介绍：CTO姚纪卫受邀出席“关键信息基础设施安全防护专家认证培训”，并作为讲师授课

　　2023年4月13日至14日，由国家信息中心、中国网络空间安全协会指导，国家网络安全人才与创新基地、《信息安全研究》杂志社主办，中国计算机学会计算机安全专业委员会、航天云网科技发展有限责任公司、光明网数字化频道&网络安全频道协办的“数字政府安全建设高峰论坛暨关键信息基础设施安全防护专家认证培训”在武汉顺利召开。

　　本次论坛由国家信息中心办公室副主任吕欣研究员主持，北京市海淀区网信办刘杰副主任，郑州大学网空学院院长、中国计算机学会安全专委会常务委员胡传平，武汉大学网络空间安全学院党委书记赵波，国家信息中心信息与网络安全部政务外网安全监测处处长刘蓓，国家信息中心研究员李新友等出席并发言。安芯网盾CTO姚纪卫受邀出席“关键信息基础设施安全防护专家认证培训”，并作为授课讲师为在场嘉宾讲解“基于内存安全的恶意代码运行时检测与防范技术”。

安芯网盾CTO姚纪卫

　　在课程中，姚纪卫基于现阶段全球高级威胁攻击事件及红队攻击行为进行分析，提出内存安全是当下最新的检测和响应高级威胁的技术路线，介绍了内存安全技术原理及基于内存安全的恶意代码漏洞识别技术在实战中的检测案例和优势。

　　恶意程序的发展现状及危害

　　姚纪卫表示，当前恶意程序和漏洞数量正在逐年增加，特别是漏洞利用攻击和无文件攻击逐渐成为最受红队和恶意攻击者欢迎的攻击手段。根据CNCERT的数据显示，2021年CNVD收录安全漏洞数量共计20704个，同比增长27.9%，2016年以来年均增长率为17.6%。其中，高危漏洞数量为7420个（占35.8%），同比增长52.1%；零日漏洞数量为8902个。2021年，“零日”漏洞收录数量为 7,107 个（占 54.3%），同比大幅增长 55.1%。

2016-2020年 CNVD 收录的安全漏洞数量趋势

　　零日漏洞的大量利用给全球不同国家政府和企业机构都带来极其重大的影响，传统的安全产品在面对零日漏洞时无法及时有效进行应对，使数字资产长期暴露在不安全环境中。

　　内存安全为恶意程序检测提供新的技术路线

　　姚纪卫介绍道，当前各种检测方法，如：特征码检测技术、启发式检测技术、主动防御技术、AI技术、EDR和NDR，这些技术对于传统攻击行为都具有不错的检出效果，但随着恶意代码制作逐渐呈组织化、职业化、不惜代价化，使得恶意代码目标性、对抗性、隐藏性增强，使上述检测方法不能从根本上防范0Day漏洞利用、无文件攻击和APT攻击威胁，这就需要安全检测技术与时俱进。

　　在这种背景下，内存安全技术应运而生，通过专注于应用程序进程细粒度行为和内存访问行为，为检测和响应高级威胁提供了新的技术路线。内存安全技术是一种从内存访问行为和进程行为监控出发，依据采集到行为做实时行为关联分析识别威胁的技术。这是一种基于攻击行为的检测方法，因为无论恶意代码怎么变化，它的行为收敛，数量极少，所以这是一个很好的检测思路。

　　内存安全技术原理及优势

　　姚纪卫说：“内存是所有威胁的汇聚点”，尽管高级威胁攻击在基于 API 监控的检测方法上蛛丝马迹甚少，但是最终会在内存中“展现”和执行。在冯 · 诺伊曼体系结构中，任何数据都需要经过 CPU 进行运算、都需要经过内存进行存储，理论上基于内存和CPU这一层面实现的安全防护可以有效防护所有威胁。

　　内存安全技术原理示意图

　　基于此，安芯网盾想到了一种新的思路来应对此类高级威胁，也就是在内存和 CPU 指令集这一层来构建安全方案，不依赖静态特征，基于程序的动态内存访问行为和程序执行行为进行检测。无需频繁升级，即可达到对未知威胁已知威胁相同的检测效果，摆脱了先有毒后杀毒的被动局面，做到了“未雨绸缪、防患于未然”。

　　同时，安芯网盾针对内存安全的三层防护体系基于底层技术构建上层安全的一体化思路

　　能够很好地补足当前针对高级威胁防护的空白：

　　·内存层，采用内存保护技术，能有效防范内存攻击、二进制漏洞利用等威胁；

　　·系统层，结合ACDR攻击链检测与响应技术，对恶意代码、入侵检测和未知漏洞实现有效防护；

　　·应用层，采用RASP运行时安全防护技术，能很好防御web攻击、内存马、webshell、和中间件漏洞。

　　安芯网盾的使命是保护数字世界的安宁，作为内存安全领域的开拓者和领军者，我们始终希望将我们在产品和技术上的积淀都能转化为客户的价值，为客户主机安全保驾护航。