|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
基于当时团队积累的约3万种病毒样本,建立了样本库,和配套管理程序,初步形成了命名、关联信息存储、样本可靠性验证等的流程。
|
基于木马是未来恶意代码的主要形式的判断,研发了安天第一版反病毒引擎,其围绕后台非感染式样本自动特征提取为核心机制,可以对PE文件实现不依赖全I/O的高速检测。同时建立了一套对注册表、系统配置文件等进行场景还原的配套处置机制。
|
研发可以用于骨干网络条件下的高速反病毒引擎,在缺少高速协议栈还原支撑的情况下,采用了在包层次进行海量规则高速匹配的机制,可以在千兆环境下,不依赖协议还原,检测2万多种PE、脚本等恶意代码。同时实现了一个基于对象预处理后,采用关键词序列方式进行脚本检测的方法。
|
关注了在实际场景中,大量商用、开源和免费工具成为攻击工具的问题,实现了在同样特征规则的情况下,可以进一步采用辅助的场景判断规则进行验证的能力,从而使反病毒产品可以更好的用于取证场景。
|
针对未来反病毒引擎将嵌入更多应用和设备场景的判断,提出按照高可移植性、内存接口等为标准设计引擎的思路。
|
由于样本数量的增加,安天开始将原有基于规则流转的业务平台,改造一套基于动静态自动化分析的检测机制。同年发布了针对WINCE平台的DEMO引擎,进行了应对移动威胁的早期尝试。完善了在高速网络场景下,向检测效率的来设计检测架构和引擎的思路。
|
实现对ARM和PowerPC的支持,从而支持了大量低端防火墙。鉴于主要安全产品用于协议还原的协议栈已经基本成熟,开始逐步放弃了原有网络引擎思路,网络引擎和主机引擎整合为一个版本。
|
设计了针对主机场景,建立基于发布者、位置和来源、以及文件行为的组合信誉检测机制。
|
以为合作伙伴基于Cavium平台的万兆设备提供反病毒引擎为标志,安天的引擎全面支持了包括MIPS平台在内的多种非X86架构,同时实现了针对不同场景基于引擎分支、病毒活跃度等的引擎剪裁定制能力。
|
开始关注反病毒产品的安全性问题,总结了现有的对反病毒引擎和产品的攻击方法,改善了引擎对抗格式解析漏洞、包裹炸弹等的能力。
|
针对木马出现的云变换(Poly By Server Side),推出了Palyload Blocking的检测思路,基于后台分析系统,针对网络放马载荷进行检测阻拦,形成超轻量级机制,并实现了与随身路由器等产品的融合。因业内重大事件触发对反病毒误报问题系统总结研究,发布有关白皮书。
|
组建移动安全团队以安卓平台为主开始移动引擎突击,移动引擎设计以深度预处理,多检测分支与高质量特征为设计思路。
|
将分析体系中的沙箱坚定机制进行改造,与检测引擎相结合,形成设备型态的独立鉴定器产品“追影”。
|
推出2.0版本引擎,在深化检测分支同时,全面优化提升效率和降低误报,在当年6次Android 平台AV-TEST测试中,取得3次并列第一名,并摘取2013年度AV-TEST移动设备最佳保护奖。
|
深度整理和关注了Linux和类UNIX平台的安全威胁,强化了检测分支,同时引擎增加了对麒麟、方徳等操作系统的支持。基于KVM的平台实现了无代理检测技术,为云服务厂商提供检测能力
|
|
2000
|
2001
|
2002
|
2003
|
2004
|
2005
|
2006
|
2007
|
2008
|
2009
|
2010
|
2011
|
2012
|
2013
|
2014
|
2015
|