破解復雜網絡攻擊智能檢測難題

■ 陰文亮

浙江工業大學陳鐵明教授團隊擔當網絡空間命運共同體的技術使命

由陳鐵明教授領銜的網絡空間安全創新團隊聚焦日益復雜網絡環境下的安全智能檢測工程技術研究，致力于掌握網絡攻擊檢測核心技術，筑牢網絡信息安全防線。

作為繼陸、海、空、天之外的“第五疆域”，網絡空間安全近年來被提升至戰略高度。“大家深刻體會到互聯網帶來的便利，卻忽視了互聯網中存在的安全隱患。” 浙江工業大學計算機科學與技術學院、軟件學院教授陳鐵明如是說。

2017 年9 月，由陳鐵明教授領銜的網絡空間安全創新團隊與浙江省委網信辦共建發起成立了浙江省網絡空間安全創新研究中心。2022年5 月，團隊再次牽頭聯合省內優勢單位獲得浙江省發改委批復正式成立復雜網絡攻擊智能檢測浙江省工程研究中心（以下簡稱“中心”）。堅持面向網絡空間安全國家戰略，支撐浙江省兩個先行國家示范區建設，聚焦日益復雜網絡環境下的安全智能檢測工程技術研究，致力于掌握網絡攻擊檢測核心技術、政產學研協同創新、服務數字安全特色產業鏈。

目前，中心已主持國家、省級科技攻關項目50 多項，已授權國家發明專利超100 件、軟件著作權近100項，參與編制國家標準5 項，獲省技術發明獎二等獎等省部級獎項3 項。

陳鐵明教授在省技術發明獎頒獎現場

多源信息融合統一建模云網邊端安全協同治理

當前，網絡空間環境呈現出設備多樣異構、行為多跨場景、邊界多態模糊、威脅多源重構等復雜化趨勢，網絡攻擊面被無限放大。因此，如何利用大數據、云計算、人工智能等賦能“技術對技術、技術管技術”的安全威脅治理，破解攻防對抗能力不對稱難題，成為世界網絡強國必爭的技術高地，也是構建全球網絡空間命運共同體的技術核心。

團隊突破面向安全分析的多源異構海量日志處理難、安全溯源的跨場景低負載攻擊威脅檢測難、安全防控的攻擊態勢敏捷響應精準治理難等關鍵技術難題，開展云網端協同的安全威脅精準治理關鍵技術及平臺應用研究，研制出云網端協同的安全威脅精準治理大數據服務平臺，實現復雜網絡攻擊智能檢測技術適配3000 多種設備接入、2000多種協議解析；日志及流量數據采集延遲低于20 秒、存儲性能大于30 萬EPS；APT 未知攻擊檢出率達70%，攻擊鏈檢測精度達99.83%、溯源精度達98.2%。經國內權威專家鑒定，成果總體技術達到國際先進水平，在安全威脅精準治理方面達到國際領先水平。

該技術已成果轉化并實施應用，平臺支撐杭州G20 峰會、世界互聯網大會等國家級安保服務，已累計攔截上億次網絡攻擊。產品應用已覆蓋安保、網信、智慧城市、醫療、教育、能源等行業及領域。近三年新增收入超16 億元，新增利潤超1.8 億元，技術應用新增間接利潤超2 億元。

解碼系統內核封閉日志解析安全威脅精準語義

近幾年，基于流量的安全威脅檢測已無法滿足日益增長的安全威脅分析和精準溯源需求。日志安全要素分析是安全治理基礎保障之一。針對日志安全分析數據，系統內核日志采集與分析面臨的最大挑戰是動態實時、海量冗雜、語義缺失等，目前尚無有效的工具，尤其是針對Windows系統內核日志，對外完全封閉，深入分析的技術挑戰極大。

為此，團隊自主創新研發了業內首款內核日志采集與綜合分析開源工 具Kellect（www.kellect.org），可實現跨平臺、跨層域的終端設備系統內核日志采集，以及一系列海量數據融合、壓縮、儲存等高效處理方法。數據壓縮引擎可為安全數據中臺帶來業界最高（超過20 倍）的性能提升，提出一系列基于圖模型的智能感知與檢測方法以及基于日志數據因果分析、溯源圖屬性壓縮、行為特征關聯等技術，使當前對復雜未知網絡攻擊檢出率提升到70%以上，并已初步實現多場景適配的復雜攻擊行為秒級預警響應與溯源分析。

大量實驗證明，Kellect 能高效 無 損 地 采 集FileIO、Process、Thread、ImageLoad、Registry 等內核事件日志，CPU 的使用率穩定在1%左右，內存消耗穩定在50MB，比當前國際領先的同類商用工具各項性能提高至少3 倍。Kellect 收集的數據可轉化成完整語義起源圖，已成功用于勒索軟件等APT 的實時精準檢測與溯源分析。Kellect 已在github、gitlink 等平臺上開源，并與清華大學、北京大學等成為入選2022中國開源發展藍皮書的三個高校開源教育項目之一。

復雜網絡攻擊智能檢測浙江省工程研究中心啟動會議

倡導攻防實戰人才培養構建產教科教融通模式

網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量，因此網絡攻防歸根結底是人與人的對抗，網絡安全實戰人才的培養至關重要。

中心緊密圍繞業界卡點難題，通過科教協同、產教融合的人機物融合系統自主可控安全創新試驗場建設，重點突破復雜網絡海量數據采集與分析、復雜網絡安全威脅感知與檢測、復雜網絡攻擊行為溯源與治理、安全綜合能力可擴展服務框架、網絡安全實戰型靶場實訓環境等五大方向的核心技術攻關與系統研制，并以此構建產教融合、科教協同的專業人才培養生態。

據了解，中心在豐富的網絡攻防技術積累基礎上，利用虛擬化云技術、自動化智能攻防等技術，自主研制了一套面向各類網絡攻防實戰演練的先進靶場系統“穿山甲安全實驗平臺”，已應用于國家級網絡靶場大裝置平臺開發，以及公安、網信、高校等系統的專業人才培養。

團隊長期以來踐行的實戰化人才培養理念及自主研發的實訓實驗平臺等特色化成果，曾在烏鎮世界互聯網大會期間得到省部級領導的高度肯定，培養模式及人才輸出也得到國內各大企事業單位的高度認可。目前，中心正在支撐浙江特色化軟件學院、浙江省網絡與信息安全研究生聯合培養基地、浙江工業大學研究生國際聯合培養基地等平臺建設，持續打造區域特色鮮明、國內一流的網絡安全實戰人才培養的產教融合科教協同生態。