当前，以勒索软件为标志的新型复杂网络攻击呈现出高组织性、精密策划及智能化等特点，对依赖传统静态特征防御的终端安全策略构成严峻挑战。同时，终端安全领域也面临两大核心难题亟待解决：
一是传统传感器终端难以适应数据处理需求激增而导致运行缓慢；
二是海量安全警报难以聚焦真正紧迫的威胁而降低了威胁分析效率。
针对这些挑战，立足用户需求，本项目将自主研发一款基于AI大语言模型（LLM），支持分析研判TTPs并溯源攻击者的新一代终端安全平台，名为戎码翼龙AI原生NG-EDR ，简称：戎码翼龙NG-EDR）。
戎码翼龙NG-EDR作为新一代企业级终端安全产品，它将展现出革命性的进步。首先，戎码翼龙NG-EDR利用先进的AI技术和创新架构设计，实现对威胁检测、攻击追踪、数据采集及部署速度的显著提升，为解决上述挑战和难题提供了有效途径。同时，戎码翼龙NG-EDR通过采用云原生设计与轻量级内核客户端，结合专有的AI智能引擎和全面覆盖ATT&CK框架的威胁检测算法，极大提高了检测效率与用户体验，在性能指标上超越了众多同类产品。具体的，戎码翼龙NG-EDR将采用云原生架构搭载内核级轻量传感器在确保强大功能的同时，对系统资源占用极低，CPU使用率通常低于0.1%，内存占用不超过15MB，确保了终端运行无碍。其内置的生成式AI能自动生成详尽的攻击分析报告，极大改善了警报可读性，加速高级威胁判断，减少漏报风险。加之通过云端实现的轻量级传感器的快速部署能力，戎码翼龙NG-EDR确保企业能够在瞬息万变的业务环境中，高效、实时地维护终端安全防线，展现了前沿技术在实战中的高效应用价值。

一是研发云原生架构内核级轻量传感器
戎码翼龙NG-EDR将采用新一代技术架构（云原生架构搭载内核级轻量传感器），且具备强大的数据采集能力，涵盖了MITRE ATT&CK框架下的终端数据源，可采集>400类的终端行为日志，>48类/500个终端事件，识别>2000中终端威胁行为，能为威胁检测提供强力基础。该技术穿透至操作系统内核深处进行数据收集，相较于仅在用户态进行的数据抓取，能解锁更多底层系统信息及实现全方位洞察，对于系统性能剖析、安全防护监控及故障诊断领域尤为关键。内核级的数据捕获不仅在速度上实现了显著提升，同时优化了资源利用效率，相比用户模式下的数据采集手段，体现出更高的效能比。此方法涉及在操作系统内核层面实施精密监控与数据提取，范围广泛，涵盖但不限于进程及线程行为监控、内存占用分析、网络通信流量解析、以及文件系统活动记录。这一深度数据捕获策略，确保了对系统运行状态的深度透视，不仅巩固了实时监控、高级威胁检测及即时响应的核心功能，还依托其新一代技术架构（云原生架构搭载内核级轻量传感器）实现了前所未有的性能优化。(运行时，CPU的占用率通常维持在0.1%以下，在常态工作负载下，其内存占用量通常在15MB以内)，从而提升整体的终端安全防护效能与用户体验，从而在确保系统稳定与安全的同时，最大化资源利用率与响应速度。

二是研发基于AI智能引擎的威胁检测算法和威胁研判系统
戎码翼龙NG-EDR 将采用基于AI的威胁行为智能检测，并且还加以利用独创的威胁检测算法（IOC+IOA），实现对MITRE ATT&CK框架下全方位终端攻击技术的深度覆盖，基于行为的智能检测（IOA），即使文件特征（如HASH）不断变化，也可精准检出。该系统通过高维关联分析，利用上下文信息智能化整合各类预警信号，聚类形成高度相关的威胁事件，此过程显著优化了告警管理的效率与效果。它不仅有效滤除了海量告警中的噪声，还确保了关键安全信号在庞大的数据生态系统中得以精确识别与凸显，为安全运营团队提供了聚焦真正风险的洞察力。戎码翼龙NG-EDR系统进一步强化了其动态行为分析能力，能够实时监测并分析终端活动，利用机器学习模型深入理解正常与异常行为的边界，从而在复杂的网络环境中精准捕获潜在的恶意行为。通过对用户行为、文件操作、网络通信等多维度数据的深度学习，系统能够构建出用户和系统实体的行为基线，任何偏离此基线的活动都将立即触发系统的高级预警机制，有效预防零日攻击和高级持续性威胁（APT），快速驱动对威胁深度分析与评估进程，从而提升整体安全响应的时效性和准确性。
三是研发基于AI大语言模型的分析溯源系统
基于 AI 的 TTPs（战术、技术和程序）检测，溯源攻击对手。戎码翼龙NG-EDR专注于识别并解析对手的战术、技术及程序（TTPs）。通过高度优化的算法与机器学习能力，能够精准剖析网络攻击的复杂模式，结合内外部威胁情报，实现对手行动的高效溯源，为安全防御提供了前沿的战略洞察与反击依据。这一过程融合了高级数据分析、行为模式识别以及自动化威胁狩猎技术，确保了在动态变化的网络威胁景观中，能够主动防御并反制对手的高级持续性威胁（APT）活动。 所采用的生成式 AI，能够在几分钟内自动化生成详尽的攻击剖析报告，从根本上解决了安全警报难以解读、高端威胁评估耗时较长及潜在漏报问题。报告系统性构建了从攻击动机识别到攻击链路回溯的完整视图，为提供全方位、深层次的网络安全态势洞察与应对依据，有效提升威胁研判效率，同时极大降低了企业安全运营成本。
四是研发前瞻性评估与威胁预判系统
基于云端安全专家实时追踪威胁线索，运用深度学习算法与高级行为分析技术，在恶意行为者发起大规模攻击前，通过系统预先识别并精确评估各类潜藏的安全薄弱点。基于严谨的安全策略框架，提供定制化的防护策略建议及紧急应对方案，实现用户系统风险的前瞻性评估与威胁预判。通过这一系列精细化的安全智判措施，能高效预见并化解潜在的安全挑战，确保用户数字资产的韧性与安全性。
五是研发云端快速部署架构
借助轻量化传感器设备，为用户提供云端下载服务，支持一键启用，支持公有云 SaaS 部署，使得大规模部署更为迅速、简单，确保企业在快速发展的业务环境中始终保持终端安全防护的有效性和及时性。

终端行为的数据采集能力，是威胁分析的重要基础，也是基于行为的威胁检测模式 的核心所在。作为业内公认的技术难题，主要难点在采不全、耗性能卡机验证、传感器不稳定易崩溃 等三个方面。具体而言，终端传感器性能瓶颈导致数据采集与响应迟缓，根源在于老旧技术架构难以承载日益增长的数据处理需求。此外，报警信息泛滥现象严重阻碍了安全运营效率，使安全分析师往往陷入大量无关紧要或重复的警报中，难以快速识别并聚焦于真正关键的安全威胁。而戎码翼龙NG-EDR的诞生则有效解决上述难题，凭借其原生的人工智能技术和新一代架构设计具备威胁检测快、攻击溯源快、数据采集快、安装部署快四大核心竞争优势塑造了具有突破性的终端安全解决方案，有效解决了终端安全的两大难题--传统终端传感器卡机、海量告警导致威胁研判慢。且核心数据指标均超越国内外主流终端安全解决方案。