近日，中国科学院软件研究所发布了金刚（KingKong）恶意软件智能分析系统。据成果主要负责人、该所研究员苏璞睿介绍说，“金刚”系统主要面向网络空间中的有组织攻击——高可持续性威胁（简称APT攻击），通过捕捉软件运行过程中的细微异常识别攻击行为，从而阻击网络攻击。

众所周知，有组织攻击与一般性攻击最大的区别在于其各种先进攻击技术的应用，通常会利用未知漏洞（即0Day漏洞）、采用特种木马进行攻击。比如近年来受到广泛关注的伊朗核电站事件、Hacking Team被攻击事件等。对于这一类攻击，传统杀毒软件基本无能为力，也是业界长期关注的热点和难点。

攻防双方总是一个在“躲”，一个在“找”。苏璞睿告诉记者，而有组织攻击的防御难就难在攻击者是一个“技术高手”：他们会掩盖自己的“外貌特点”——消除各种代码特征；会利用一些“隐蔽通道”——利用未公开的漏洞；甚至还会利用特殊手段检查“是否有机关”——检测是否被调试或在虚拟环境运行。

基于团队在软件动态分析等方面的基础和优势，“金刚”恶意软件智能分析系统作为一套细粒度、高透明的恶意软件动态检测系统，在软件运行过程分析、程序异常控制流识别等多方面均取得突破，可通过探究程序运行中的细微异常，发现程序的“不轨”行为，将有效提升网络空间中的恶意软件防范能力。目前，该系统已面向公众免费开放试用。

图：金刚恶意软件智能分析系统登录界面

据介绍，在金刚系统的研制过程中，研究团队形成了一套以基于硬件模拟的软件动态分析为核心的恶意软件深度分析与检测技术体系，相关技术方法已在RAID、ACSAC、SecureComm、ASIACCS、TDSC等学术会议和学术期刊上发表。截止目前，金刚系统研究成果累计申请国家技术发明专利20项，已获得专利授权12项，软件著作权10项，参与编制国家行业标准2项，发表论文52篇。

与此同时，研发团队积极开展相关成果的应用推广工作。苏璞睿说，以该系统为核心的产品已广泛应用于国家政务系统、智慧城市基础网络、企业网络、国家网络基础设施等不同类型网络的安全保障中。相关产品已在工信部、科技部等国家部委及北京市政务系统，电信、金融、能源、军工等行业企业，国家计算机网络与信息安全管理中心、中国信息安全测评中心、北京信息安全测评中心等专业机构、以及百度、中兴通讯等知名企业应用，并为APEC会议、抗战胜利70周年纪念、世界田径锦标赛、上海世博会等重大活动提供安全保障。

中国一直是网络攻击的主要受害者。据统计，中国每年遭受网络攻击导致的经济损失约为国内生产总值(GDP)的0.63%。中国国家互联网应急中心提供的数据显示，在2014年，从3月19日至5月18日的短短两个月内，2077个位于美国的木马或僵尸网络控制服务器，直接控制了中国境内118万台主机，135台位于美国的主机承载了563个针对中国网站的“钓鱼页面”，造成网络欺诈侵害事件1.4万次。