安全(查殺)引擎與惡意攻擊的攻防拉鋸戰，從單機時代的惡意軟件加殼 vs.靜態黑特征匹配，發展到了互聯網時代基于漏洞的利用vs.基于行為黑、白特征的混用。如今，則是在國家安全這一大背景下的新型攻防對抗。

1月17日，奇安信在京發布了最新安全引擎“天狗”，并將其歸屬為第三代(安全引擎)。其最為突出的是技術目的的變化，即以應對受信程序作惡、未知漏洞利用為核心目的，而且減少用戶對終端的安全運營能力如補丁管理、權限控制的依賴。

那么，從能力角度看，“天狗”引擎有哪些重要的不同?

下面兩段，概括性的介紹了奇安信副總裁，同時也是“天狗”引擎研發負責人徐貴斌的部分演進內容。

1. 受信程序的惡意指令

漏洞攻擊的實質，是利用漏洞控制可信程序執行惡意指令。對可信程序進行限制也一直是安全工作的重要方向。最有代表性的，就是最小權限原則。

所以，“天狗”首先要做的，是利用 AI 能力，批量的，以進程、程序和文件為單位，進行權限收集和設置。要明確的區分是，基于角色、對人的行為的訪問控制，是零信任要做的事情。

但是，訪問控制與授權，是一個長期存在的問題。對權限的控制，不只是人為來規定，更需要底層安全技術的支撐。即使程序的樣子、行為在用戶看來是沒有異常的，但進入內存指令層這樣一個相對微觀的世界，也會有明顯的區別。這樣做的益處是可以擺脫對文件和行為特征的依賴，大范圍應用可能的阻礙是性能消耗的容忍程度。

除了性能外，內存的惡意指令檢測還要重點考慮的是誤報率和檢出率的平衡。而且，因為客戶環境中部署的安全軟件經常會影響程序指令的執行，這對于惡意指令檢測是種干擾，所以現場的適配過程現階段也是必須的。

2. 后門發現

后門發現是此次“天狗”在技術上的一個重要創新點。

后門不似漏洞，它和實現正常功能的代碼段是沒什么本質區別的。“天狗”對后門的檢測思路在于這段特殊功能的使用。正常情況下，功能的研發是為了滿足大多數用戶的需求而設計的，所以幾乎每個正常功能都有大量群體在使用。而后門是為了應對特殊情況，隱藏起來的功能，所以也就只有極少數人，極少機會去調用。

而無論是正常功能的使用，還是后門的調用，都將在內存中形成獨特的指令調用序列，“天狗”利用AI技術，實現了對多用戶的分布式指令調用序列的學習與計算，從中發現與正常功能調用不同的后門調用。

漏洞是程序的缺陷，后門是不公開的功能;后者具備更強的不確定性，特別是在國家安全時代，有更大的風險。當然，照此邏輯，如果一個后門到目前為止從來沒有被使用過，也就不會被發現，在檢出率上一定無法達到100%，但這樣的后門，到目前為止也沒有產生實質性危害。而安全工作要做的，是通過體系化的防護，將風險降低到容忍度以下。特別是“天狗”，可以說是基于 AI 和漏洞視角，強化了對利用漏洞、后門進行攻擊的檢測和發現能力。

實戰應用：應對Win7停服后的安全挑戰

奇安信的特點是重視服務，重視實戰效果。“天狗”也是如此。

據奇安信總裁吳云坤介紹，“天狗”從2018年就開始研發，半年前已經在10萬終端進行部署測試。

作為一個底層安全技術，“天狗”一個重要特點就是不依賴特定操作系統。在政企用戶的不同信息化場景，可以更靈活的提供能力支撐。

目前，微軟已經停止對Windows 7、Windows Server 2008提供支持。這與國內Win7終端占有率達57%以上，關鍵信息基礎設施Win7終端達60%的現狀有明顯的沖突。在失去官方補丁支持后，“天狗”引擎從在另一維度提供的防護能力，對擁有大量無法遷移Windows 7和Windows Server 2008主機的客戶而言，就十分關鍵。

據奇安信集團副總裁張聰透露，目前集成了“天狗”終端和服務器安全防護系統，已經在多家大中型企業及機構穩定運行超過半年，而這些終端的操作系統大量是已經停服的Windows 7和Windows Server 2008。奇安信已經針對 Win7操作系統的過渡(保留停服系統)、切換(信創系統)和升級(Win10)三個場景提出了系統性的方案。未來，結合集成“天狗”引擎漏洞防護模塊的奇安信天擎，可以為不同需求的客戶提供長效的安全運營保障。