当前，全球大多数网络攻击事件与恶意代码（病毒）相关。近 20 年里，恶意代码的规模持续增长、复杂度不断提升。恶意代码种类数量膨胀超过400 倍，开发者从个人演化到有充足成本支持的规模型组织。因此，反病毒引擎成为网络安全防御的重要基础支撑，是遏住威胁的关键环节之一。

从技术角度看，反病毒引擎是依赖于可扩展、可维护数据结构的程序模块，一般由多鉴定器加海量规则集组成，通过综合运用深度预处理、虚拟执行、已知规则检测、家族变种相似性检测、行为机理检测、证书可信验证、基于启发加权或基于深度学习算法的未知检测技术，进行病毒检测和处理。从应用场景角度看，反病毒引擎在网络安全产品中扮演着发动机的角色，能够提供基础、核心的检测判定能力。从威胁对抗角度看，反病毒引擎是信息安全体系的重要基石。反病毒引擎不仅支持恶意代码检测、还支撑各类安全产品的关联发现能力，能够在反 APT、入侵取证等复杂场景下揭示攻击资源、攻击工具、攻击行为、攻击意图和攻击组织。

下一代威胁检测引擎在可靠精准的已知威胁检测能力基础上，将传统反病毒引擎从单一的检测识别单元，提升为封装检测识别、向量拆解、关联判断、知识情报输出的复合安全中间件。该引擎同时具备识别器、拆解器、鉴定器、分析器的能力，可精准识别海量恶意代码。检测对象覆盖了文件、数据包、信标、网络的行为场景，端点的行为场景和组织行为场景。除此之外，下一代威胁检测引擎全面完善了情报承载能力，支持多种输入与输出，拓宽了用户扩展情报能力的“频谱”。下一代引擎通过全面格式识别、深度预处理等，结合提取的基础信息、属性信息、结构信息、身份信息、环境信息以及攻击技术等输出高价值威胁情报，形成客户防御场景下的可消费情报，达成对攻击手段的揭示，对高级威胁攻击方身份的揭示，以及对高级威胁的发现和阻断。

    （1）精确格式识别拆解能力

    下一代威胁检测引擎具备精确格式识别拆解能力，可对多种输入对象进行精确格式识别，包括但不限于可执行文件、脚本、压缩包、复合文档等；具备对复合文档、包裹文件、壳文件、可执行文件等重点格式的深度拆解能力，包括脱壳、解包、Dropper 内容提取、复合文档拆分等。

    （2）多维度特征向量提取能力

    下一代威胁检测引擎可对复合文档、PE 和 ELF 等二进制可执行文件进行多维度向量提取，包括但不限于属性信息、结构信息、身份信息、环境信息、行为信息和攻击技术（执行、持久化、提权、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据渗出、影响）等。

    （3）高速检测与精准命名能力

    下一代威胁检测引擎把全格式识别、深度预处理、全向量提取、虚拟执行、已知规则检测、家族变种相似性检测、行为机理检测、证书可信验证、基于启发加权或基于深度学习算法的未知检测等多种技术相结合，具备本地全规则且具备一定鲁棒性的检测能力。可对二进制可执行文件、包裹文件、复合文档、脚本文件、漏洞等进行全面快速的检测与精准命名，可检测海量恶意代码家族变种，同时可有效检测 APT 组织的攻击载荷。

    （4）离线签名验证检测能力

    针对封闭、隔离的系统不能及时获得病毒库和模块更新等场景，下一代威胁检测引擎提供基础规则和未知检测能力，还支持不依赖于网络侧的离线签名验证检测能力。这在一定程度上实现了辅助可信认证的弹性检测，能有效支撑纯白环境、黑白双控机制。

    （5）国产化适配能力

    下一代威胁检测引擎具备适应多平台和体系结构的能力，支持主流国产软硬件平台，解决安全检测产品集成恶意代码检测引擎涉及的跨平台移植问题，为国产自主可控系统工程提供核心检测能力。

    （6）高价值威胁情报输出能力

    下 一 代 引 擎 可 输 出 向 量、 行 为、 组 织 名 称 等 知 识 信 息 以 及ATT&CK(Adversarial Tactics Techniques and Common Knowledge，对手战术技术公共知识库 ) 框架信息，提升威胁情报的泛化性及精准性。

     本报告版权属于关键信息基础设施技术创新联盟所有，受法律保护。未经许可，任何单位及个人不得以任何方式或理由对报告内容进行使用、复制、修改或与其它产品捆绑使用、销售。

     转载、摘编或引用本报告内容和观点应注明“来源于关键信息基础设施技术创新联盟《 2020 网信自主创新调研报告》”，并书面知会联盟秘书处。

     凡侵犯版权等知识产权的，联盟必依法追究其法律责任。