该项目历经十余年研发，突破了基于硬件模拟的软件深度分析等多项关键技术，形成了面向APT攻击检测防御的自主核心技术积累，研制了金刚软件智能分析系统等系列产品，形成了规模化产业应用，有效提升了APT攻击发现、分析和处置能力，提高了有组织攻击对抗技术能力和水平。

成果名称：高级持续性威胁（APT）攻击检测与防御

成果单位：

中兴通讯股份有限公司

中国科学院软件研究所

奇安信科技集团股份有限公司

高级持续性威胁（APT）攻击是针对高价值对象实施的，有组织的、高技术资源支撑的高隐蔽性、高破坏性网络攻击，是网络空间安全领域的重点和难点问题之一。该项目历经十余年研发，突破了基于硬件模拟的软件深度分析等多项关键技术，形成了面向APT攻击检测防御的自主核心技术积累，研制了金刚软件智能分析系统等系列产品，形成了规模化产业应用，有效提升了APT攻击发现、分析和处置能力，提高了中国有组织攻击对抗技术能力和水平。主要技术创新包括：

为争取高技术对抗主动权，构建可靠、全面的数据获取能力，提出基于硬件模拟的软件深度分析技术。

解决了进程运行场景恢复等问题，实现了纯硬件层、全系统的数据监控分析，和指令级/字节级的软件动态分析能力，改变了传统安全产品依赖于操作系统接口的数据获取方式，解决了传统系统安全产品的同系统平台技术竞争难题，为APT攻击检测技术方案构建和产品研制奠定了方法与技术基础。

为在不掌握漏洞及其利用特征的情况下，实现准确地攻击检测，提出基于软件动态执行异常的攻击检测技术。

实现了软件动态执行过程中的指令级异常检测能力，解决了类攻击代码识别等问题，解决了动态检测中漏洞利用失败情况下的攻击检测难题，检测效果优于国际同类方案和国内外同类产品。该技术是系列产品中攻击检测能力实现的核心技术支撑。

为消除技术干扰，深度剖析攻击机理，提出基于细粒度数据流分析的攻击机理分析技术。

实现了全系统录制与重放、指令级的数据流分析能力，突破了基于指令级数据流分析的自修改代码提取与重构、专用网络协议逆向分析等技术，有效解决了数据流分析中的随机性干扰等问题，并在重大APT攻击事件处置、僵尸网络全球测量等实践工作中发挥重要作用。该技术是系列产品中攻击机理分析能力实现的核心技术支撑。

系列APT攻击检测产品研制。

研制了基于硬件模拟的APT攻击检测分析核心引擎——金刚软件智能分析系统，并以此为核心，面向不同应用场景，研制了高级持续性威胁检测系统、天眼下一代威胁感知系统、恶意代码深度分析与检测系统等产品，形成了一套面向APT攻击发现、分析与处置的全流程产品体系。该项目技术方案已成为国际电信联盟电信标准分局（ITU-T）首个未知威胁检测技术标准，并于2021年1月正式颁布。

项目成果获得中国发明专利135项，软件著作权16项，发表论文52篇。该项目成果形成了规模化应用，该项目成果取得了显著的经济效益和社会效益。