项目名称:面向网络空间威胁的感知溯源处置关键技术及应用
完成单位: 四川通信科研规划设计有限责任公司、华为技术有限公司、四川大学、中国电信股份有限公司四川分公司
主要完成人:黄诚、卿粼波、王峰、周清久、陈杨、江春雨、符美辉、杨多、焦丽娟
技术水平:国际领先水平
综合得分:95.03分
评审专家: 张平(中国工程院院士)、邬贺铨(中国工程院院士)、肖俊(浙江大学)、刘驰(北京理工大学)、梁宏斌(西南交通大学)、孙创新(中电科29所)、程丽君(中电科30所)
该成果的研发解决了网络资产难梳理、未知威胁难识别、安全处置难联动、威胁情报难狩猎等技术瓶颈。突破了“预防、检测、响应、回溯”全流程多层次的安全智能分析技术难题,实现了网络威胁感知溯源处置的全链路智能化处置。目前本成果已投入市场大规模使用,取得了显著的经济、社会效益,并受到行业广泛认可和推广。
主要创新点如下:
1、该成果面向网络空间威胁态势感知应用需求,从“资产识别-攻击检测-安全事件自动化处置-情报自动化抽取”全链路出发,开展了针对现有态势感知系统资产信息难处理,未知威胁难识别、安全检测运维不响应与威胁情报难狩猎等技术攻关,突破了“异构网络-高阶威胁-跨模态”场景下资产识别自学习、隐蔽威胁智能化检测、威胁自动化处置、多模态情报挖掘等关键技术的瓶颈。搭建了面向软硬件结合全自主研发的网络安全态势感知系统,高效经济地满足了各种应用场景下的需求。
在资产识别方面,提出了基于深度自编码器模型的自学习资产识别技术,利用无监督学习与卷积神经网络算法自主地对网络流量、交互行为等信息进行特征挖掘和模式学习;提出基于终端互访关系挖掘的聚类算法,使系统具备更强的泛化适用能力,解决了目前业界主流采用的“基于指纹主动扫描”的资产发现方案存在的扫描报文被FW/NAT等拦截、部分泛物联终端(单片机)不响应、主动扫描导致沿途老旧网络设备异常等问题;在攻击检测方面,提出了基于金字塔森林检索的语义分析引擎,解决了传统检测方法对混淆绕过攻击检测能力不足的问题;提出了融合语义分析和机器学习的Web攻击智能检测技术,实现了包含预处理、智能解码、语义还原、AI模型检测四个主要模块的检测框架,大幅提高了攻击识别的准确性和实时性,解决了传统签名检测方法难以应对的隐蔽威胁问题;提出了基于图机器学习的高级威胁检测,实现面向稀疏环境下的复杂网络威胁行为的分类与识别,解决了传统方法对复杂网络威胁识别能力不足的问题;在安全事件自动化处置方面,提出了基于知识图谱的Playbook自动化构建技术,实现对有效攻击的自动筛选以及无效告警的主动降噪,解决了传统安全监测和运营被大量的无效告警淹没导致无法及时处理的问题,实现了安全告警自动化处置;在情报自动化抽取方面,提出了面向多模态的实体图文情报挖掘模型,实现了在开放数据集上文本检索超过了最先进的方法7.4%以上,图像检索相对提高了5.0%,同时将其运用到开放域情报的识别与提取;提出了基于知识图谱的视觉问答,从人类双向认知过程的事实视觉问答(FVQA)框架出发,构建跨模态图像-文本的情报知识图谱,解决了传统情报无法实现情报的全面和准确刻画,导致部分攻击难以溯源,无法深层挖掘的问题,为威胁狩猎提供情报支持。
2、该项目成果通过了国内、国际权威机构检测,在项目研制过程中,发表领域高水平论文23篇,已授权44项技术发明专利、1项实用新型专利、4项软件著作权、6项相关国家标准。
3、成果产品在上百家单位和机构得到广泛应用,涵盖了国家执法机关、政府机构、金融机构、大型国家企事业单位等,直接合同收入超8.1亿元。在国际、国内获得众多荣誉,取得了显著的经济效益和社会效益。
综上所述,评审委员会认为该项目在网络空间威胁感知溯源处置领域的同类技术中达到国际领先水平。
评价服务体系:
本次评价采用由成都博智睿通科技有限公司、四川省科技成果评价服务联盟、四川省科技厅等团队研究的评价体系,该体系含理论方法、分类评价指标、大数据分析架构、服务规范等内容。
