检测引擎

在不断演变的网络安全环境中，检测引擎如同警觉的哨兵，不知疲倦地扫描针对我们数字资产的威胁。从本质上讲，检测引擎是一种软件组件，用于分析数据、识别异常或可疑模式，并根据预定义规则或机器学习模型触发警报或执行操作。检测引擎的基本原理是识别偏离正常行为的情况。

要详细配置检测引擎设置，请导航至设置选项卡并点击“检测设置”。

本文档说明了 ManageEngine Endpoint Central Malware Protection 使用的三种核心检测引擎，以及它们在策略配置过程中的重要性。了解这些引擎将帮助您根据需要定制策略，以获得最佳保护效果。

本节内容包括：

1. 勒索软件检测引擎
2. 数据外泄检测引擎
3. DeepAV 引擎
4. 行为检测引擎

勒索软件检测引擎

勒索软件通常以隐蔽方式运行，在加密文件或阻止系统访问之前会保持潜伏状态。终端用户往往直到面对勒索要求或数据丢失时，才意识到自己已受到感染。通过在其造成重大损害之前及早检测勒索软件，个人和组织可以主动做出响应，并有可能防止不可逆的数据丢失。

勒索软件检测引擎专为对抗勒索软件攻击而设计，采用如下主动防御策略：

1. 诱饵文件监控：在系统中策略性地放置诱饵文件，以吸引勒索软件尝试攻击。当勒索软件试图加密这些文件时，将立即触发警报，从而实现快速响应。
2. 行为监控：检测表明勒索软件攻击的可疑文件加密模式。
3. 专利技术：确保误报率低于 1%，从而减少告警疲劳并最大化效率。
4. 减少误报：用户可以通过为特定文件夹或应用程序定义排除项来配置勒索软件例外，从而避免合法进程引发误报。

数据外泄检测引擎

数据外泄检测引擎旨在识别并防止敏感数据从终端未经授权传输到外部或恶意域名。数据外泄通常以静默方式发生，攻击者会将其活动伪装成正常网络流量。通过及早检测异常上传行为，组织可以在关键信息被暴露或泄露之前进行干预。

数据外泄检测引擎采用基于异常的机器学习方法，具有以下功能和配置：

• 基于异常的检测：利用机器学习识别偏离正常网络活动的异常文件上传模式。
• 自适应学习：经历 3—10 天的初始训练期，以建立网络中常规数据传输行为的基线。
• 持续监控：训练完成后，持续监控可能表明数据外泄尝试的偏差行为。
• 定期模型更新：每两周自动重新训练一次，以适应不断变化的网络行为并保持检测准确性。

DeepAV 引擎

借助深度学习的强大能力，DeepAV 引擎提供高级恶意软件检测功能。其主要功能和策略配置如下：

1. 高级恶意软件检测：结合基于深度学习的神经网络和机器学习（ML），快速而准确地检测恶意软件家族。
2. 管理排除项：您可以将特定文件夹或应用程序从 DeepAV 引擎中排除，以优化性能并避免资源占用增加。根据您的风险承受能力，您可以配置 DeepAV 引擎的敏感度级别，以在威胁检测与潜在误报之间取得平衡。

行为检测引擎

行为检测引擎通过持续监控应用程序行为来发现表明潜在恶意软件威胁的可疑活动。以下是其主要功能和策略配置：

1. 实时监控：跟踪程序偏离典型模式且表现出可疑活动的行为。
2. 基于行为的允许列表：用户可以通过创建受信任应用程序的允许列表来提高引擎的精确度，防止这些应用程序在行为监控过程中触发误报。