打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 关于我们 > 企业新闻

新闻与活动

亚信安全最新资讯与活动。

TrustOne核心引擎的四大硬核升级 构建体系化防御的底气
发布时间 :2026年07月14日
类型 :公司新闻
分享:


亚信安全新一代终端安全TrustOne,完成了基于攻击链的“漏斗式”防御体系的升级,这一系列能力进阶打破了传统杀毒软件(AV)单点防御的盲区,实现了从静态到动态、从文件到内存、从特征到意图的全局掌控。



微信图片_2026-07-15_131445_748.png

在安全实战中,企业面临着一系列系统性的技术痛点:高密度的动静态联动、深水区的行为与内存监控,会不会把服务器的 CPU 榨干?会不会导致业务严重卡顿?在多种生产环境与老旧资产中,高频的行为检测又该如何解决高误报的问题?


针对这些问题,同时结合企业真实的业务场景,亚信安全TrustOne对底层的核心检测大脑进行了全面重构,四大核心引擎完成硬核升级,问问承托“漏斗式”防护体系升级。


新一代静态查杀引擎

打破“一杀毒就卡顿”的架构缺陷


在 TrustOne 的漏斗防御中,静态查杀引擎负责 AI 深度学习查杀与极速变种对抗。传统检测引擎为了做到“全能”,多采用“全文件缓冲”技术——检测一个大文件,必须把它全部读进内存,导致内存激增、业务卡顿。这成为了阻碍业务的架构性缺陷。

微信图片_2026-07-15_131451_218.jpg


为了兼顾高检出率与极致的轻量化体验,TrustOne 自研新一代静态查杀引擎抛弃了历史包袱,从代码底层重构了逻辑:

“渐进式扫描”黑科技(内存占用暴降 50%):引擎彻底抛弃将文件整体搬进内存的死板方式,通过控制缓存,实现动态渐进式、按需加载的流式安全检测。实测数据显示,在对 500MB 的独立 PE 大文件进行检测时,新一代引擎最低仅需 30MB-60MB 即可高速无感运行。

“积木式”插拔架构(按需加载模块):新引擎将核心查杀(libavcore)、任务分发(libdispatch)、通用解包(libextractor)等模块完全解耦,如同积木般灵活组合。在只有几 G 内存的 ATM 或旧工控机上,仅保留核心查杀并调低资源占用;在高配云主机上,则多线程火力全开,高速扫描,完美适配全场景。

“真实数据不落地”的全能解包能力:面对将病毒藏在“压缩包里的安装包里的文档”这种“套娃”式恶意软件,通用解包模块覆盖静态脱壳、安装包解包、打包器解压等广度场景,并在真实数据不落地的情况下,直接在内存中完成“解包+扫描”全流程深度挖掘。

ABI 级无缝兼容:针对制造业等仍在大量使用的 CentOS 5(glibc  2.5)、Windows XP (SP3) / Server 2003 等停止支持的老旧系统,提供 ABI 级无缝兼容兜底,守护新旧时代的数字资产。


动态内存检测引擎

搭建代码级API精准卡口 终结无文件攻击


在漏斗式防御的深水区,TrustOne 专门通过动态内存检测,来终结红蓝演练中不落地文件的纯内存攻击。面对硬盘上完全没有实体文件、静态文件扫描引擎完全失效的隐身敌人,TrustOne 动态内存检测引擎开启了“读心术”:

微信图片_2026-07-15_131503_952.png


  • 内存镜像扫描(戳破Payload加密伪装):无论黑客通过何种高明手段将 Payload 加密混入内存,它最终运行前必须解密。TrustOne 能够直接在进程地址空间中,精准发现解密露头的恶意代码段(如 Shellcode 头、反调试指令等),只要露头即可捕获。

  • API 核心“作恶路径”强控卡口:黑客要在内存中搞事情,必须调用特定的高危 API。内存检测引擎重点实时盯防 VirtualAllocEx(申请内存)、WriteProcessMemory(写入内存空间)、CreateRemoteThread(远程线程注入)等关键 API 调用。针对红队及“银狐”等高频使用的进程注入攻击,一旦发现尝试,立即在指令执行前强行阻断。


IOA行为检测引擎

引入“上下文”智慧 用逻辑组合根治高误报


除了防范无文件攻击,TrustOne 的深水区对抗更能识别“白利用”(LOLBins)——即黑客不写病毒,而是利用系统自带的 Word、PowerShell、CMD 等合法程序作恶。由于文件本身带有合法的微软签名,传统静态 AV 为了避免误报根本不敢杀。

微信图片_2026-07-15_131507_813.png


TrustOne 自研海鸥 IOA 行为检测引擎,将防御从关注“文件是谁”进化到关注“它在做什么”,赋予防御体系强大的“逻辑思考能力”:



建立业务逻辑基线,识破违背逻辑的调用链


  • 办公软件监控:Word/Excel 绝对不应该在后台偷偷拉起 cmd.exe 或 powershell.exe。

  • Web 服务监控:IIS/Tomcat 进程绝对不应该执行 whoami 或 net user 这种系统摸底命令。一经发现此类严重违背生产逻辑的异常进程链,直接判定为漏洞利用并予以拦截。



命令行语义分析看懂脚本“黑话”


虽然 powershell.exe 是白文件,但如果其命令行中包含了混淆代码、远程下载指令,IOA 引擎通过语义分析即可瞬间看穿其恶意意图。



高保真“组合拳”解决高误报


运维人员最怕安全软件误报“扰民”。TrustOne 的对策是:单纯调用 PowerShell 绝不告警,只有当“Word 进程  释放脚本  调用 PowerShell  连接外网”这一完整攻击链行为完全闭环时,才会触发高保真阻断。


本地 IOC 外连阻断

把威胁情报转化为实时阻断能力

切断攻击者控制通道


在 TrustOne 体系化防御最后一道防线上,本地 IOC 检测负责解决一个关键问题:即使攻击者已经突破入口、成功运行恶意载荷,也不能让其与外部 C2 服务器建立持续通信。


微信图片_2026-07-15_131511_135.jpg

面对木马远控、银狐、勒索软件等攻击,恶意程序通常需要连接外部域名、IP 或 URL,下载二阶段载荷、接收控制指令并回传窃取的数据。TrustOne 将云端威胁情报、本地 IOC 与终端出站流量监控深度结合,在终端侧形成实时检测、快速阻断和全网联动的闭环防线:


  • 多类型 IOC 本地高速匹配,断网环境也能持续检测:

    支持对恶意文件 Hash、域名、IP、URL 等 IOC 进行本地化存储和高速匹配。即使终端暂时无法连接云端,仍可依靠本地 IOC 库持续识别已知恶意样本和攻击基础设施,避免因云端查询延迟或网络中断形成防护空窗。

  • 进程、网络与上下文关联,精准定位“谁在外连”:

    检测引擎不仅判断目标 IP 或域名是否恶意,还会关联发起外连的进程、父子进程链、命令行、登录用户、文件路径及上下文行为。例如,当 Word 拉起 PowerShell,并由 PowerShell 连接高风险域名时,引擎能够将文件执行、进程调用和网络通信串联为完整攻击链,避免只看单一黑名单造成误报。

  • C2 外连实时识别,在通信建立阶段直接断链:

    当终端访问命中本地 IOC 或云端威胁情报的恶意域名、IP、URL 时,TrustOne 可在连接建立或数据传输阶段直接阻断通信,切断攻击者下发二阶段载荷、远程控制指令和数据回传通道。即使入口已经被突破,也无法继续维持攻击控制能力。

  • 阻断、隔离与响应任务联动,形成自动处置闭环:

    一旦确认恶意外连,TrustOne 不仅可以阻断当前连接,还可联动终止恶意进程、隔离关联文件、禁止再次运行,并在必要时隔离主机,防止攻击横向扩散。相关 IOC 还可自动关联事件与响应任务,实现从“发现外连”到“切断通信、清除威胁、控制影响面”的闭环处置。


本地 IOC 检测不是简单地“查黑名单”,而是将威胁情报、进程行为和网络上下文结合起来,在终端侧构建可持续运行的外连控制卡口:阻断 C2、限制扩散,避免攻击者形成长期控制。




从性能维度的“静态引擎轻量瘦身”,到空间维度的“内存引擎精准截击”,再到逻辑维度的“行为引擎上下文关联”,体系化安全从来不是花哨的概念堆砌,而是对核心引擎的重构与打磨。 TrustOne 对底层引擎的全面升级,不仅实现了从全效检测到自动化响应的实战掌控,更是对企业真实生产环境与业务连续性的极致尊重。2026年,洗牌终端防御架构,让威胁无处遁形。


分享到微信
X