伏影建立實時威脅追蹤系統，容器安全走在前沿｜深度了解綠盟五大實驗室進展

2018 年 12 月 26 日，綠盟科技發布了由綠盟科技安全研究院孵化而出的五大安全實驗室和對應的五大方向。在綠盟科技年度最大盛會“ 2019TechWorld 技術嘉年華 ”上，雷鋒網宅客頻道（微信ID：letshome）采訪了綠盟科技副總裁李晨以及綠盟科技首席架構師楊傳安，了解實驗室的最新成果進展。

先來回顧一下五大實驗室的研究方向。

1. 星云實驗室

星云實驗室的主要方向是云計算安全、解決方案研究與虛擬化網絡安全問題研究，實驗室負責人是劉文懋。星云實驗室關注軟件定義安全、容器安全、安全編排。

2. 格物實驗室

格物實驗室的主要方向是工控安全、車聯網和物聯網安全，實驗室的負責人是李東宏。

3. 伏影實驗室

伏影實驗室的主要方向是安全威脅與監測技術研究，實驗室負責人是吳鐵軍。

4. 天樞實驗室

天樞實驗室的主要方向是安全數據、AI攻防等研究，實驗室負責人是范敦球。

5. 天機實驗室

天機實驗室的主要研究方向是漏洞挖掘與利用技術研究，覆蓋所有主流操作系統、應用、基礎開發組件，負責人是張云海。

［綠盟科技五大實驗室負責人，左起分別為劉文懋、吳鐵軍、李東宏、張云海、范敦球］

雷鋒網：五大實驗室從成立后有什么創新的研究成果？

楊傳安：五大實驗室的創新成果可能跟通常公司對外發布新產品、新解決方案不太一樣，實驗室的成果一部分體現為一些專業的安全研究報告，如最近 IPV6 網絡安全觀察，還有物聯網、云安全方向的報告，這也算是我們研究產出的常規動作，今年已經發布了多份安全報告。

更多的技術研究成果轉化到了綠盟科技自身的安全產品、安全服務當中。伏影實驗室初步建立了一套監控互聯網實時威脅追蹤的系統，能自動化地在全球部署威脅信息采集點，對威脅活動做分析監控，研究人員在后端能做在線攻擊對抗，這個成果也是綠盟安全能力的研究支撐體系建設。創新技術方面，有蜜罐、攻防，我不贅述。

綠盟科技星云實驗室的綠盟云安全解決方案，現在也有客戶在計劃試用。云安全、容器（Docker）安全正成為行業主流，綠盟科技在國內 Docker 安全落地方面走在前沿。我們發布的《2018綠盟科技容器安全技術報告》、技術解決方案等，尤其在金融行業獲得了大部分用戶的認可。目前星云實驗室研究團隊與產品研發團隊組成了解決方案及產品方案的聯合團隊，很快會有產品落地。

天機實驗室的張云海在今年上半年再次獲得微軟緩解繞過的獎金，這已經是綠盟連續第 7 年在Windows底層漏洞挖掘方面獲得成果，我們仍然保持了很強的投入。

綠盟成立五個實驗室的安全研究目標也沒有變化，更多地是把內部研究資源做了優化。有兩個維度，一個維度是讓研究資源系統化，保證效率和專注。第二個是能更加敏捷地把研究資源與我們的產品、服務更好地銜接，這對公司而言是一種運營大閉環的形式。

五大實驗室的創新成果主要體現為挖掘的漏洞、研究報告、新的技術方推進落地的產品或者安全平臺這幾大類。   

雷鋒網：格物實驗室呢？物聯網安全的 to B 業務上賺錢比較難，你們去年還推出了物聯網相關的產品，賣得好嗎？

楊傳安：物聯網安全產品的盈利仍在運營商行業，例如我們的物聯風控平臺、智能終端的脆弱性分析工具，我們跟國內的運營商和監管部門有業務合作。

格物實驗室也做安全 SDK，類別在傳統主機，就是 EDR、IoT 終端跟平臺形成云管端解決方案。這個解決方案可以擴展到智能的強終端，比如攝像頭，或者有一些主機操作系統的智能終端上。

格物實驗室做的一些安全研究，對 IoT 設備進行漏洞挖掘，對智能終端提取靜動態分析,也對一些工控設備、智能設備進行研究，報送漏洞到監管部門。    

雷鋒網：綠盟走在前沿的容器安全現在到底發展到了什么程度？

楊傳安：我們觀察到，從去年年中開始，客戶對容器安全的關注度在升溫，尤其是部分行業企業的應用開發部門實際已經在生產環境使用了 Docker 容器技術，企業安全主管還是挺焦慮的。星云實驗室去年年底發布了《2018綠盟科技容器安全技術報告》，跟硅谷 NeuVector 公司進行了合作，硅谷的公司在容器安全領域上，相對而言還是做得比較靠前的，可以做安全漏洞掃描，也可以在Runtime、流量等領域做安全檢測防護。

現在對容器安全急需解決兩個重點。一是靜態時對容器自身鏡像的安全掃描，因為容器的生命周期非常短，一是常規的虛擬機長期做流量監測或者漏洞掃描，系統 Runtime 漏洞掃描有時也不一定恰當。針對 Runtime的場景，我們還有完整的云安全解決方案。我們目前跟國內客戶交流這個情況，大家還是認可這種方式，至少對它靜態的鏡像安全，包括 Runtime 運行的一些安全監控，能夠和現在的一些安全管理中心銜接。

雷鋒網：綠盟未來3-5年的技術研究是分布在實驗室還是有其他專門的研究機構？

楊傳安：綠盟以創新中心為主在承擔面向中長期的研究方向，包括5G安全、區塊鏈、SDP等方向，部分校企合作也承擔了一些前沿研究工作。另外，綠盟有中關村博士后站點，我們清華大學做聯合培養博士后，每年入站的博士在做創新的研究課題方向。綠盟是做產品和服務為主的企業，我們的研究研發會更關注實現技術。更長期的安全研究方向，我們希望通過高?；蛘哐芯克献鱽砀?。

雷鋒網：有哪些校企合作？

李晨：2017年，中國計算機學會攜手綠盟科技創立 CCF-綠盟科技“鯤鵬”科研基金，現已發布兩期獲批項目。

2018年綠盟科技與騰訊安全攜手搭建“AE50產學研合作協同育人聯席會“，邀請七所首批網絡安全學院建設示范院校以及22所首批網絡空間安全一級學科示范院校一起，未來還將邀請50+網絡安全學院加入。

綠盟科技近年來先后與哈爾濱工業大學、西安交通大學、西北工業大學、廣州大學、南昌大學等高校建立聯合實驗室，在工控安全、漏洞挖掘、攻防研究、威脅情報、課題申報等方面展開深入合作。與東北大學就人才聯合培養、學科建設方面助力高校構建更加完善的教學知識體系，還與華南農業大學建成校企聯合網絡安全應急響應中心。

雷鋒網：五大實驗室的純研究人員有多少人？

楊傳安：五大實驗室加起來研究人員有百來人。原來我們談智慧安全2.0之前，主要工作是離線做樣本分析、漏洞挖掘、輸出技術的說明，就結束了。剛才說的研究人員有一部分仍然會做這些工作，還有一部分是把這些閉環的數據用現在比較熱的 AI 或者機器學習技術進行處理，形成閉環。我們知道實際防護效果，而且是持續的大范圍的反饋，這樣就能實時掌握安全策略是否有效。另外，抓到大量樣本，我們會應用這些樣本形成新的檢測引擎的方法，對它做一些基于機器學習特征、行為的新檢測機制，這樣對于 UEBA 用戶行為檢測的技術手段更加有利。因為現在流量越來越大，做深度解析會越來越大困難，使用新的檢測方法，只需要對它的特征做一些提取和匹配，能夠快速定性，同時通過網絡行為在平臺上做一些關聯后，就能非常準確地對安全威脅進行定量定性。

我們有一部分的研究人員實際上是數據科學家，他們做了一些這樣的工作，這個可能跟傳統意義上的攻防研究有點不一樣，更像是數據對抗或者數據分析。    

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。