉检测引擎、基因特征检测引擎、SAVE安全智能检测引擎、行为引擎、云查引擎等。通过层层过滤，达到对未知威胁的准确检测。

在面对未知威胁的响应方面，需要建立快速有效的响应机制，及时发现处置威胁。 

新型勒索病毒和勒索病毒变种是常见的未知威胁，深信服EDR会通过在系统关键目录及随机目录放置诱饵文件。当勒索病毒调用加密进程对终端文件加密，在加密到诱饵文件时，诱饵文件会将加密进程反馈至EDR客户端，EDR客户端会立即杀掉加密进程阻止加密，并对病毒源文件进行查杀。

在某一台终端发现病毒文件后，深信服EDR会立即将此病毒文件的特征值进行全网通报，做到一台发现，全网感知，在全网进行围剿式查杀。

除此之外，深信服EDR微隔离技术可以通过对不同终端的精细化安全隔离，实现对不同部门间，不同角色间，不同业务系统间的安全域进行完善的安全隔离与细粒度的访问控制。微隔离功能的应用，可在发生病毒感染情况下，将威胁放置在可控范围内，从而有效提升安全防护水平。
       深信服终端检测响应平台EDR，围绕终端资产安全生命周期，从预防、防御、检测、响应四个阶段提供多角度实时防护能力，通过云网端联动协同、威胁情报共享、多层级响应机制，帮助用户快速处置终端安全问题，构建能够有效应对未知威胁的下一代终端安全系统。