安天參與歷屆XCon峰會精彩議題集錦

以“重拾圓點·致敬無限”為主題的2021XCon安全焦點資訊保安技術峰會今年迎來20週年生日盛典。安天持續輸出自身的技術優勢，不斷分享研究成果，參與了2002年之後的歷屆XCon峰會，在陪伴XCon逐步走向成熟的同時，始終堅持的是對技術的執著追求以及從未改變的初心。

XCon安全焦點資訊保安技術峰會（XFocus Information Security Conference）是國內頂級網路安全前沿技術會議，創立20年來，已吸引全球數百位頂尖技術專家在此發表演講，使會議在國際範圍內享有極高聲譽與影響力。XCon在這20年裡一直都在堅持著對純粹技術的追求。安天參與了2002年之後的歷屆XCon峰會，持續輸出前沿技術議題，分享研究成果，我們共同來回顧安天參與歷屆XCon峰會的部分精彩議題。

XCon2002

網路安全技術與反病毒技術的一個結合點——基於流和包的病毒檢測

反病毒技術是一項積累性技術，有一定難以逾越的基礎，因此，結合傳統反病毒企業的技術是安全廠商的一種選擇。部分反病毒廠商也把向其他廠商和網路安全廠商提供AV SDK作為新的熱點。另外，更多的反病毒廠商正在積極擴充套件自身的網路安全產品線，從而構築全面的安全解決方案。

病毒的可靠處理環節是在實體系統和檔案級別上，傳統的反病毒技術是基於檔案物件的，適合搭建基於應用閘道器伺服器的檔案系統或者獨立構造應用層代理的情況。

XCon2003

病毒檢測技術的取證應用——外延化的廣譜檢測引擎和技術體制

取證領域的部分技術與病毒檢測技術有相似之處，首先，相關的取證技術的部分環節與反病毒產品的性質一樣，需要在大量的資料中確定其中符合某種定義的資訊的存在。其次，從廣義的理論領域來講，都可以視為資訊指紋技術的相關分支。

但二者也有很多的不同點，取證系統應最少的影響現場，不應影響檔案的最後訪問時間，而這在反病毒系統中則不需要考慮。反病毒軟體不僅要檢測病毒，也要能夠清除和遏制病毒，但取證系統則不需要做清除處理。

取證產品的檢測範圍比反病毒軟體更加廣泛，反病毒軟體在報警上比較慎重，因此對類似商用的spyware、遠端控制工具等都不做檢測，而且取證產品則需要找到更多的資訊。

取證系統需要更深入的關聯分析，取證技術最終是要確定某個事件背後的邏輯關係，如確定一個程度是否為有害程式，對反病毒產品來說，這本身是一個既定目標，而對取證技術來說，這只是一個手段工具。

XCon2004

網路細粒度可嵌入的反病毒引擎

反病毒不是簡單的技術對抗，整個的AV體制包含著很多的邏輯因素，以及工程規劃的因素和很多具有共性的基本原則。

客觀來說，這些共性原則首先被從實踐中總結形成，反過來又指導著反病毒引擎乃至反病毒工具的設計。

在1995年，安天總結了反病毒體制最基本的共性原則44條，稱之為AV辯證法。

XCon2008

還原冬天的神話——印表機“病毒晶片”事件之情景再現

美伊戰爭開戰前，美國中央情報局獲悉，伊拉克從法國採購了供防空系統使用的新型印表機，準備透過約旦首都安曼偷運到巴格達，隨即派特工在安曼機場偷偷用一塊固化病毒晶片與印表機中的同類晶片調了包。美軍在戰略空襲發起前，以遙控手段啟用病毒，使其從印表機竄入主機，造成伊拉克防空指揮中心主計算機系統程式發生錯亂，工作失靈，致使防空體系中的預警和C3I系統癱瘓，為美軍順利實施空襲創造了有利條件。

在國內外的報道中，上述案例被反覆的提起，其真偽也反覆遭到質疑，安天微電子與嵌入式實驗室的一群軟硬體燒友，透過深入的推導和分析，在硬體和電子電路級別，全面解析了上述過程的實施的可能性和可行性，以及相關的攻防技巧。最後安天將透過一個為時5分鐘的安全情景劇，完全實景浮現出在當前主流系統的高安全配置下，不透過修改任何軟體驅動，完全透過硬體修改實施主機控制的實景DEMO。

XCon2015

安天獨家設計製作arduino胸卡

XCon2015的胸卡是當時非常流行的arduino，由安天獨家設計製作，按照安全圈的慣例，在這個系統中留了一個bug，需要參會者自己從網上找到電路圖比對後發現bug並親自把一個晶片焊上去，就是一個完整版全相容的arduino。

安天獨家設計製作的arduino胸卡

XCon2016

無處不在的攻擊

你的手機呼吸燈一直常亮嗎？你的顯示器燈一直常亮嗎？如果有的話，你需要慎重考慮是不是正常行為了……因為有可能燈是攻擊者開啟的，而不是你本人；還有可能攻擊者正在利用執行中的裝置竊取你的資訊。

來自安天實驗室的桑勝田分享了《SRAM型FPGA的資訊保安風險淺析》，詳細解釋了FPGA封閉硬體架構和閉源工具鏈正在面臨的一些安全問題，可能會導致使用者資訊洩露，被攻擊者利用於不好的行為中。

XCon2017

藍芽4.0加密通訊過程的流量分析攻擊威脅與防護

隨著物聯網時代的開啟，低功耗藍芽裝置的部署與應用日益廣泛。但隨著軟體無線電技術的發展，在機器學習、資料分析技術的推動下，針對物聯網通訊的攻擊不再僅限於傳統嗅探破解，通訊通道的流量分析已經成為新的安全威脅，可以在捕獲通訊資料包序列但無需解密的情況下，達到探究當前使用者可能進行的通訊行為，進而用於行為特徵識別、攻擊物件身份判定、行動計劃推測的效果。

傳統低功耗藍芽的嗅探偵聽遇到的困難有調頻通訊、加密通訊機制、跳頻頻率不一致、協議規則複雜等。基於此，引入流量分析是一種非常有效的方法。

安天微電子與嵌入式安全研發中心敖世亮簡述了藍芽4。0通訊的安全機制及機器學習預測模型的構建流程，以藍芽4。0通訊過程為例，透過無線電裝置跟蹤跳頻、捕獲並破解藍芽鍵盤鍵入資料，將加密通訊資料、破解後的明文資訊與同時記錄的流量特徵進行對比分析，探究三者聯絡和由此可能帶來的資訊洩露威脅，並作簡單例項演示，展現安全風險。