天璇實驗室

從事基于動態行為的檢測技術研究，深度挖掘跟蹤APT組織實時事件。結合前沿AI技術多維度精細化提取、分離、關聯、索引，并通過可視化模型綜合分析樣本，對安全攻擊行為進行全面立體化溯源。

分析惡意代碼的行為特征，深入研究惡意代碼中使用的反調試，混淆，虛擬化等各種逃避檢測的手法，對外提供惡意代碼的分析報告。

通過數年沉淀，積累了針對各種惡意網絡行為的檢測方法，可以及時發現挖礦，勒索等流行病毒的網絡行為，提供完整的證據鏈支持。

天璇實驗室從事系統源代碼安全方面的技術研究，源代碼安全檢查服務能夠從分析移動端惡意樣本行為特征和網絡特征，研究靜態分析和動態調試技術，研究移動端加固，脫殼和Hook技術。

基于深度學習的惡意樣本動態檢測：實驗室跟蹤前沿的深度學習惡意樣本檢測方法，生成基于沙箱運行日志的檢測模型，可以對黑白樣本進行辨識和分類。同時研究自適應動態更新模型技術，滿足海量樣本環境下模型在線更新的需求。

實驗室借鑒深度學習技術在圖像檢測與分類領域的豐碩成果，并將其運用于惡意軟件檢測和分類中。通過構建多種類型深度神經網絡，實現對PE型，ELF型等惡意軟件樣本的分類，有效的應對了惡意軟件變種和混淆帶來的檢測難度的提升和挑戰。

當前僵尸網絡木馬程序傾向于使用DGA算法生成域名來逃避基于黑名單的檢測。實驗室利用深度神經網絡構建深度學習檢測模型，實現對50余種DGA生成域名檢測，有力的彌補了基于黑名單域名檢測技術的局限性，對遏制僵尸網絡的傳播起到了重要的作用。

實驗室依據webshell腳本與自然語言文本本質上的相通性，引進NLP前沿熱點技術實現對webshell惡意腳本檢測，研究開發高效可靠的webshell深度檢測模型。通過搭建多種先進NLP檢測深度模型，實現了對php等多種惡意webshell腳本的精準查殺。

基于加密通信協議的僵尸網絡惡意流量檢測是當前惡意流量監控的主要難點， 實驗室利用機器學習技術構建了一整套惡意加密流量檢測方法、模型和軟件，同時建立了加密流量的指紋特征庫，能夠較好的實現對采用加密通信協議的惡意流量的識別和鑒定。

實驗室利用深度學習和機器學習算法對隱匿通信提取特征，進行模型的訓練與優化，應用于各種隱匿隧道的檢測研究，包括但不限于：HTTP隱蔽隧道、DNS隱蔽隧道、ICMP隱蔽隧道等，用以彌補傳統基于規則匹配的隱匿隧道檢測方法的局限性，為網絡信息安全添磚加瓦。

實驗室通過跟蹤常見的攻擊注入點，將傳統的基于特征規則的檢測方法和基于NLP的機器學習檢測方法相結合，實現對SQL注入和XSS攻擊的有效檢測，并引入集成學習的思想，提升了檢測的準確率和穩定性。

工具涵蓋多個方面： 如漏洞批量驗證平臺、二進制漏洞挖掘工具、病毒木馬行為檢測系統