安天蟬聯中國網絡安全技術對抗賽第一名

時間 ：  2019年12月31日  來源：  安天

        2019年7月至9月，國家互聯網應急中心（以下簡稱CNCERT）在國家互聯網信息辦公室的指導下，舉辦了2019中國網絡安全技術對抗賽（共15家企業參賽），本次大賽賽制發生變化，惡意代碼分析引擎大賽和網絡流量分析引擎大賽兩賽合一。安天以嵌入下一代威脅檢測引擎的追影、探海兩項產品組合參賽并斬獲第一名。去年，安天也包攬了該賽事兩個項目的冠軍。

        CNCERT舉辦的本次比賽面向國內網絡安全企業，賽事組委會下設專家組、技術支持組對大賽考察內容、參賽答辯、成績考核評判準則等進行評審。大賽提供真實的網絡數據與業務場景，旨在全方面考察參賽產品的核心檢測分析引擎的技術能力與業務實戰能力。

        探海威脅檢測系統是安天針對政企網絡出口、重要網段和互聯網關口等場景研發的網絡威脅旁路監測設備，其以網絡流量為檢測分析對象，實現對網絡掃描探測、遠程漏洞利用、攻擊載荷投放、僵尸網絡活動、病毒擴散傳播、木馬遠程控制等網絡行為的檢測和告警，能精準檢測出已知海量惡意代碼和網絡攻擊活動，有效發現網絡可疑行為、資產和各類未知威脅。探海可與安天威脅情報服務結合，對多個APT攻擊組織的載荷工具和C2基礎設施實現帶有精確組織指向的報告告警。

        追影威脅分析系統是安天面向高級威脅場景對象需求研發的文件深度分析設備，其以文檔文件、可執行文件、URL為分析對象，采用深度靜態分析與沙箱動態加載執行的組合機理，借助包括安天下一代檢測引擎在內的多組鑒定機制組合對輸入對象進行判定分析，實現漏洞利用觸發、細粒度揭示載荷行為，形成私有化的威脅情報生產能力。追影可有效檢出分析鑒定各類已知與未知威脅，尤其對基于格式文檔的0day漏洞攻擊具備優秀的檢出能力，通過動靜態結合的手段對各種格式的文件進行細粒度的向量提取和解析，深度揭示威脅行為細節，輸出詳實報告。追影在進行判定后，結合白名單過濾機制，可以輸出多種樣式的威脅情報，實現客戶私有化的情報生產能力，輔助威脅處置和威脅獵殺工作。追影與安天威脅情報服務結合，可以實現對載荷關聯APT攻擊組織的精準指向，并基于威脅框架評估載荷的能力模型。

        探海和追影兩款產品組合使用，可以同時發揮探海的高速檢測優勢和追影的檢測深度優勢。探海將還原到的惡意程序和可疑文件投放給追影分析，追影對相關對象做出二次檢測判定，同時細粒度觸發威脅行為，并將對象加載執行產生的C2等信息，以情報推送的方式回傳給探海，形成聯動效果。

        安天下一代威脅檢測引擎AVL SDK為安天全線產品提供了有力的賦能支持。面對威脅的演進變化，安天提出了下一代威脅檢測引擎的理念，基于面向高級威脅、體系化攻擊，單點安全環節均會被繞過的特點，安天將反病毒引擎從單一的檢測識別單元，提升為封裝檢測識別、向量拆解、關聯判斷的復合安全中間件。通過全格式識別、全向量解析，使反病毒引擎不僅可以輸出對海量威脅的精準識別結果，也為產品和態勢感知平臺體系輸出基礎靜態向量數據以支撐分析研判、威脅關聯追溯、客戶自建深度普查和處置規則。

        檢測引擎是安天長期自主研發創新的核心基礎能力，安天AVL SDK引擎曾先后獲得科技部創新基金（2004）、國家863（2006）和發改委信息安全專項（2008）、工信部工業互聯網專項（2019）支持，AVL SDK檢測引擎的移動版本曾獲得中國廠商首個AV-TEST年度獎項。安天以引擎授權模式，形成了產業協同生態。安天目前已累計為全球超過六十萬臺網絡設備和網絡安全設備、超過十七億部智能終端設備提供了安全檢測能力。這進一步擴展了安天全面的威脅感知和威脅情報能力。

        隨著能力的全面發展提升，安天在“三高”（高信息價值、高防護等級、高威脅對抗）客戶場景中逐漸擔當起協助規劃、整體賦能的主責，研發重心逐漸轉入到實戰化運行的戰術型態勢感知平臺中。反病毒引擎已從安天的核心能力，轉化為安天全線產品的基礎支撐性技術；賽博超腦體系已從安天后端自動化分析體系，轉化為安天威脅情報賦能平臺。 在支持全體系架構和各種操作系統的基礎上，安天還針對各種國產環境優化了引擎版本。

        在堅持引領惡意代碼檢測對抗優勢技術能力的基礎上，安天正在走出反惡意代碼方法路徑依賴，向全面體系化能力成長。自2019年6月30日，安天從引擎到主線的端點防護、流量監測、威脅分析產品均支持對威脅框架（雙標支持ATT&CK和Technical Cyber Threat Framework）知識標簽的輸出，并在態勢感知平臺中進行標簽整合。引擎作為安天的核心能力，將會隨著安天產品和態勢感知體系在更多客戶側的落地，創造出更多的支撐價值。