网络空间威胁对抗与防御技术研讨会暨第十届安天网络安全冬训营于1月8日在哈尔滨成功举行。本届冬训营部分技术报告视频将在1月16、17日在线播放。

本届冬训营以“沧海横流”为营语，以“执行体全量识别与精细管控”为主题，来自政府、企业和高校等研究机构的专家学者共同参与了现场会议。会议由安天集团高级副总裁李晨主持。会议延续了往届的传统，为每位讲师颁发了冬训营纪念章。

黑龙江省委网信办总工程师费振波、黑龙江省公安厅网安总队总队长朱文涛出席活动并致辞。安天的工程师们也分享了在威胁分析研究、产品研发、防御体系建设安全运营等方面的最新进展。

黑龙江省委网信办总工程师 费振波

费振波在致辞中表示，对于黑龙江来说，如何推进数字产业化和产业数字化转型、推动数字经济和实体经济深度融合、激活经济新潜能成为黑龙江必须踩准的步点，也是必须开拓的经济转型新蓝海。省委书记、省委网信委主任许勤同志也多次强调，要提高数字经济思维能力和专业素质，增强抓数字经济的本领。希望安天以此为契机，在加快自身发展壮大的同时，抢抓机遇做大做强做优数字经济，赋能传统产业转型升级，为全面振兴、全方位振兴提供强有力支撑。

黑龙江省公安厅网安总队总队长 朱文涛

朱文涛在致辞中表示，近年来，网络事业蓬勃发展，网络安全问题也相伴而生。党的十八大以来，网络空间法治化进程加快推进，《网络安全法》《数据安全法》《个人信息保护法》等法律法规相继出台实施，为维护网络安全奠定了坚实的法律基础。维护网络安全，离不开政府、企业、社会组织特别是专业技术力量的共同参与。坚持科技创新、突出技术引领，充分发挥、有效整合技术支撑单位以及社会各界的优势资源，成为维护网络安全的“金钥匙”。

《2022年网络安全威胁回顾》

安天副总工程师 李柏松

在每年冬训营上发布前一年度安天网络安全年报的预发布版，是安天一直以来的传统。网络安全威胁年报是安天对上一年度的代表性威胁事件、流行的攻击手法、最新的威胁趋势等进行梳理和总结。在本次冬训营现场，安天发布了《2022年网络安全威胁回顾》，并由安天副总工程师李柏松对其核心内容进行了汇报。

《执行体的识别与管控——IT治理基石》

全国政协委员、安天集团创始人、首席架构师 肖新光

执行体的全量识别与细粒度管控是IT治理工作的重要基石，肖新光在报告中阐述了执行体的基本概念、执行体治理的能力集合，以及成熟度模型与里程碑计划等方面的内容与观点。对什么是执行体，为什么要治理执行体，如何构建能力等关键问题做出了回答。

《高级持续性威胁中执行体的多种格式》

安天安全研究与应急处理中心 陈永余

执行体既是网空服务和业务活动的支撑，也是网络空间对抗中的“弹药和装备”。计算机中的执行体是多样化的，安天安全引擎根据执行依赖环境、存储格式和存储位置三种方式对执行体进行分类，能够对高级持续性威胁进行精准分析，实现主动的安全防御能力。本报告对高级持续性威胁对抗中的执行体进行多维度的分类介绍，也将对不同执行体检测的部分思路与大家进行了分享。

《端点执行体采集和全量识别》

安天端点安全部 辛颖

端点作为网络攻防对抗的重要战场，执行体是端点内系统与业务运行的载体，端点场景多样化，执行体数量庞大，传统的终端安全产品的防护能力无法细粒度的识别和管控执行体行为范围，故对端点内复杂的执行体进行有效治理是一项重要的安全运维工作。执行体治理中有效获取执行体数据和执行体全量识别，以及安天提供的持续化运营服务，是达成执行体治理效果的关键要素。该报告阐述了执行体全要素采集与精细化识别在安全治理方面的价值以及关键方法，并将安天智甲产品在执行体治理方面的实践经验为大家进行了分享。

《基于内核访问控制的操作系统攻击面缩小技术》

哈尔滨工业大学 詹东阳

提升操作系统的隔离能力能够有效提升共享操作系统的计算环境的安全性。系统调用是用户空间与操作系统内核之间的重要桥梁也是内核最大的攻击面，用户空间中的攻击者能够利用系统调用中的漏洞实现提权、拒绝访问等内核攻击。詹东阳老师在报告中表明如何自动化地对应用程序进行系统调用访问控制，禁止其访问运行无关的系统调用，是提升内核隔离能力的重要一环。

《安天AVL SDK为执行体治理提供元数据化能力》

安天基础引擎中心 韩耀光

执行体识别是网络治理的必要基础。然而，粗糙的识别难以输出执行体内部深层次的数据标识，导致无法有效的达到批量化的关联识别和管控操作的目的。在实际场景中，真正需要的是能穿透到执行体内部的细粒度的标识，即将执行体元数据化。安天AVL SDK威胁检测引擎结合自身二十余年技术积累，可全面、深入的对执行体进行元数据提取，支撑安全产品，有效达成用户侧网络精细化治理的工作价值。

《全量执行体识别场景的威胁情报赋能方案》

安天威胁情报产品中心 孙博轩

对执行体的全量识别，需要向量级威胁情报，该报告对提供抗威胁变换性好、语义表征强、载荷揭示能力丰富的情报知识进行了介绍。而具体的落地方案，依赖于构建本地化的专属情报生产设施，以形成攻击者难以预测的威胁对抗能力；也依赖于向量级威胁情报的消费和管理设施，让情报协同应用产生效益。本报告详细讲述了如何基于安天产品体系，构建向量级威胁情报生产和消费循环，赋能执行体全量识别。

《基于HTTP元素和访问上下文的WEB应用管控》

安天青竹智语实验室 刘志辉

当前基于WEB的应用越来越多，各种云服务、移动应用、小程序、物联网后端大都是基于HTTP的WEB应用，WEB应用安全管控成为大家关注的重点。安天下一代WEB应用防护系统将HTTP元素和应用上下文管控相结合，对WEB应用进行全方位的细粒度管控，有效防御各种攻击行为。报告通过对安天下一代WAF的应用管控实践的介绍，让我们从多个的角度看待WEB应用安全防护。通过多种防御管控手段相结合，安天下一代WAF有效抵御各种攻击，发现业务逻辑问题，为用户业务提供全方位，多维度的综合防护。

《卫星系统及网络安全威胁》

安天技术委员会 林长伟

众所周知，卫星对我们当前的日常生活起到了至关重要的作用，从导航到电视广播，从天气预报到气候监测以及军事通信。另一方面，卫星通信也已经是物联网和互联网基础架构中的重要一环，随着5G通信的普及与物联网不断发展，卫星必将扮演越来越重要的角色，因此，卫星安全问题也将日渐凸显。本报告对卫星系统及网络安全存在的威胁形式及相关威胁技术方面进行了介绍，也将安天在卫星安全方面的研究工作与大家进行了精彩分享。

《基于安全防御要素的检测及响应》

安天XDR产品中心 孙可人

在信息化发展的同时，安全设备的堆砌也导致了监控和管理的盲区，难以应对日趋复杂的攻击手法，提高威胁发现和响应速度，降低资源投入成为了安全运营要解决的核心问题。安天威胁对抗运营XDR平台可以有效的统筹和调度安全设备和资源，跨设备跨场景识别风险上下文；动态监控全网环境地形的脆弱性和暴露面；自动化研判响应各类风险并提供设备策略管理、智能下发以及验证能力。构筑闭环安全防线，为威胁对抗和运营工作降本增效。

《智甲云主机安全微隔离系统》

安天云安全中心 王起发

云计算在当下业务环境中逐渐成为主流，传统静态的网络安全架构已无法适应云上动态扩展的业务场景，需要执行体粒度的网络微分段策略，根据不同业务场景设置具备动态自适应特性的访问策略，来保障业务暴露面收缩和遏制横向攻击渗透等重点问题进行介绍。通过对执行体的全量识别，做到资产可见、业务访问关系可见、业务脆弱性可见，基于动态的执行体级访问策略和精细化的威胁自动响应，持续提供主动防御能力，保障云上业务安全。

《防微杜渐——从代码维度审视执行体安全》

安天代码安全中心 刘宇生

随着“软件定义一切”时代的到来，几乎所有的软件产品已使用或包含了开源组件/软件，相应的软件供应链攻击事件也日益增长。而源代码是软件的原始形态，故代码安全的治理工作核心是在源头上治理，在执行体可能发生安全事件或漏洞刚露出苗头的时候就加以制止，不使其发展，在应用上线前尽可能早地消灭高危漏洞、代码风险等在内的安全问题，从源头上遏制安全事故的发生。通过安天代码安全中心的汇报，让我们对代码安全如何在执行体中赋能开发环节，打好安全开发基础，助力常态化安全治理有了更清晰的了解。