——安天引擎的效率改善回顧與展望安天技術委員會威脅框架：細粒度對抗威脅框架：細粒度對抗CONTENTS01安天引擎的發展歷程02引擎效率優化回顧03基于異構計算的威脅檢測04引擎加速芯片展望威脅框架：細粒度對抗威脅框架：細粒度對抗安天引擎的發展歷程Page4威脅框架：細粒度對抗威脅框架：細粒度對抗安天引擎的發展歷程Page5威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗Page7威脅框架：細粒度對抗在目標達成與資源消耗矛盾中不斷挑戰與突破的20年?反病毒引擎是一組可擴展的程序模塊，該程序模塊在相配套的數據描述集合的支撐下來完成對病毒的檢測和清除，而這一數據描述集合則被通俗地稱為“病毒庫”或者?對象格式的不斷豐富?對象大小的快速膨脹?對象復雜度的不斷提高導致模塊日趨膨脹，分支越來越多，規則海量擴展2000-2013惡意代碼的變種總量統計1000000080000006000000400000020000000由于卡巴斯 基后臺分析 與同源合并2000-2013惡意代碼的變種總量統計1000000080000006000000400000020000000由于卡巴斯 基后臺分析 與同源合并 一些病毒家 族和變種發 此無法連續 體種類膨脹 超過400倍。60000004000000200000002006/11/102012/11/272013/11/42000/10/242006/11/102012/11/272013/11/4WormVirusTrojanWormVirusHackToolSpywareRiskWareHackToolSpyware分類/日期2000/10/24Worm354049435247Virus21006277602994030060726209484237514968217502301076Spyware48992145703407510258002014012015-2018惡意代碼的變種總量統計2015/6/252018/9/4WormVirus Trojan HackToolSpywareRiskWare2015/06/252018/09/0429397299803283882528900662234440133844580352020年安天樣本庫惡意代碼變種數Trojan10,338,715Virus49,430Worm276,946HackTool385,361RiskWare1,055,4932020年安天樣本庫惡意代碼變種數Trojan10,338,715Virus49,430Worm276,946HackTool385,361RiskWare1,055,493GrawWare2,640,863總計14,746,8082020年惡意代碼檢測規則數總計52,684,4462000年安天病樣本惡意代碼變種數Trojan3,066Virus21,006Worm512HackTool260RiskWare0GrawWare37總計24,8812000年安天引擎檢測規則數總計約6000條2020年云檢測規則數總計664,870,674安天引擎的檢測本地規則數量，由2000年的不足1萬條，增加到2020年超過5000萬數量膨脹基本一致。2020安天引擎可識別文件格式規則文件格式規則數41,292,256安卓7,918,221腳本1,219,258ELF189,332宏病毒141,812溢出6,430其他文件191,7132020安天引擎可解析格式文件格式種類數軟件數據包裹41可執行格式41媒體35文檔31圖片22文本腳本9其他文件7核心行為標簽AdToolEmailP2PSpoofAdWareExploitPackedSpyArcBombFakeAVPorn-DialerSuspiciousPackerAVToolFlooderPorn-DownloaderToolBackdoorFraudToolPorn-ToolVirToolBadJokeGameThiefProxyWebToolbarBankerGarbagePSWModifierClickerHackToolPSWToolAutoRunClient-IRCHoaxRansomInjectorClient-P2PRemoteAdminPhishingClient-SMTPRiskToolToolbarConstructorJokeRootkitKeyLoggerCrackToolMailfinderServer-FTPFilecoderDDoSMonitorServer-ProxyAdDisplayDialerMultiPackedServer-TelnetLockScreenDoSServer-WebSpammerDownloaderNetToolSMSHLLWDropperNotifierSpamToolSnifferBundlerRoguePage10主機引擎（2000年）?引擎發展選擇了在主機側快速檢測清除木馬，并進行系統關鍵點修復的技術路線?有效還原被害系統10000000800000060000004000000200000002000-2013惡意代碼的變種總量統計2000/10/242006/11/102012/11/272013/11/4WormVirusTrojan HackToolSpywareRiskWare威脅框架：細粒度對抗Page11威脅框架：細粒度對抗網絡側引擎（2002年?當時網絡上病毒蠕蟲已經多達數萬種，但網絡協議棧性能并不足以支持當時主流?對大量惡意代碼重新提取特征，用于高速在線靜態匹配采用基于x86通用平臺還是專用硬件？?此外還有用于防火墻的包頭處理專用硬件芯片?GPU適合處理邏輯簡單、能高度并行的計算?在反病毒引擎中，哈希計算、模式匹配適合GPU來完成，而各環節的銜接調度、預處理、解包等操作，還是適合CPU執行?安天在科研項目中研發了AvlScope、AvlScope2硬件加速方案Page12威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗03基于異構計算的威脅檢測基于通用計算平臺的高速檢測引擎發展瓶頸?規則數量的膨脹帶來存儲資源的壓力?分支眾多，預處理深度加深帶來計算處理資源的壓力?熱數據集龐大，局部性差導致cache失效的性能惡化Page14威脅框架：細粒度對抗威脅框架：細粒度對抗信創背景下高速檢測的挑戰?飛騰、申威、龍芯、鯤鵬、兆芯等國產CPU與Intel、AMD最新產品性能尚有較大差距?單核性能相當于i3-530Page15威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗I通用vs.專用威脅框架：細粒度對抗將沿著“標準化”與“定制化”交替發展的路線前進，每十年波動一次。Page16威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗芯片的定位?加速芯片不是要顛覆已有的技術結構?引擎加速芯片是20年引擎技術發展的自然延申，以現有的軟硬件體系為依托可組合、堆疊，可縮放，性能、成本與應用場景適配Page19威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細