一、成果简介

  高级可持续性威胁（APT）攻击，是我国网络安全的一个重要威胁。2022年针对我国西北工业大学的APT攻击就是相关威胁的一个重要例证。

  本项目面向当前国际国内安全形势，研发下一代针对APT攻击的终端检测与响应（EDR）系统，做到国际领先。项目相较现有国际先进技术（如美国CrowdStrike）有三大优势：

  （1）攻击覆盖广：当前技术只能针对已知病毒或恶意软件进行查杀，但是难以检测没有出现过的未知病毒，也无法防御人为泄密等非病毒威胁。项目提出智能化行为学习技术，不仅可以有效检测未知病毒，还可以对内部人员操作进行自动化审计，可有效防止内部泄密。

  （2）运营成本低，准确性好：现有技术需要大量的信息安全专家针对特定系统手工编写的面向底层操作系统事件的检测和推理规则，整体运营成本高。项目将完全基于大模型技术，避免现有技术中繁杂的专家规则，实现自动化攻击检测和攻击报告生成，并将误报率降低两个数量级。

  （3）自身安全性好：现有技术需要在被监控设备上打入具有管理员权限的探针，该探针本身可能会给被监控系统带来新的安全风险。例如，2024年7月19日，由于CrowdStrike的探针更新错误，导致全球范围内数百万台使用Windows的设备出现蓝屏和宕机现象。项目创新提出安全可信的终端安全系统架构，可以在理论上完全避免类似CrowdStrike的蓝屏事件。

项目特色

二、应用领域和市场前景

   项目主要目标是为政府、军队、大型国企以及广大中小企业提供网络安全解决方案。

   终端检测与响应系统已经成为国际安全市场的一个热点。目前该技术市场虽然仍然处于早期发展阶段，但是增长迅速，具有良好的市场前景。美国政府在广泛采购EDR系统。例如，2021年10月8日，美国白宫管理与预算办公室（OMB）发布备忘录（M-22-01），通过部署端点检测与响应（EDR）改进联邦政府系统的网络安全漏洞和事件检测。国内EDR市场也处于高速发展阶段。根据《2024-2029年中国EDR行业市场深度研究及发展前景投资可行性分析报告》报到，中国EDR市场规模达到18亿元，且年化增速为25.9%，以此推算，到2032年，国内EDR市场规模也将超过100亿元。而随着地缘政治的变化，国内网络安全需求在迅速增加，市场规模增速在显著加快。

三、合作方式

  合作开发、技术服务和咨询、技术转让。

对接方式

1.合作意向方联系北京大学计算机学院产学研合作办公室；

2.产学研合作办公室沟通了解意向方情况；

3.会同成果完成团队与意向方共同研讨合作方案。

北京大学计算机学院产学研合作办公室

邮箱：hecheng1213@pku.edu.cn

未经授权，请勿转载