以工程体系对抗安全威胁——2019“CCF杰出工程师奖”获得者肖新光

2019年 “CCF杰出工程师奖”授予安天集团创始人首席技术架构师肖新光，以表彰他在网络安全方面作出的突出贡献。肖新光以极客精神创立安天实验室，20多年来一直在网络空间安全一线工作，他主持研制的AVL SDK反病毒引擎与支撑体系、大规模恶意代码捕获与分析系统等得到业内广泛认可，是国内APT攻击分析领域的领军人物。

肖新光预判，在未来环境下，“感染式病毒”在恶意代码中的占比会快速下降，“特洛伊木马”会成为主流。他同时提出，主机杀毒处置要从文件感染的逆过程转化为病毒对系统操作的逆过程，并从2001年起将这一思路应用到反木马软件Antiy Ghostbusters的研发中（安天智甲终端防御系统的前身）。

2002年，肖新光基于对反病毒引擎技术的探索，修订完善了反病毒引擎较为明确的定义，并概括提炼了反病毒引擎研发的“归一化”工程化思路。

2004年，肖新光带领安天将反病毒引擎改造成适应多种场景的基础安全中间件，抛弃了x86汇编模块，通过全部C/C++重构，兼顾了效率和移植性问题。

2015年，肖新光推进了下一代威胁检测引擎的设想，让引擎从一个独立检测环节，转化成一个为态势感知研判提供更丰富信息的环节。2020年，他指导完善了安天态势感知的策略中心与表达式构建能力，使检测能力的可扩展性和与场景的结合程度得到了全面提升。

2000年，肖新光受到工业流水线的启发，提出了病毒分析流水线的思路，并在2004年实现了全量样本的自动化分析处理，尝试将决策树等方法应用到后端分析中。2007年，肖新光规划了集成化人工分析环境，提升了人工分析和自动分析的协同效率。

2000年，肖新光提出了建设一个由网络侧分布式捕获、由后端进行“ArrectNET”预警监测的设想，成功捕获到红色代码II，并形成了由分析报告、隐患排查工具、专杀处置工具等环节组成的标准响应动作。

肖新光先后与相关高校联合发起了“捕风计划（2007）”“探云计划（2009）”，让高校的网络安全研究者能够更便捷地获得恶意代码活动信息样本资源进行安全研究。

2010年，“震网事件”曝光，肖新光带领安天逐步探索，从事件分析到装备分析，再到外方能力体系分析的高级威胁对抗之路，并在2010年9月27日发布了震网分析报告。2012年，肖新光提出了以分析报告作为条件线索，为发现并成功溯源“白象”的攻击组织奠定了基础。

2017年，肖新光提出了“客观的敌情想定是做好网络安全工作的前提”的观点，并指出我们最基本的敌情想定是“敌已在内”。

肖新光曾多次担任CCF YOCSEF的演讲嘉宾和ADL讲师，并为CCCF撰写了《反病毒方法的现状、挑战与改进》等文章。

2015年5月30日，肖新光在北京航空航天大学进行了一场“八小时跨越三十年”的不间断极限演讲，从一名架构师的视角来观察与思索威胁的对抗与演进，并尝试总结反病毒技术演进的规律性因素。

肖新光是中国首届网络安全优秀人才奖获得者。在隆重庆祝中华人民共和国成立70 周年之际，肖新光被国家五部委评选为全国100位“优秀中国特色社会主义事业建设者”之一。