AI摘要：Deep Instinct是一家将深度学习应用于网络安全的初创公司，其核心理念是“预防优先”，旨在威胁执行前进行预测和拦截。它通过本地深度学习模型结合云端分析，有效减轻CPU负担并降低误报，支持多平台，并提供全面的静态分析、行为分析和脚本保护功能。Deep Instinct强调其独特的预防能力，并推荐与Windows Defender配合使用，是下一代终端安全的创新者。

除去我们所熟知的Crowdstrike，SentinelOne，Elastic的NGAV厂商，今天我体验的是一款号称“原教旨主义”的NGAV ---- Deep Instinct。

Deep Instinct的背景

Deep Instinct是一家初创的以色列安全软件厂商，由以色列前国防部长成立，近些年获得了Nvidia的投资。支持的系统有Windows/MacOS/ChromeOS/RHEL/CentOS/Ubuntu/Android/iOS

Deep Instinct 初印象：什么是深度学习驱动的下一代安全？

在网络安全领域，威胁的演变速度令人瞩目，传统的安全防护手段往往疲于应对。Deep Instinct 应运而生，作为一家将深度学习技术率先应用于网络安全领域的公司，其核心理念在于“预防优先”，这与传统的“检测与响应”方法形成了鲜明对比 。Deep Instinct 声称是第一家也是唯一一家采用端到端深度学习的网络安全公司，旨在通过其独特的技术框架，在威胁执行前就进行精准的预测和拦截，从而为企业提供更高级别的安全保障。这种对先发制人的强调，预示着安全防护思路的转变，不再仅仅依赖于事后补救，而是将重心放在从源头上阻止恶意行为。

甚至于 DI还把EDR批判了一番，即使他们也用类似的产品参加了ATT&CK® Evaluations的测试
以下是DI批判EDR的八个理由：

它的理念是预防高于响应

它是我见过一个比较特殊的NGAV厂，至于为什么特殊呢？
1.它的深度学习模型会优先选择支持的显卡执行运算，在此情况下则无需CPU进行计算，因此即便在大量新文件写入时也不会给用户的CPU带来明显负担。
2.与当今安全解决方案传统云端不同的是，它的云(D-Cloud)在我看来并不是用来增强检测，而是减少误报，它会将已被ML引擎检出的文件上传后在云后端执行沙盒分析与快速人工分析，并将被鉴定无害的文件在数分钟内丢回到本地，靠本地的高检测率保障断网的查杀率，靠云端的分析来压低误报
首先开始展示控制台

关键功能

Deep Instinct 的功能设计围绕深度机器学习

此外，Deep Instinct 还能在无网络连接的环境中运行，每年仅需 1-2 次更新
接下来上图：

Detection是检测的级别，达到此置信阈值及更高的阈值将引发Detect警报，但是否阻断取决于Prevent的设置。
Prevent是预防/查杀的级别，达到此置信阈值及更高的阈值将阻止执行，隔离文件并向D-Cloud上传数据（如果网络可用且设置打开）。
Known PUA：已知的潜在不受欢迎程序（需要开启并连接云）——具有 预防，检测，忽略 三档设置
Dual use Tools：两用工具，例如内存调查取证工具，已知的非Backdoor远程访问工具（需要开启并连接云）——具有 预防，检测，忽略 三档设置
Scan files accessed from network folders：扫描网络共享文件夹（？）
Embedded DDE object in Microsoft Office document：扫描Office文档文件中嵌入的DDE对象——具有 深度静态分析（进行扫描），允许 两档设置

Ransomware Behavior：检测类似勒索软件的操作并加以阻止。
In-Memory Protection：内存防护，DI应对内存中多种复杂的渗透攻击的防护措施，在拦截后门、无文件攻击时相当关键。
-Arbitrary Shellcode：Shellcode防护（直译为 任意shellcode），检测并阻止多种shellcode，对Backdoor的早期攻击阶段往往有奇效
-Remote Code Injection：阻止远程代码注入：检测并阻止远程代码注入，可有效抵御injector类或相似注入行为的恶意软件
-Reflective DLL Injection：阻止反射式DLL注入：检测并阻止反射式DLL注入，对包括Backdoor在内的多种基于此行为的白利用有奇效
-.Net Reflection：阻止 .NET反射：检测并阻止.NET反射行为，可能用于防御逃避
-AMSI Bypass：阻止AMSI绕过行为：检测并阻止尝试绕过AMSI的行为，这是恶意软件常用的防御逃避策略之一
-Credential Dumping：阻止凭据窃取：检测并阻止尝试窃取设备上的用户凭据行为（例如经典的LSASS内存转储）
-Known Payload Execution：阻止已知的payload执行
Suspicious Script Execution：检测并阻止可疑的脚本执行
Malicious PowerShell Command Execution：检测并阻止恶意（较高置信度）的powershell命令行执行，这是各种攻击（包括无文件攻击）的常用手段之一
Malicious JavaScript Execution：检测并阻止恶意的js脚本执行

Macro Execution：控制office宏的执行
具有三档设置：由Windows设置阻止全部宏/深度静态分析防护（进行扫描）/允许所有宏（不建议）
Powershell Execution：控制powershell命令行的执行
具有三档设置：阻止全部ps命令行执行/检测并记录全部ps命令行执行（是否阻止取决于上述检测功能是否检测到恶意ps命令）/允许非恶意ps命令行执行
HTML Applications (HTA files) and JavaScript via rundll32 executions：控制HTA文件与JS脚本通过rundll32执行的行为
具有三档设置：阻止所有/记录所有/允许非恶意执行
ActiveScript Execution：控制ActiveScript脚本执行
When ActiveScripts (JavaScript & VBScript) are executed：设置当JS/VBS脚本执行时的控制策略
具有两档设置：
通过Windows设置阻止全部JS/VBS脚本执行
使用Windows的默认设置（当选择此项时，进入下一步判定）
-If ActiveScripts are allowed by Windows, select the action on these scripts when detected
-如果ActiveScripts被Windows设置允许执行，则对这些脚本采取下列措施：
三档设置：阻止所有/记录所有/允许非恶意

题外话，DeepInstinct官方推荐和Windows Defender一起使用
https://www.deepinstinct.com/vs-microsoft-defender

他们的本地客户端是有官方简体中文的


安装之后是可以选择是否进行全盘扫描的，在安装包后跟上/nfs就是取消安装完全盘扫描，注意，目前的DI我没有找到可以手动选择全盘扫描的选项，所以想全盘扫描的(安装请不要加/nfs，摊手)

在控制台可以看到他们神经网络(D-Brain)对病毒可能的类型的猜测

关于各种DI的评测报告
19年

21年

总的来说，我认为DeepInstInct是一款在众多安全厂商唯一让我眼前一亮的EPP，对得起它深度本能和原教旨NGAV的称号，据说他们已经正在开发EDR了(这算不算打脸(滑稽))，让我们拭目以待！就酱，DI的思路我还是很喜欢的。
参考文章：
1.https://selabs.uk/reports/enterprise-endpoint-protection-2021-q2/
2.https://www.deepinstinct.com/
3.https://bbs.kafan.cn/thread-2251945-1-1.html
4.https://www.climbcs.com/uk/wp-content/uploads/sites/4/pdf/Deep_Instinct_Prevention-for_Applications_Datasheet.pdf
5.https://www.gartner.com/reviews/market/mobile-threat-defense/compare/deep-instinct-vs-sentinelone