本项目研制了具有完全自主可控、高可移植、可裁剪、全面检测能力的工业互联网恶意代码检测技术，实现针对工业互联网恶意代码的精准、高速、全面的检测，可适应工业多平台、多体系架构、多业务场景的恶意代码检测需求；同时能够有效深度揭示恶意代码行为，支撑情报作业、关联溯源和态势感知等。工业互联网恶意代码检测技术可以作为工业智能平台的内生产安全模块使用，可以被用于工业场景下的办公网络、生产网络流量监测和过滤产品调用，也可以被用于SCADA系统的关键PC节点防护软件调用，实现全面覆盖工业互联网场景下的通用型办公设备、工业控制系统、工业控制设备的恶意代码检测防护。

工业企业、科研机构、网络安全厂商、工业安全厂商等，为其提供工业互联网恶意代码检测技术及产品。

1. 基于可裁剪可自适应的流行库

某些设备因资源受限导致无法加载全部本地特征库，如加载过多特征库可能会带来资源过渡消耗，影响设备的正常运行。本项目提出一种针对不同工控设备进行可自适应的特征库裁剪方法，从而在保证设备正常运行的前提下，兼顾流行恶意代码的精准检测能力。

2. 基于人工智能的未知恶意代码检测

高级威胁行为体通常利用0DAY漏洞和加密混淆等方式逃避检测。本项目结合原始样本指令集特征提取、数据挖掘与机器学习分类技术，能够基于原始数据集合构建训练检测模型，实现未知样本的检出和标记。

3. 基于固件与协议深度解析的恶意代码检测

为了解决针对工控系统的指令与升级固件的攻击无法检测问题，本项目提出了基于固件与协议深度解析的恶意代码检测方法。首先读取工控设备的型号，然后深度解析还原数据包与拆分升级固件，最后根据数据类型、协议类型以及升级固件的行为实现对工控设备的畸形包、异常码以及利用升级固件作为载荷的恶意威胁的快速、准确判定。

4. 基于离线签名验签的可信认证弹性检测

针对工控系统的封闭性，不能及时获得病毒库和模块更新，引擎除了提供基础规则和一般性未知检测能力外，还支持不依赖于网络侧签名验证的检测能力，在一定程度上实现辅助可信认证的弹性检测；基于对工控可信厂商的应用软件进行签名证书的管理，形成本地可存储可管理的可信签名证书库、吊销签名证书库等。

在充分了解工业互联网行业的网络环境特性、网络安全现状和用户需求的基础上，安天可以为用户提供多种场景的工业网络安全防护方案和技术赋能。本项目主要通过开展工业互联网场景下的威胁捕获、恶意代码样本库的完善、恶意代码检测引擎改进和恶意代码自动化分析研究，有效提升工业互联网网络威胁的感知能力，支撑威胁响应、预警通报，提高工业互联网核心业务防护能力。