启明星辰积极防御实验室(ADLab)成立于1999年,由专职研究技术人员二十余人组成,多年来,ADLab秉承“安全源自未雨绸缪”的理念,一直致力于网络安全黑客动态和漏洞机理方面以及网络安全深层攻防技术的研究,发现计算机以及网络系统中存在的各种安全缺陷,并协助厂商修复这些缺陷,帮助用户获得全面的安全。
ADLab是国内安全业内最早成立的攻防技术研究实验室之一。长期以来密切跟进国内、国际漏洞机理研究的最新进展,对网络漏洞与隐患攻击技术、防御与反攻击技术、实时入侵检测与监控、安全审计技术、快速应急响应、操作系统内核技术、缓冲区溢出技术、数据库入侵与防御技术和基于Web的入侵与防御体系技术等进行了深入研究,建立了全面专业的漏洞库、攻击工具库、恶意代码库等,提升了取证、验证技术水平,2003年,启明星辰公司获得国家批准,成为国内仅有的两家可以查看微软Windows操作系统源代码的网络安全厂商之一。一方面反映了启明星辰在国家信息安全体系中的特殊地位,另一方面通过查看微软Windows操作系统源代码,可以在第一时间、从操作系统的本质上,分析安全漏洞的危险程度,更可以进一步分析漏洞产生的机理,研究针对这些漏洞可能存在的攻击模式,研究攻击模式中可能存在的特征代码,甚至可以第一时间发现漏洞,编写出漏洞补丁程序和蠕虫病毒查杀程序,从根源上降低安全事件造成的损失。截至2010年底,启明星辰ADLab通过CVE共发布了74个windows、linux、unix操作系统的安全漏洞,居亚洲首位,确立了ADLab在国际尖端网络安全领域的核心地位,ADLab在操作系统安全研究方面达到了国际一流水平。
作为启明星辰的专业安全产品和服务支撑团队,ADLab精湛的专业技术水平、迅速的应急反应能力、丰富的解决问题经验,为启明星辰产品的研发和升级、承担国家重大安全项目和客户服务提供了强有力的技术支撑,同时帮助用户解决眼前的安全威胁、预见各种可能存在的威胁,为启明星辰赢得用户的信赖奠定了坚实的基础。
通过多年对网络漏洞与隐患攻击技术、防御与反攻击技术、实时入侵检测与监控、安全审计技术、快速应急响应、操作系统内核技术、缓冲区溢出技术、数据库入侵与防御技术和基于Web的入侵与防御体系技术等的深入研究,ADLab建立了全面专业的漏洞库、攻击工具库、恶意代码库等,提升了取证、验证技术水平,为启明星辰产品研发和升级、承担国家重大安全项目和客户服务提供了强有力的技术支撑。
在专注于网络安全基础性安全研究之外,ADLab还担负研究前瞻性技术的使命,不断研究新的安全理论,如编译环境的安全、无线安全、手机安全等,并取得了成果。
一、ADLab的职责:
1、各种操作系统与应用系统安全研究
ADLab最重要的一项职责。ADLab从成立开始就对国内外最新的网络系统安全漏洞与应用软件漏洞进行最及时和最紧密的跟踪,对重大安全问题更成立专项研究小组进行技术攻关。操作系统安全研究主要包括Windows(包括Vista)系统、Unix-Like系统、Mac OS系统等。应用系统安全研究则是根据用户需求,对用户专用应用系统的安全性进行研究。
2、恶意代码研究
ADLab恶意代码研究主要包括快速分析蠕虫技术的研究、分布式蜜罐技术研究、攻击型蠕虫的研究、远程系统管理平台技术研究和木马技术研究(包括木马植入技术、隐藏技术和通讯加密技术)等,研究成果达业界先进水平,部分成果已经工具化或者半工具化。
3、僵尸网络技术研究
主要从僵尸网络的发现、监控、接管和利用等四个方面进行研究,目前ADLab已经在僵尸网络的发现和监控方面取得了相当程度的成果,而且在僵尸网络拒绝服务攻击的溯源方面居国内领先水平。
4、信息应用系统、网络设备和非主流平台安全研究
ADLab信息应用系统的安全研究包括:数据库安全研究、邮件类安全研究、内网信息泄露研究和信息加解密研究等多个方面。
对于网络设备的安全性,主要从“攻击者”和“防御者”两个角度进行研究。
非主流平台安全研究包括:Wireless Network、IPV6(主要侧重于协议缺陷研究)、WinCE(例如CE平台的缓冲区溢出研究、远程控制技术研究)、Palm、Linux/LIPS (Smart Phone)、Symbian OS等系统安全研究。部分研究成果居国内领先水平。
二、研究成果应用
1、对公司产品的支持
ADLab为启明星辰的安全产品、安全服务与项目的研发提供强有力的、动态的技术实现保障,为安全服务提供前瞻性、专业化的指导意见,同时还可以为客户提供更加专业、完整、全面的安全解决方案。ADLab的研究成果为启明星辰天阗NIDS、HIDS、IPS、UTM等产品相关的事件库、IPv6事件库以及漏洞资源信息库提供支撑,另外针对重要漏洞ADLab能够在几小时内提供紧急升级,能够在重大蠕虫出现前预警,并担负着对启明星辰泰合安全运营中心(SOC)知识库的支持。
2、对国家重点科技攻关项目的支持
ADLab迄今为止已独立或与公司其他部门合作承担国家级、省部级重点网络安全科研项目30多项,包括国家863计划、国家火炬计划、国家级十五攻关计划的多个项目。
ADLab还根据用户需求提供以下服务:渗透测试服务、僵尸网络应急响应服务、拒绝服务应急响应服务、应用系统源代码安全检查服务、服务器入侵应急响应服务等。
ADLabADLab拥有国内少数几个能够对僵尸网络以及拒绝服务攻击进行溯源的网络安全资深专家,特别是在黑客攻击溯源及攻击行为分析方面取得了令人瞩目的成果。比如为武汉某大学、南京某国有单位的SYNflood拒绝服务攻击溯源,并利用蜜罐系统追捕入侵者,帮助用户解决了安全问题。同时,ADLab也承担特殊的网络安全应急服务,在“中美黑客大战”、SQL Slammer蠕虫泛滥、“冲击波”蠕虫病毒爆发、“震荡波”蠕虫病毒肆虐等关键时刻,发挥了重大的防御作用。
3、对用户提供应急响应服务
在国内网络安全领域,ADLab同国家计算机安全管理中心、国家计算机安全产品测评认证中心、国家计算机病毒应急处理中心、国家计算机网络应急处理协调中心(CNCERT/CC)保持着良好的合作关系。作为CNCERT/CC的重要技术支持单位,ADLab还承担特殊的网络安全应急服务,平均每年帮助客户解决应急服务问题140余例,成功率达100%。
三、合作和交流
ADLab与国际CVE组织(Common Vulnerabilities and Exposures,国际漏洞公布组织)、国际CSI组织(Computer Security Institute,计算机安全学会)、国际ICSA组织(TruSecure International Computer Security Association Lab,“国际计算机安全协会实验室”)、国际FIRST组织(Forum of Incident Response and Security Teams,“应急响应与安全小组论坛”)保持着密切的合作关系,并积极派出人员参加各种国际重要的会议,了解国际攻防技术的最新进展和研究发展方向。
