在当今时代，数字化转型的浪潮汹涌澎湃，其所催生的数字办公模式正深刻地改变着人们的工作方式。在这个充满活力与挑战的数字化环境里，端点作为负责人机交互的关键枢纽，承担着信息处理与存储的重要职责。也正因为如此，端点始终是攻击者的主要目标之一，所以端点必然成为企业需要高度重视并全力进行重点防护的关键对象。

　　面对复杂多变的安全挑战，传统解决方案无法有效拦截新型威胁入侵，特别是在APT攻击下，用户甚至感知不到威胁的存在。和中神雕EDR正是为了应对高级威胁问题而生，在纵深防御体系上与传统杀软形成互补的局面，让企业能够在数字化浪潮中稳步前行!

　　产品概述

　　和中科技推出的神雕内核级终端威胁监测与响应系统以安全事件作为核心关注点，对终端内核层的文件、进程、注册表、内存及网络通信等各类行为进行实时监测，可全面兼容Windows、Linux、信创系统、移动设备等泛终端环境。产品通过行为检测、情报比对、威胁诱捕、文件监控、基线核查等一系列安全举措，建立起终端威胁的侦测与响应遏制闭环，打造贯穿事前-事中-事后全过程、联防联控的终端安全防护利器!

　　

 

　　产品架构

　　——云——

　

　　产品采用典型的C/S架构，管理后台负责接收终端Agent采集的数据并进行威胁分析研判、下达处置策略和指令，采集的数据在云端进行数据清洗、分析后，管理员可对威胁进行快速响应遏制，形成终端免疫效果，并下发到管理的终端，形成完整的事件处置闭环。　　

　　——管——

　　

　　终端Agent将采集到的数据使用加密信道的方式通过内网专网、VPN等进行上传到云端侧，管理端制定的安全配置和响应策略同样经该通道下发给各受管控的终端。

　　——端——

　　

　　通过在企业内网各目标保护的服务器、办公设备、移动设备上部署轻量Agent，对进程调用、文件操作、注册表修改、网络连接等信息进行采集上报;agent还负责执行管理端下发的处置策略和终端任务。

　　

 

　　核心功能

　　和中神雕终端威胁监测与响应系统通过集成多个安全检测和扫描引擎，形成强大的防护组合，全面覆盖安全防护的各个环节，无死角抵御各类威胁，确保在每个阶段都能及时发现并处理威胁。

　　事前预防排查

　　通过漏扫、弱口令识别、基线和病毒扫描等功能提前发现系统中的潜在风险和漏洞，进行针对性的修复和加固，有效降低被攻击的可能性，让攻击“无机可乘”;

　　事中监测响应

　　借助Yara、防勒索、IOC、IOA等监测引擎实时监控系统活动，一旦发现威胁立即响应，快速隔离和清除恶意软件，阻止其进一步扩散，让威胁“无处遁形”;

　　事后追踪溯源

　　利用日志狩猎和进程调用链对安全事件进行深入分析和溯源，支持远程调查攻击的源头和日志并及时响应修复，避免类似安全事件再次发生，让系统“无懈可击”!

　　

 

　　基本性能

　　和中神雕终端威胁监测与响应系统的基本性能参数如下：

　　

 

　　应用场景

　　

攻防演练中的威胁检测与快速响应

 

　　场景描述：关键基础设施涉及的行业是网络攻击的重要目标，公共通信和信息服务、能源、交通、水利、金融、政务、国防、工业等国家发展及民生相联系的关键信息基础设施相关行业，仍然持续、广泛的受到黑客攻击。关键信息基础设施承载或支撑着重要行业和领域的关键业务，并成为各行各业运行体系所依赖的关键节点，是网络安全的重中之重。因此攻防演练从低频逐步转变为常态化进行，能够将一些潜藏的安全风险提前暴露出来并进行及时加固处置，防患于未然。

　　解决方案：终端安全在攻防演练中扮演了极其重要的角色。和中神雕终端威胁监测与响应系统可在事前排查补漏，事中实时防护与监测响应，事后溯源取证等关键环节起到重要作用，同时作为纵深安全防护体系的终端抓手，收集终端各种行为日志和关键信息，上层安全大脑分析之后，最终下发终端来执行处置措施。随着终端各种新型攻防对抗技术的应用，防守方也不再仅仅局限于保护系统不被入侵，在防护力量盈余的情况下，防守方可向溯源反制发展。

　　

 

　　移动设备的统一监管与安全防护

 

　　场景描述：随着移动办公场景的普及，企业及个人面临移动设备(如智能手机、平板电脑、物联网终端等)带来的多元化安全风险，核心需求痛点如下：

　　终端设备多样化与复杂化

　　企业内部存在员工自带设备(BYOD)品牌多样，系统涵盖 iOS、安卓、鸿蒙等，设备状态难以监控，易成为攻击入口;

　　数据安全与泄露风险

　　移动设备通常可以查看内部通讯软件传输的材料或邮件，存在数据违规导出、恶意应用窃取、设备丢失导致数据泄露等风险;

　　针对移动设备的新型威胁

　　移动设备面临恶意软件、仿冒应用诈骗、软件违规索权等威胁，可能从单一设备通过企业网络横向渗透，扩散感染内部系统。

　　

 

　　解决方案：和中神雕终端威胁监测与响应系统可通过轻量化终端app与云端平台协同，实现对移动设备的全生命周期监管与动态安全防护，实时保护用户移动设备的安全：

　　统一设备监管

　　通过安装agent实现移动终端设备的注册上报，采集设备硬件信息、软件清单、应用权限、设备状态、设备位置等信息到管理后台;

　　恶意程序检测

　　基于移动设备病毒特征库，对下载的APK包和安装的软件进行签名校验和特征匹配，识别已知木马、间谍等病毒和仿冒伪装应用;

　　动态安全防护

　　实时监控设备状态(如是否越狱/root)，防范外挂、诈骗等风险;动态获取并审计应用程序权限列表，对高危的权限进行警示。

 

　　等保合规基线排查与专项整改

 

　　场景描述：依据《网络安全等级保护基本要求》，对信息系统的主机、网络设备、数据库等资产的安全配置进行全面检查，确保其符合等级保护的基本安全要求。典型场景包括：

　　定期合规检查

　　企业或机构需每年进行一次等保测评，在测评前需通过基线排查提前发现配置缺陷(如账户权限、密码策略、日志审计、端口开放等不符合项)。

　　新系统上线前的合规校验

　　新系统或设备部署时，需验证其是否满足等保基线要求(如关闭不必要的服务、启用访问控制策略、配置安全审计功能等)。

　　监管通报与专项整治触发的临时排查

　　当行业监管机构发布安全通报(如重大漏洞补丁、攻击事件应急响应)时，需快速排查所有端点是否存在基线配置隐患。

　　解决方案：和中神雕终端威胁监测与响应系统通过内置的等保合规基线核查引擎(覆盖Windows、Linux、国产化等常见系统版本的等保三级基线模板)，对终端进行自动化扫描，检测账户策略(密码复杂度、锁定策略)、服务与端口状态(是否运行高危服务如Telnet)、安全和日志配置(审计日志存储周期、防火墙状态)等基线检测项，将资产合规率进行可视化呈现，统计不合规项清单、标注风险等级，提供整改建议并支持二次扫描功能，确保偏移项得到整改。

　　

 

　　产品价值

 

　　友好的交互体验和轻量化部署

　　为了更友好的展现数据，让安全人员清楚的发现问题所在，和中神雕终端威胁监测与响应系统采用扁平化的管理界面，人性化的可视模块，可以极大的提高了企业安全管理的效率。同时，部署在终端的安全传感器也不会对用户系统行为或性能造成任何可察觉的影响。终端在运行时，本身资源开销很小，其中安装文件不到20M，另根据计算，传感器每天传输的数据基本维持在15M 左右的状态，消耗的CPU在系统的1-3%，内存的平均占用低于200M。

　　大大降低安全事故带来的经济损失

　　和中神雕终端威胁监测与响应系统能有效防止网络遭受攻击而导致的停产，保障生产线正常运转，确保企业生产效率。同时，也为突发的网络风险减轻和修复提供宝贵的信息。减少企业互联网异常事故，减少直接与间接的经济损失，节省在排查企业场景中网络问题排查及检测的费用。

　　提高安全管理水平，降低运维成本

　　和中神雕终端威胁监测与响应系统基于可信的威胁分析平台，可对上下文关联事件做出指导性的响应，帮助用户快速对一个攻击进行调查，包括定义事件的真实性、事件的暴露和范围，提供精准修补和快速处置，降低网内风险防护成本。

　　有效检测和对抗新型未知威胁

　　和中神雕终端威胁监测与响应系统基于机器学习和关联分析技术，对网络行为和主机行为进行综合分析，能够发现绕过防火墙和传统安全软件的高级威胁。系统内置多个由业内资深安全专家整理的攻击模型，用于识别潜在的攻击和恶意行为。无论是在内网中长期潜伏还是试图入侵，都可以被分析平台有效识别。

　　智能化攻击路径回溯还原

　　和中神雕终端威胁监测与响应系统具备大数据机器学习能力，在已有攻击检测模型的攻击指标检测的基础上，充分利用海量的数据，能够发现未知和潜在的攻击行为，同时具备攻击事件智能回溯和远程调查的能力。产品能够对系统遭受的攻击进行深度解析，可以解析到攻击者的IP、攻击时间、攻击路径、攻击者动作和造成了什么危害等信息，把繁杂冗余的攻击信息以时间线的形式展现出来，让用户可以轻易看懂。

　　荣誉资质

　　销售许可(网安专用产品检测证书)

　　网络安全专用产品安全检测证书-终端威胁检测与响应系统HZON-EDR/V1.0

　　检测报告

　　泰尔实验室检测报告-终端威胁检测与响应(EDR)技术与产品

　　科技查新报告-下一代终端威胁与响应系统(EDR)

　　网络安全专用产品安全检测报告-终端威胁检测与响应系统

　　发明专利

　　一种面向工业互联网的智能化流量检测方法、系统及储存介质

　　一种基于边缘计算的工业互联网任务卸载策略

　　一种基于优化堆叠降噪卷积自编码网络的异常流量检测方案、存储器和处理器

　　一种面向工业互联网的GSSK-means异常流量检测方法、存储器和 处理器

　　一种基于动态滑动窗口的工业互联网数据流异常检测方法、存储器和处理器

　　一探测扫描中减少内存占用的方法、装置和设备

　　软件著作权

　　终端病毒防护系统V1.0

　　终端侦测与响应客户端软件V1.0

　　终端侦测响应平台[简称：EDR平台]V1.0

　　Linux终端进程行为采集系统

　　终端侦测与响应分析中心系统V1.0

　　终端侦测与响应威胁情报接入系统[简称：威胁情报系统]V1.0

　　终端安全行为检查工具软件[简称：安全行为检查工具]V1.0

　　主机安全防护系统

　　获奖情况

　　2024年度新疆维吾尔自治区数字化科学技术进步奖二等奖

　　

 

　　成功案例

　　客户案例一：中国电科第xx研究所

　　客户痛点

　　终端分散、缺乏统一管理：传统网络边界被打破，安全隐患变得无处不在

　　单点防护，缺乏统一规划：满足等保要求，但缺乏统一终端安全管理措施

　　运维人员少，安全意识差：企业运维人员不够，且没有建立安全管理意识

　　外部人员接入，缺乏审计：执行敏感操作缺乏审计，出现事故后无法追查

　　客户价值

　　建立起全局可视、统一管理、安全高效的终端安全防护管理体系

　　借助威胁行为监测和威胁情报比对等技术发现各类安全事件100多次

　　通过灵活的策略制定和联防联动的快速响应，避免100多台终端损坏

　　产品具备实时检测与自动响应闭环能力，节省约80%安全运营人力成本

　　

 

　　客户案例二：福州某数字科技公司

　　客户痛点

　　居家办公、终端难以管控：各种设备从不同网络接入内网，带来安全隐患

　　攻击类型多样，防护不足：随着业务的扩张，勒索、社工钓鱼等不断涌现

　　容灾能力差，缺乏主动防御：安全事故屡屡频发，重要数据资产损失惨重

　　客户价值

　　打造泛在接入、统一运维的监管视角，实现跨网管理上千台办公终端

　　借助威胁行为监测和威胁情报比对等技术发现潜在攻击威胁100多次

　　通过深度的行为监测和未知威胁的检测，及时避免200多台设备损坏