关于天融信


阿尔法实验室简介

时间:2012-07-11 作者: 来源:
阿尔法实验室隶属于北京天融信科技有限公司前沿安全研究中心,实验室职责为最新安全技术研究、安全产品技术支持及对外项目服务等。

在安全技术研究方向,进行最新前沿安全趋势动态追踪、最新安全漏洞分析、恶意软件特征库规则编写研究、0day漏洞发掘研究、web安全及游览器安全技术研究分析、手机恶意代码分析研究、网络蜜罐捕获技术研究、软件逆向分析、恶意代码逆向分析,最新木马病毒技术研究等。实验室与业界安全圈众多同行及组织建立了合作关系,分享并共享更多的安全研究成果及技术创新。

对外项目服务方面,主要为承担国家各类型部门的技术支持服务,如网络设备穿透性安全研究服务、非法软件逆向分析研究项目、恶意软件逆向分析及特征研究、网络攻防渗透服务、最新木马技术研究等。阿尔法实验室在逆向工程方面有着较深的积累,目前至少有5名专职人员从事软件逆向分析、恶意软件特征分析等工作,在恶意代码的分析研究方面有着非常丰富的经验。

除现有人员组成外,阿尔法实验室还拥有外部技术专家团队,专家团队都是业界知名的安全技术人员,在重大项目及技术攻关中,为实验室提供雄厚的技术支持。同时,天融信作为国家有关部门的技术支撑服务单位,阿尔法实验室先后完成了重要任务支撑工作,如2012年高考网络安全保障工作、部分部委网络安全测试工作等,并获得了相关领导的认可。

目前,天融信公司已建成前沿安全研究中心、阿尔法实验室、企业博士后流动站、美国安全分析实验室、安全云服务中心五位一体的企业级安全感知系统,时刻感知网络的风云变化,帮助互联网用户及时了解网络威胁状况,提升安全意识,及时防范网络攻击。

实验室技术研究成果介绍
◇  安全漏洞发掘
截至目前,天融信阿尔法实验室研究人员通过研究共发现了不同类型的0DAY安全漏洞几十个,获得了国家漏洞库漏洞编号证明及国际cve漏洞编号。通过几年的努力,实验室目前积累了丰富的漏洞发掘技术及经验。

以下为阿尔法实验室自主漏洞发掘列表:
即时通讯软件乐语脚本跨站攻击漏洞[Bugtraq ID: 31267]
动网dvbbs论坛程序sql注入攻击漏洞[Bugtraq ID: 29429]
国内邮箱系统大规模跨站漏洞
傲游浏览器存在安全漏洞
Adobe Flash Player存在安全漏洞[CVE-2008-4503 ]
Google Chrome地址欺骗安全漏洞
Firefox浏览器存在信息泄漏安全漏洞[CVE-2008-4582]
TRS文本检索系统严重信息泄漏安全漏洞[CNNVD-200911-189]
腾讯邮件服务器存在跨站安全漏洞
腾讯QQ群存在信息泄露安全漏洞
腾讯SMTP服务器存在匿名安全漏洞
完成主流防火墙/UTM产品漏洞研究项目
风讯5.0商业全版本程序0day漏洞[CNNVD-200911-188]
Firefox游览器MakeScriptDialogTitle()`URI漏洞[CVE-2009-4130]
Firefox游览器JavaScript `Prompted Message`漏洞 [CVE-2009-4129]
Joomla! 'com_marketplace' 组件 'catid' 参数 跨站脚本攻击漏洞[CNNVD-201001-224]
多款浏览器存在CSS样式伪造URL状态栏欺骗漏洞
天泰WAF用户管理页面跨站请求伪造漏洞[CNNVD-201106-276]
QQ浏览器页面解析仿冒漏洞[CNVD-2012-09737][CNNVD-201202-901]
搜狗浏览器页面解析仿冒漏洞[CNVD-2012-09736][CNNVD-201202-900]
遨游浏览器页面解析欺骗漏洞
360压缩 2.3.1002 图片查看器远程溢出代码执行漏洞
……
◇ 恶意代码研究
实验室通过数年在恶意软件逆向分析及病毒木马网络传输特征分析方面的研究,形成了一整套恶意软件逆向分析方法及技术、工具,通过对恶意软件逆向分析研究其工作机理和流程,通过结合恶意软件网络传输特点,获得其在网络连接、数据发送、连接建立等方面的传输特征,形成特定的特征规则,建立了恶意软件的特征库。在实际分析过程中,阿尔法实验室建立了完整的恶意代码分析流程工具,充足的实验测试服务器、蜜罐分析系统、恶意代码网络特征分析抓取环境、网络特征测试验证环境。通过不断的积累,目前阿尔法实验室在针对木马、蠕虫病毒等恶意软件的网络传输特征方面形成了800+条的稳定的特征库,并随时进行更新升级,通过结合一定网络软件或硬件设备,加载特征库,可以良好的识别目前互联网主流恶意代码的传播。
部分规则截图:
 

◇专业安全技术大会演讲
阿尔法实验室研究人员都是在业界从事安全研究多年的技术专家,包括了在安全圈中知名的安全研究人员。阿尔法实验室技术专家参加了国内外众多的安全技术论坛及安全年会,在最近3年,实验室每年都会安排技术专家参加cert主办的网络安全年会,并在大会上作为演讲嘉宾进行了议题演讲。如,今年由阿尔法实验室的研究员徐少培进行了关于“游览器新安全技术”的大会议题演讲,获得了广泛好评。同时实验室在日常研究成果中总结技术特定并对外发表了大量的技术文章。
以下为实验室参加的官方安全大会演讲:
2009中国信息安全测评中心安全漏洞分析与风险评估大会,演讲议题为《渗透攻击技术研究》
2010中国信息安全测评中心信息安全漏洞分析与风险评估大会, 演讲议题为《基于ClickJacking模式的Web攻击与防御》
2011中国计算机网络安全年会,演讲议题为《HTML5带来的新安全威胁》
2012中国计算机网络安全年会,演讲议题为《现代浏览器新安全研究》
……

实验室安全产品技术支撑服务
 目前阿尔法实验室同时承担了天融信公司知识库的积累工作,为天融信不同网络安全产品研发提供规则库、描述库。从2008年公司开始自主研发全新知识产权的网络入侵防御产品TopIdp及UTM设备,阿尔法实验室肩负起了产品攻击特征库的编写和测试工作。在近4年的时间里,从无到有,形成了现在涵盖网络攻击平台10大类的规则特征库,形成了共6000多条网络攻击特征及行为规则,全部为自主研发测试。
攻击特征库种类:
木马后门类攻击
蠕虫类攻击
溢出类攻击
系统漏洞类攻击
HTTP类攻击
WebCGI类攻击
DOS/DDOS类攻击
RPC类攻击
扫描类攻击
网络访问
目前,网络攻击特征库保持不断新增和更新中,阿尔法实验室有专职的安全研究人员,专注最新的安全攻击态势及发展趋势,每周将最新的网络漏洞攻击工具、利用程序代码进行收集分析,关注最新的网络蠕虫木马的发展及传播,通过深入的分析研究,提取出网络特征及行为,形成规则并对外发布,提供给客户的设备升级使用,保障客户应用及网络环境的安全。针对最新的或突发的网络安全事件,阿尔法实验室保持24小时紧急响应,如在震网及火焰病毒出现后,阿尔法实验室积极获取了病毒传播样本,并进行紧急分析,在第一时间提取了蠕虫的网络特征,并加入到规则库中对外进行发布升级。

通过不断的优化和积累,目前攻击特征库保持了较高的攻击检测率和较低的误报率,在对外的多次横向评测对比中,远优于同类产品。在攻击工具及专业攻击仪表测试中,阿尔法实验室的攻击规则库表现同样优异,在2011年的测评中,攻击特征库在针对著名攻击利用程序metasploit的攻击检测中,攻击的识别及阻断有效率达到了90%。2012年,在针对专业攻击测试仪表BPS的检测中,L1及L2级别的攻击检测,识别率达到并超过了90%,明显优于同类产品规则。