威努特荣获北京市科学技术进步奖！

近日，北京市科学技术委员会、中关村科技园区管理委员会根据《北京市科学技术奖励办法》及《北京市科学技术奖励办法实施细则》有关规定，评选出2021年度北京市科学技术奖项目奖。威努特与中国科学院信息工程研究所、国家工业信息安全发展研究中心、中国电力科学研究院有限公司联合申报的“面向工业互联网的大规模漏洞发现技术及应用”项目荣获北京市科学技术进步奖二等奖。


2016年4月，习近平总书记在网信工作座谈会的讲话中指出：“要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”。工业互联网是推进制造强国和网络强国建设的重要基础，工业互联网设备是工业互联网的“根基”。开展工业互联网设备安全检测，有利于摸清我国工业互联网设备安全现状，减少工业互联网安全事件发生。

“面向工业互联网的大规模漏洞发现技术及应用”项目面向国家工业互联网发展战略，开展工业互联网设备固件静态漏洞挖掘、动态模糊测试、漏洞同源关联分析、在线漏洞无损检测等关键技术研究，研发达到国际先进水平的、具有自主知识产权的大规模漏洞检测平台产品。



（1）针对嵌入式固件静态安全检测中数据依赖关系构建效率低、漏洞误报率高的问题，提出了脆弱点逆向分析的函数级数据流图生成方法，提高了静态检测速度，设计了基于约束表达式的路径可达性判断算法，降低漏洞误报率。

（2）针对嵌入式固件系统仿真执行性能低和工控协议模糊测试状态覆盖率低的问题，提出基于进程增强的嵌入式固件高性能仿真技术，大幅提升了仿真执行速率；提出基于代理自动化同步控制的监控软件协议，实现模糊测试方法，提升了协议状态覆盖率。

（3）针对嵌入式固件漏洞关联计算复杂度高、漏洞关联准确性低的问题，设计了融合组件级、函数级和补丁级三个层次的固件漏洞同源分析新框架，提出基于代码语义相似度的安全补丁识别方法，在大幅降低同源漏洞关联计算复杂度的条件下，显著提升同源漏洞关联的准确率。

（4）针对工业互联网中网络漏扫对生产业务影响大的问题，提出基于单报文最优识别算法的在线漏洞无损检测技术，可精细化识别类型、厂商、服务等多维设备属性，在确保对工业互联网业务无打扰的同时，提升大规模漏洞扫描速度。

该成果发表国内外学术论文共26篇，获授权发明专利25余项，软件著作权9个。该项目开展固件二进制文件自动化静态漏洞挖掘技术、工业控制软件和协议高效动态模糊测试技术、跨平台漏洞同源关联分析技术和在线大规模漏洞无损检测分析技术等，项目研发了一系列自主知识产权的工业互联网漏洞检测产品，其中工控漏洞挖掘平台产品获得工信部网络安全试点示范项目认定，于2019年通过国际自动化协会ISASecure CRT test tool认证，在支持协议类型及漏洞定位能力等方面已达到国际先进水平。项目组近三年为我国数百家工业互联网企业开展了漏洞检测和安全评估服务，发现4万余个存在漏洞的软硬件资产，发现工业互联网0day漏洞120余个，支撑建设我国工业信息安全漏洞库（CICSVD），发现并修复处置了一批存在安全漏洞的工业资产，有效提升了我国工业互联网漏洞处理能力和防护水平，充分保障我国工业互联网发展安全。

本项目已广泛应用于电力、能源、智能制造、轨道交通等多个行业领域漏洞检测和安全评估中，对提升我国工业互联网安全检测技术和产品自主可控及国产化水平起到了重要推动作用。威努特凭借先进的技术实力，在本项目的技术研发中作出突出贡献，再次践行了守护国家关键信息基础设施安全的初心使命，为国家网络安全建设工作添砖加瓦。