AI权限管控、内存指令安全与后门发现：第三代安全引擎的三个创新应用

今天，奇安信在公司新址召开第三代安全引擎“天狗”的新品发布会，引擎研发负责人徐贵斌在场讲解了“天狗”的三个创新应用。

奇安信安全中心大楼

安全技术的三个时代

徐贵斌把安全技术划分为三个时代：

第一代安全技术。指单机时代，从八十年代到2000年左右。基于静态特征比对的技术实现。虽然与病毒的更新变化相比滞后，但由于单机背景下病毒的传播能力较弱，还是能够满足基本需求。

第二代安全技术。指互联网时代，从2000年左右至2014年。其中，经历了2005年的主动防御（基于行为特征，但仍然需要识别主体，只是辅助引擎），2008年的云查杀（极大缓解了特征库的滞后问题），2009年的白名单（非白即黑），2010年的AI引擎等技术。但2010年伊朗的震网病毒，利用了0day、合法数字签名和无文件内存加载技术，充分证明了传统安全技术理念的缺陷。

“单机时代到互联网时代的转变，意味着第一代安全技术的全面溃败。”

第三代安全技术，以国家网络安全为背景（2014年至今），以习总书记“没有网络安全，就没有国家安全”理念的提出为标志。对抗目标为漏洞攻击、可信程序做恶、无文件等新型攻击手法。

“如果说前两个时代，厂商之前主要还是商业竞争的话，但现在则需要大家一起共同保卫国家安全，合作大于竞争。”

“天狗”引擎的三个创新应用

1. 智能化的权限管控

通过权限控制来识别攻击并非新的安全理念，权限控制的前提是权限预置，而海量的程序对于安全提供方而言，无法一一控制，只有交给用户来选择，但绝大部分用户并不具备权限取舍的判断能力。因此，AI技术在某种程度上可以帮助解决这一问题。

“对可信程序的权限限制是一个重要的安全理念，不应因信任而给予毫无必要的过度的权力。”

智能化的权限管控是天狗的创新之一。但权限控制不能解决所有问题，需要更底层的安全技术来支撑。

2. 内存指令层进行安全检测

不管什么的机制或系统，漏洞一定会存在，攻击一定发生，而修补永远滞后。以WannaCry病毒为例，微软早在2017年3月14日已经发补丁，但基于永恒之蓝漏洞利用工具的勒索病毒大规模爆发，在补丁发布两个月之后（5月12日）依然发生。

徐贵斌认为，现在的安全技术并不是为解决漏洞攻击的问题而设计。漏洞攻击的实质就是控制“可信程序”来执行恶意指令，从而继承了漏洞所在程序的一切特权。一种从根本上解决漏洞的方法就是，摆脱传统安全技术对文件或行为的特征依赖，从内存指令层进行安全检测。不管是什么样的病毒变种，什么样的漏洞利用，什么样的可信文件，甚至是无文件，只要有所不良行为，最终都会在内存指令序列中体现出来。针对内存级别的异常指令检测，是天狗的第二个应用创新。

3. 后门发现

即使是内存指令层的检测也有一个问题无法解决，后门。因为后门程序属于正常程序，只是隐藏了入口。因此，一切针对漏洞（程序的异常）的防御措施在后门面前是失效的。针对后门发现，天狗引擎的设计者提出了“四个关键词和两个问题”。

四个关键词：指令执行序列、大数据、分布式计算、人工智能。

两个问题：一个产品的某个功能，会为多少用户的使用而设计？一个产品中的后门，会有多少人真正使用？

把数据量扩大，利用AI算法检查与内存指令调用，结合用户使用场景对应用规律、频率、分布、次数进行关联分析，就回答了上面的两个问题，并最终发现后门。此为天狗引擎的第三个创新应用。

徐贵斌表示，天狗引擎已经在超过10万台用户的终端上部署，取得了非常不错的效果。今后要推广和加大部署力度，对引擎进行不断地迭代更新，以实现更好的实用效果。

数世评论：

内存指令安全并非全新的安全技术，2019年大数据搜索公司Elastic用2.34亿美元收购了内存安全厂商Endgame。国内也有专注于这一领域的初创公司，如安芯网盾。徐贵斌在发布会上也表示“新技术与当前安全技术的并非更新换代，而是叠加演进。”

天狗引擎的创新应用，基于内存指令集的检测，从系统底层上解决漏洞攻击，并且在一定程度上摆脱对特定操作系统的依赖，不失为解决供应链安全问题的一个优选思路和解决方案。在我国关键信息基础设施保护安全能力生态建设中，很可能将成为一个强有力的支撑。

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。