本科生培养

首页 > 本科生培养 > 正文

2020网信自主创新调研报告-反病毒引擎

发布时间:2021-06-07文章来源: 浏览次数:




2020网信自主创新调研报告


专家委员





主   任倪光南

副主任严 明霍 炜胡伟武窦 强 

委   员按拼音排序):曹 冬陈晓桦邓小四杜 胜杜跃进冯燕春冯裕才郭守祥韩乃平胡红升黄志刚姜海舟李 斌李璐瑶梁育刚刘龙庚刘闻欢刘 毅陆宝华罗东平潘凤岩唐 彬汤学军田俊峰肖新光杨纪文翟起滨张焕国张 强张 彦张宇翔张岳公赵 波赵战生郑静清祝国邦






01 国内安全厂商在
全球反病毒领域处于重要地位






反病毒引擎是网络安全防御的
重要支撑


当前,全球大多数网络攻击事件与恶意代码(病毒)相关。近 20 年里,恶意代码的规模持续增长、复杂度不断提升。恶意代码种类数量膨胀超过400 倍,开发者从个人演化到有充足成本支持的规模型组织。因此,反病毒引擎成为网络安全防御的重要基础支撑,是遏住威胁的关键环节之一

技术角度看,反病毒引擎是依赖于可扩展、可维护数据结构的程序模块,一般由多鉴定器加海量规则集组成,通过综合运用深度预处理、虚拟执行、已知规则检测、家族变种相似性检测、行为机理检测、证书可信验证、基于启发加权或基于深度学习算法的未知检测技术,进行病毒检测和处理。从应用场景角度看,反病毒引擎在网络安全产品中扮演着发动机的角色,能够提供基础、核心的检测判定能力。从威胁对抗角度看,反病毒引擎是信息安全体系的重要基石。反病毒引擎不仅支持恶意代码检测、还支撑各类安全产品的关联发现能力,能够在反 APT、入侵取证等复杂场景下揭示攻击资源、攻击工具、攻击行为、攻击意图和攻击组织。



图片









图片

国内厂商在全球市场
成绩优异



国内安全厂商在全球反病毒领域处于重要地位。以安天为代表,国内安全厂商的反病毒引擎已经为全球超过 80 万台防火墙设备以及超过 21 亿移动智能终端设备提供了安全防护能力,360、腾讯等厂商具备了对端点侧产品进行安全赋能的能力。2019 年 3 月 12 日,世界知名测评机构 AVComparatives 发布了其对谷歌官方应用商店(Google Play)上架的全球 250 款杀毒软件防护能力的测评报告。在此次测试中国内厂商安天和腾讯与国外的卡巴斯基、赛门铁克等厂商取得了检出率 100% 的满分成绩,充分证明了我国厂商在反病毒和移动安全领域的重要地位。











02 反病毒引擎技术面临
复杂且明确的威胁形势





“敌将在内、敌已在内”
的敌情想定


当前,我国面临着“网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击”的严峻形势。未来我国关键基础设施将持续面临“敌将在内、敌已在内”的严峻敌情想定:高级作业方所释放恶意代码体系的复杂度和工程规模持续提升,在攻击中越来越广泛地使用未公开漏洞和免杀恶意代码,意图突破传统的感知和防御能力,从而达成更有效的持久化;高等级恶意代码具有非常复杂和精密的指令体系,依托加密和隐藏信道以及“不落地”的恶意代码载荷发生作用,越来越难以分析。













应对高层级恶意代码
攻击行为



在客观敌情想定中,可以从低到高将攻击行为体划分成七个层级:业余黑客、黑产组织、网络犯罪团伙或黑客组织、网络恐怖组织、一般能力国家 / 地区行为体、高级能力国家 / 地区行为体、超高能力国家 / 地区行为体。这些攻击行为交织在一起,有更高的对抗难度。同时,军火级恶意代码失窃流失、商业军火销售、恶意代码开源、对正常开源和免费工具的改造和利用,导致现有恶意代码的威胁图谱高度复杂,可造成网络安全迅速发生攻防失衡。2015 年 5 月 27 日,安天发布 APT 分析报告《一例针对中国政府机构的准 APT 攻击中所使用的样本分析》,针对某国攻击组织使用 Cobalt Strike 对我国有关部委进行的攻击进行了分析曝光。2017 年 4 月 14 日,影子经纪人(Shadow Brokers)曝光了 Equation Group(方程式组织)使用的一批“武器级”漏洞利用工具,这批工具覆盖了 Windows 主流操作系统的全部版本,涉及多个开放服务端口。2020 年 12 月 8 日,火眼公司(FireEye)在其官方网站发布公告称,“高度复杂的威胁行动者”攻击了其内网并窃取了用于测试客户网络的红队(Red Team)工具,由于其部分自研工具的未知风险不能有效评估,一旦失窃被大规模利用,会将专属高级攻击能力转化为普遍的攻击能力,从而造成大面积攻击事件,导致安全产品未能及时更新,出现攻防失衡。













应对自主创新伴生的
安全风险



当前,我国正在大力研发国产基础软硬件技术,此举虽然有效降低了信息化产品面临的人为风险(如预置后门和断供等),但由国产化带来的安全性问题依然(甚至更加)值得关注。国产关键信息产品依然面对着定向性木马、 Rootkit、Webshell 等各种安全威胁。 

同时,由于反病毒引擎具有结构复杂、代码分支多的特点(多达数万个模块、千万量级的本地检测规则、十亿级别的云端检测规则),非常难于测试和发现预埋的后门。所以在现实的国际形势下,反病毒引擎会成为一个关键的、由国家主导和实施的“卡脖子”技术。自主研发、自主可控的国产反病毒引擎可以为国家战略防御和全球威慑能力的增长提供保障。










03 基于叠加式创新发展
下一代威胁检测引擎



面对新的威胁形势,防御方需求在进一步提升。之前用户需要解决的问题是:我在面临什么样的威胁,对我的危害是什么?随着 APT 的到来,用户的需求是要了解对手:谁对我发起了攻击,用了什么手段,我面临什么样的威胁,怎样有效防御,怎样预测攻击?针对这一现状,我国安全厂商在深入分析高级网空行为体攻击能力特点和恶意代码体系演进趋势特点上,基于后端捕获分析工程体系的支撑,对传统反病毒引擎进行了叠加式创新,基于对象不可信任和检测能力注定被绕过的思想,设计了下一代威胁检测引擎。








下一代威胁检测引擎的
设计思想


下一代威胁检测引擎在可靠精准的已知威胁检测能力基础上,将传统反病毒引擎从单一的检测识别单元,提升为封装检测识别、向量拆解、关联判断、知识情报输出的复合安全中间件。该引擎同时具备识别器、拆解器、鉴定器、分析器的能力,可精准识别海量恶意代码。检测对象覆盖了文件、数据包、信标、网络的行为场景,端点的行为场景和组织行为场景。除此之外,下一代威胁检测引擎全面完善了情报承载能力,支持多种输入与输出,拓宽了用户扩展情报能力的“频谱”。下一代引擎通过全面格式识别、深度预处理等,结合提取的基础信息、属性信息、结构信息、身份信息、环境信息以及攻击技术等输出高价值威胁情报,形成客户防御场景下的可消费情报,达成对攻击手段的揭示,对高级威胁攻击方身份的揭示,以及对高级威胁的发现和阻断。



图片











下一代威胁检测引擎的
技术能


    (1)精确格式识别拆解能力

    下一代威胁检测引擎具备精确格式识别拆解能力,可对多种输入对象进行精确格式识别,包括但不限于可执行文件、脚本、压缩包、复合文档等;具备对复合文档、包裹文件、壳文件、可执行文件等重点格式的深度拆解能力,包括脱壳、解包、Dropper 内容提取、复合文档拆分等。

    (2)多维度特征向量提取能力

    下一代威胁检测引擎可对复合文档、PE 和 ELF 等二进制可执行文件进行多维度向量提取,包括但不限于属性信息、结构信息、身份信息、环境信息、行为信息和攻击技术(执行、持久化、提权、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据渗出、影响)等。

    (3)高速检测与精准命名能力

    下一代威胁检测引擎把全格式识别、深度预处理、全向量提取、虚拟执行、已知规则检测、家族变种相似性检测、行为机理检测、证书可信验证、基于启发加权或基于深度学习算法的未知检测等多种技术相结合,具备本地全规则且具备一定鲁棒性的检测能力。可对二进制可执行文件、包裹文件、复合文档、脚本文件、漏洞等进行全面快速的检测与精准命名,可检测海量恶意代码家族变种,同时可有效检测 APT 组织的攻击载荷。

    (4)离线签名验证检测能力

    针对封闭、隔离的系统不能及时获得病毒库和模块更新等场景,下一代威胁检测引擎提供基础规则和未知检测能力,还支持不依赖于网络侧的离线签名验证检测能力。这在一定程度上实现了辅助可信认证的弹性检测,能有效支撑纯白环境、黑白双控机制。

    (5)国产化适配能力

    下一代威胁检测引擎具备适应多平台和体系结构的能力,支持主流国产软硬件平台,解决安全检测产品集成恶意代码检测引擎涉及的跨平台移植问题,为国产自主可控系统工程提供核心检测能力。

    (6)高价值威胁情报输出能力

    下 一 代 引 擎 可 输 出 向 量、 行 为、 组 织 名 称 等 知 识 信 息 以 及ATT&CK(Adversarial Tactics Techniques and Common Knowledge,对手战术技术公共知识库 ) 框架信息,提升威胁情报的泛化性及精准性。










版权声明

     本报告版权属于关键信息基础设施技术创新联盟所有,受法律保护。未经许可,任何单位及个人不得以任何方式或理由对报告内容进行使用、复制、修改或与其它产品捆绑使用、销售。

     转载、摘编或引用本报告内容和观点应注明“来源于关键信息基础设施技术创新联盟《 2020 网信自主创新调研报告》”,并书面知会联盟秘书处。

     凡侵犯版权等知识产权的,联盟必依法追究其法律责任。

关闭 打印责任编辑:fanruihong

友情链接

Baidu
sogou