安天蝉联中国网络安全技术对抗赛第一名

时间 ：  2019年12月31日  来源：  安天

        2019年7月至9月，国家互联网应急中心（以下简称CNCERT）在国家互联网信息办公室的指导下，举办了2019中国网络安全技术对抗赛（共15家企业参赛），本次大赛赛制发生变化，恶意代码分析引擎大赛和网络流量分析引擎大赛两赛合一。安天以嵌入下一代威胁检测引擎的追影、探海两项产品组合参赛并斩获第一名。去年，安天也包揽了该赛事两个项目的冠军。

        CNCERT举办的本次比赛面向国内网络安全企业，赛事组委会下设专家组、技术支持组对大赛考察内容、参赛答辩、成绩考核评判准则等进行评审。大赛提供真实的网络数据与业务场景，旨在全方面考察参赛产品的核心检测分析引擎的技术能力与业务实战能力。

        探海威胁检测系统是安天针对政企网络出口、重要网段和互联网关口等场景研发的网络威胁旁路监测设备，其以网络流量为检测分析对象，实现对网络扫描探测、远程漏洞利用、攻击载荷投放、僵尸网络活动、病毒扩散传播、木马远程控制等网络行为的检测和告警，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁。探海可与安天威胁情报服务结合，对多个APT攻击组织的载荷工具和C2基础设施实现带有精确组织指向的报告告警。

        追影威胁分析系统是安天面向高级威胁场景对象需求研发的文件深度分析设备，其以文档文件、可执行文件、URL为分析对象，采用深度静态分析与沙箱动态加载执行的组合机理，借助包括安天下一代检测引擎在内的多组鉴定机制组合对输入对象进行判定分析，实现漏洞利用触发、细粒度揭示载荷行为，形成私有化的威胁情报生产能力。追影可有效检出分析鉴定各类已知与未知威胁，尤其对基于格式文档的0day漏洞攻击具备优秀的检出能力，通过动静态结合的手段对各种格式的文件进行细粒度的向量提取和解析，深度揭示威胁行为细节，输出详实报告。追影在进行判定后，结合白名单过滤机制，可以输出多种样式的威胁情报，实现客户私有化的情报生产能力，辅助威胁处置和威胁猎杀工作。追影与安天威胁情报服务结合，可以实现对载荷关联APT攻击组织的精准指向，并基于威胁框架评估载荷的能力模型。

        探海和追影两款产品组合使用，可以同时发挥探海的高速检测优势和追影的检测深度优势。探海将还原到的恶意程序和可疑文件投放给追影分析，追影对相关对象做出二次检测判定，同时细粒度触发威胁行为，并将对象加载执行产生的C2等信息，以情报推送的方式回传给探海，形成联动效果。

        安天下一代威胁检测引擎AVL SDK为安天全线产品提供了有力的赋能支持。面对威胁的演进变化，安天提出了下一代威胁检测引擎的理念，基于面向高级威胁、体系化攻击，单点安全环节均会被绕过的特点，安天将反病毒引擎从单一的检测识别单元，提升为封装检测识别、向量拆解、关联判断的复合安全中间件。通过全格式识别、全向量解析，使反病毒引擎不仅可以输出对海量威胁的精准识别结果，也为产品和态势感知平台体系输出基础静态向量数据以支撑分析研判、威胁关联追溯、客户自建深度普查和处置规则。

        检测引擎是安天长期自主研发创新的核心基础能力，安天AVL SDK引擎曾先后获得科技部创新基金（2004）、国家863（2006）和发改委信息安全专项（2008）、工信部工业互联网专项（2019）支持，AVL SDK检测引擎的移动版本曾获得中国厂商首个AV-TEST年度奖项。安天以引擎授权模式，形成了产业协同生态。安天目前已累计为全球超过六十万台网络设备和网络安全设备、超过十七亿部智能终端设备提供了安全检测能力。这进一步扩展了安天全面的威胁感知和威胁情报能力。

        随着能力的全面发展提升，安天在“三高”（高信息价值、高防护等级、高威胁对抗）客户场景中逐渐担当起协助规划、整体赋能的主责，研发重心逐渐转入到实战化运行的战术型态势感知平台中。反病毒引擎已从安天的核心能力，转化为安天全线产品的基础支撑性技术；赛博超脑体系已从安天后端自动化分析体系，转化为安天威胁情报赋能平台。 在支持全体系架构和各种操作系统的基础上，安天还针对各种国产环境优化了引擎版本。

        在坚持引领恶意代码检测对抗优势技术能力的基础上，安天正在走出反恶意代码方法路径依赖，向全面体系化能力成长。自2019年6月30日，安天从引擎到主线的端点防护、流量监测、威胁分析产品均支持对威胁框架（双标支持ATT&CK和Technical Cyber Threat Framework）知识标签的输出，并在态势感知平台中进行标签整合。引擎作为安天的核心能力，将会随着安天产品和态势感知体系在更多客户侧的落地，创造出更多的支撑价值。