软件所发布“金刚”恶意软件智能分析系统

摘要: 　　近日，中国科学院软件学习所软件智能分析协同创新团队研制的金刚（KingKong）恶意软件智能分析系统正式发布。“金刚”系统主要面向网络空间中的有组织攻击——高可持续性威胁（简称APT攻击），通过捕捉软件运行 ...

　　近日，中国科学院软件学习所软件智能分析协同创新团队研制的金刚（KingKong）恶意软件智能分析系统正式发布。“金刚”系统主要面向网络空间中的有组织攻击——高可持续性威胁（简称APT攻击），通过捕捉软件运行过程中的细微异常识别攻击行为，从而阻击网络攻击。
　　众所周知，有组织攻击与一般性攻击最大的区别在于其各种先进攻击技术的应用，通常会利用未知漏洞（即0Day漏洞）、采用特种木马进行攻击。比如近年来受到广泛关注的伊朗核电站事件、Hacking Team被攻击事件等。对于这一类攻击，传统杀毒软件基本无能为力，也是业界长期关注的热点和难点。
　　攻防双方总是一个在“躲”，一个在“找”。而有组织攻击的防御难就难在攻击者是一个“技术高手”：他们会掩盖自己的“外貌特点”——消除各种代码特征；会利用一些“隐蔽通道”——利用未公开的漏洞；甚至还会利用特殊手段检查“是否有机关”——检测是否被调试或在虚拟环境运行。
　　基于团队在软件动态分析等方面的基础和优势，“金刚”恶意软件智能分析系统作为一套细粒度、高透明的恶意软件动态检测系统，在软件运行过程分析、程序异常控制流识别等多方面均取得突破，可通过探究程序运行中的细微异常，发现程序的“不轨”行为，将有效提升网络空间中的恶意软件防范能力。目前，该系统已面向公众免费开放试用，具体详情请登录“金刚恶意软件智能分析系统”官方网站（http://tcasoft.com）。
　　在金刚系统的研制过程中，学习团队形成了一套以基于硬件模拟的软件动态分析为核心的恶意软件深度分析与检测技术体系，相关技术方法已在RAID、ACSAC、SecureComm、ASIACCS、TDSC等学术会议和学术期刊上发表。截至目前，金刚系统学习成果累计申请国家技术发明专利20项，已获得专利授权12项，软件著作权10项，参与编制国家行业标准2项，发表论文52篇。
　　与此同时，研发团队积极开展相关成果的应用推广工作。以该系统为核心的产品已广泛应用于国家政务系统、智慧城市基础网络、企业网络、国家网络基础设施等不同类型网络的安全保障中。相关产品已在政府部门和电信、金融、能源、军工等行业企业应用，并为APEC会议、抗战胜利70周年纪念、世界田径锦标赛、上海世博会等重大活动提供安全保障。
　　软件智能分析协同创新团队是2016年12月经所学术委员会论证成立的面向软件深度分析学习的科研团队。该团队以学习员苏璞睿课题组为主体，联合了软件所可信计算与信息保障实验室、计算机科学国家重点实验室等多个部门的软件分析、软件基础理论、大数据分析等方面的科研人员，是一个跨部门的协同创新队伍。该团队将面向软件深度分析需求，探索新的方法和技术，提升软件分析能力。