[00114662]恶意软件深度分析与检测系统

信息网络已经普遍应用于金融、政务、军事等国家各个重要领域,网络空间承载的巨大社会价值和国家利益使得信息网络成为了一些国家机构、犯罪组织的重点攻击目标。相关组织机构利用自身的技术优势和资源优势,研制了各种目标明确、技术先进、生存能力强的高级恶意软件实施破坏,其对传统防御体系的检测能力、分析能力和响应处置能力提出了挑战。针对有组织攻击的恶意软件有效检测与深度分析需求,本项目在国家863计划、国家自然科学基金、北京市自然科学基金、国家发改委信息安全产业化专项等项目的支持下开展了恶意软件深度分析与检测关键技术研究及应用推广工作。项目的主要创新点如下： 1) 提出了基于硬件模拟的跨平台软件动态分析体系架构,突破了面向CPU动态数据的软件运行场景重建、软件行为透明监测等关键技术,实现了对分析目标的高透明、高可靠、细粒度动态分析能力,解决了当前有组织研发的恶意软件反制分析等问题,提升了恶意软件深度分析能力; 2) 提出了基于软件动态过程异常的恶意软件检测方案,通过对软件动态运行过程的细粒度分析,实现了对软件控制流转移异常、代码结构异常、行为异常等不同层面异常检测能力,解决了特种恶意软件检测中不掌握具体代码特征和漏洞特征的难题,研制了APT攻击检测系统、企业级邮件安全检测系统,在中国石油、首都之窗等单位实际应用,发现了xxx未知攻击; 3) 提出了多要素、细粒度的恶意软件深度分析技术,突破了万兆骨干链路网络流量在线分析、轻量级控制流完整性分析、条件触发行为主动构造等恶意软件深度分析技术,研制了网络全流量安全分析系统、软件行为动态分析系统、Android应用软件安全分析系统,提升了恶意软件在网络流量、关键行为、实现机理等方面的深度分析能力,在中国信息安全测评中心、泰尔实验室等单位实际应用; 4) 提出了面向特种恶意软件的应急处置方案,突破了多协议深度还原解析、软件行为特征自动提取等技术,研制了恶意软件深度分析集成平台,实现了1500多种网络通讯协议的实时识别和解码分析,恶意软件感染迹象（IOC）自动生成,在国家计算机网络与信息安全管理中心、百度公司等成功应用,平台每天处理的样本数量超过50万个。 项目成果获得国家发明专利22项,登记软件著作权40项,研制国家标准3项（颁布 3 项）、行业标准 7 项（颁布 4项）,北京市地方标准1项（颁布 1 项）,发表学术论文 56 篇。项目成功推出了多款恶意软件深度分析与检测产品,完成自我转化收入1191.7万元,其中净利润119.17万元：项目成果广泛应用于科技部、海关总署等国家部委,中国石油、神华集团等大型国企,以及北京市政务、税务、金融等领域,并为纪念中国人民抗日战争暨世界反法西斯战争胜利70周年阅兵、世界田径锦标赛、上海世博会、广州亚运会等重大活动提供安全保障。