国家科技进步奖提名材料公示.PDF

国家科技进步奖提名材料公示 一、项目名称 高级持续性威胁(APT)攻击检测关键技术及应用 二、提名者 中国科学院 三、提名意见 有组织的高级持续性威胁（APT ）攻击已对国家安全、社会经济稳定造成严重 影响，对传统的网络空间安全防御体系形成了严重威胁。该项目针对APT 攻击的技 术对抗难题，历经十多年的关键技术研发，形成了一套以基于硬件模拟软件深度分 析技术为核心的APT 攻击检测关键技术和产品体系，实现了高透明、细粒度的软件 深度分析能力，解决了传统安全产品面临的检测系统与被检测目标同系统平台技术 竞争难题；提出了漏洞利用攻击检测、基于数据流的攻击特征提取、协议逆向追踪 与僵尸网络溯源等技术与方法，有效解决了类攻击代码识别、动态生成代码提取等 难题。基于动态分析基础引擎，研制了金刚软件智能分析系统、高级持续性威胁检 测系统、天眼新一代威胁感知系统等系列产品，提升了APT 攻击的检测防御能力。 项目研制的产品已广泛应用在通信、金融、能源等国家关键信息基础设施，工 信部等国家部委，军队、公安等国家安全部门，百度、中船、航天等大型企业应用 和专业机构。近三年新增产值11.56 亿元；项目成果还为APEC 会议、“一带一路” 国际合作高峰论坛等重大活动提供安全保障；在海莲花、蓝宝菇等重大APT 攻击事 件的发现与处置过程中发挥重要作用。项目所取得的成绩多次获得主管部门和国家 领导人的肯定和嘉奖，取得了显著的经济效益和社会效益。项目部分成果分别获得 2018 年度中国通信学会科学技术一等奖和2017 年北京市科学技术二等奖。 提名该项目为国家科学技术进步奖二等奖。 四、项目简介 该项目属于计算机信息技术领域。 网络空间安全是关乎国家安全、社会稳定、百姓利益的重大战略问题。《国家中 长期科学和技术发展规划纲要（2006-2020 ）》将网络空间安全技术列为重点发展的 关键技术方向。高级持续性威胁（APT ）攻击以强大的、有组织的技术力量作支撑， 以特定的高价值任务为目标，攻击破坏性强，对抗能力高，是当前网络空间安全的 重要威胁。该项目在国家863 计划、国家自然科学基金等项目的支持下，历经十多 年的关键技术研发，形成了一套以基于硬件模拟软件深度分析技术为核心的 APT 攻击检测关键技术和产品体系，完成了面向APT 攻击的漏洞利用攻击检测等系列关 键技术突破，研制了金刚软件智能分析系统等多款产品，有效提升了APT 攻击的检 测、分析和处置能力。主要技术创新包括： 1) 基于硬件模拟的软件深度分析技术。提出了基于硬件模拟的软件动态分析方 案，解决了进程运行场景恢复等问题，实现了纯硬件层的数据监控分析和指令级/ 字节级的软件动态分析能力，改变了传统安全产品依赖于操作系统接口的数据获取 方式，提高了分析过程的透明性和技术对抗能力，为APT 攻击检测技术方案构建和 产品研制奠定了方法与技术基础； 2) 基于漏洞利用过程异常的网络攻击检测技术。以指令级/ 字节级的细粒度动 态分析技术优势，提出了基于异常控制流转移的漏洞利用攻击检测技术，解决了类 攻击代码识别等问题，有效降低了异常控制流转移识别开销，实现了动态检测中样 本行为不完全触发条件下的攻击检测，提高了APT 攻击的检测能力和检测准确性， 研制了金刚软件智能分析系统、天眼新一代威胁感知系统等APT 攻击检测产品，检 测效果优于国际同类方案和国内外同类产品。 3) 基于细粒度数据流分析的网络攻击机理分析技术。提出了细粒度的动态数据 流分析方案，实现了全系统重放与录制、指令级/ 字节级的数据流分析能力，有效解 决了数据流分析中的随机性干扰的影响、自修改代码分析难等问题，研制了 TCA 软件动态分析系统，提高了网络攻击机理分析能力。 4) 基于协议逆向的网络攻击追踪与处置技术。突破了基于指令级数据流分析的 网络协议逆向等技术，提出了结构化对等僵尸网络的全球测量方案，并应用到了现 实活跃僵尸网络的全球测量中，研制了网络流量异常行为分析与溯源系统产品，提 升了网络攻击追踪溯源能力。 项目成果获得国家发明专利135项，软件著作权16项，发表论文52篇。项目成 功研制了金刚软件智能分析系统、高级持续性威胁防御系统、天眼新一代威胁感知 系统等APT攻击检测、分析、处置系列相关产品。项目成果广泛应用于通信、能源、 交通等国家关键信息基础设施，工信部等31个国家部委，军队、公安等国家安全职 能部门，以及百度、海航集团等知名企业。近三年，新增产值11.56