·=
可以看到,双病毒特征库,双病毒检测引擎的方案,与单病毒库、单病毒检测引擎相比,在检测的准确率上有大幅提升,由于双病毒特征库,双病毒检测引擎与单病毒库、单病毒检测引擎相比,性能开销(CPU消耗、内存消耗)会更大,因此本方案中对是否启用双病毒库、双病毒检测引擎采用了配置开关,可以根据终端硬件的配置情况灵活启用或者关闭该功能。
360云查杀检测引擎
云查杀技术的必要性
随着病毒的大量出现,传统的本地病毒库的查杀方式已经无法在本地加载绝大多数病毒样本特征,仅奇虎360一家安全企业,到目前为止就已经积累了多达20亿的病毒样本,如果算上未经去重的病毒样本,目前已发现的病毒样本已经远远超过20亿的规模,而目前大多数的终端杀毒软件,受本地存储资源的限制,本地病毒特征库的规模大约在1000万~2000万左右,这个数字只占不到20+亿已发现病毒样本的1%,依靠1%的病毒库去检测互联网中肆虐的病毒,这说明传统的本地病毒库的查杀方式已经无法满足对已知病毒的查杀要求,需要通过云端的海量计算资源与海量存储资源满足对数十亿病毒进行100%查杀的安全需求。
360云查杀资源与技术
云查杀技术需要大量的样本资源、计算资源、检测技术资源,如果没有这些资源作支撑,则无法构建高质量的云查杀系统,本质上来说,云查杀系统是一个海量资源系统,这个资源系统中,既包括客户资源,又包括硬件资源与软件算法资源:
样本资源
构建云查杀系统,需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑,否则,所构建的云查杀系统将因为缺乏足够的病毒样本积累而难以保证对于已知病毒和恶意代码的检测率。
本方案中,我们才用的360云查杀平台,拥有涵盖了近20年的所有已知的病毒、木马、蠕虫等恶意代码的样本文件,其所积累的去重之后病毒样本数量已经超过20亿。
样本资源的基础是客户资源,没有足够的客户资源作支撑,无法收集足够的病毒样本文件,只有广泛部署了终端系统的情况下,才能在短期内收集足够数量的恶意代码样本文件,奇虎360在全国拥有超过4亿的终端用户,覆盖了全国终端用户的95%以上,其中绝大多数已经选择加入了奇虎360公司的“云安全计划”,这些遍布全国的海量用户为360提供了丰富、及时的病毒样本资源,保证了360云查杀系统病毒样本收集的及时、有效。
目前平均来说,一个病毒从首次在国内互联网上出现,到被360云查杀系统捕获之间,只有不到10个小时的时间。
计算资源
为了构造有效的云查杀系统,需要大量的计算资源进行支撑,以便对搜集到的样本资源进行深入分析,一般来说,一台标准的服务器(如DELLR720,配置为:
双路16核CPU(XeonE5-2690,单路8核,主频)、IntelC600主板芯片组、内存16GB(ECCDDR3)、硬盘900GB(SAS接口)),每天(24小时)可处理的样本数量大约在3000万个左右,因此,对于标准1000终端的用户来说,若按照每天每台终端提交10个样本进行深度检测,则大约需要4台DELLR720这样配置的服务器组成的云查杀系统才能满足查杀需要。
在本项目中,360所提供的云查杀系统的规模已经超过了10000台服务器,由这些云服务器所构成的查杀环境,完全可以满足本项目的云端深度查杀需求。
算法资源
构建有效了云查杀环境,除了稳定、及时的样本收集资源与足够数量的硬件计算环境之外,还需要先进的未知病毒及恶意代码的检测算法,这样才能够在收集到病毒与恶意代码样本之后,进行有效的分析与处理。
因此,对未知病毒与恶意代码的快速检测能力,就成了构建有效的云查杀环境的关键。
在本方案中,360所提供的云查杀环境集成了大量先进的真对未知病毒与恶意代码的查杀算法,这些算法中,有基于病毒与恶意代码静态样本共性特征的QVM-II算法(该算法采用人工智能与机器学习的方法,对360目前已经积累的20多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型,该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一),也有目前主流的动态沙箱深度分析技术,同时还集成了利用未知漏洞进行病毒与恶意代码传播的基于内存分析的动态漏洞利用攻击分析技术,最后,对于非常复杂、难于分析的可疑文件,还会采用具有多年病毒分析与对抗经验的专家分析团队进行彻底分析。
以上这些先机的自动化分析技术与方病毒专家团队人工分析的有效结合,多种手段、人机结合,保证了对病毒与恶意代码分析的万无一失。
360云查杀隐私问题说明
由于本方案中采用了云查杀技术,云查杀技术需要在终端与云端之间交互必要的样本数据以保证对样本进行有效检测,因此需要对云查杀过程中终端与云端之间所交换的数据进行详细的说明,以此排除隐私泄露的可能。
360公司承诺并保证:
在使用360云查杀系统的过程中,除了必要的检测之外,不会以任何形式非法采集、利用用户的任何隐私数据,下面进行逐一说明:
1、云查杀系统的使用完全由终端用户自行决定,可以由管理员统一配置,如果终端用户或管理员选择关闭云查杀功能,则终端将不会向云端传送任何检测所需要的数据进行病毒与恶意代码的检查
2、对于云端深度检查,终端和云端之间也只会传送可执行文件(PE格式),而不会传送敏感的数据文件(如:
word、pdf、图纸、图片等),因为只传送了可执行文件,可执行文件只是程序的执行体,有可执行代码组成,并不包含用户的敏感数据,更不包含用户的隐私信息,因此不存在隐私泄露或泄密的可能
3、对于云端非深度检查,终端和云端之间连可执行文件都未进行传输,而只是抽取了可执行文件(PE格式)的部分属性信息(而非可执行文件体)传送至云端进行检查,这些文件的属性信息与文件内容完全无关(就如同一个人的姓名、居住地、职业信息与这个人的血型毫不相关是同一个道理),因此在非深度的一般性云查杀中,理论上就不存在隐私泄露的可能性。
在非深度云查杀的过程中,终端与云端交互的文件属性信息包含且仅包含如下内容:
该文件在终端的存放路径
该文件的哈希指纹(MD5、SHA-1)
该文件的大小
该文件所在终端的操作系统类型
该文件所在终端的操作系统版本号
该文件所在终端的IE版本号
4、所有云端与终端之间的交互的信息,除了需要深入分析的不含用户任何数据信息、隐私信息的可执行文件可能会涉及到专家人工分析之外,其余的所有信息将完全由机器进行自动处理,除了检测之外,没有任何渠道可以获得这些信息,所有的过程都是有机器完成,即便是不包含用户隐私的文件属性数据,除了机器之外,也不会有其他的途径可对之进行提取和阅读。
以上就是在本项目中所采用的360云查杀系统的隐私问题的说明,可以看到,采用360云查杀系统完全不存在任何用户隐私的泄漏问题。
恶意URL检测引擎
Web应用是目前互联网的最主要应用,Web安全问题因此也成了互联网安全问题中最重要的问题,占据了互联网问题中的绝大部分,网银诈骗、网购诈骗、钓鱼网站、网马等通过恶意网址进行钓鱼、诈骗、侵财的攻击事件频发,已经成了Web应用的主要威胁,同时也发现,部分APT(高级持续性威胁)攻击行为也是通过恶意网站(一般是钓鱼网站)对企业低权限终端进行入侵,进而以此低权限终端做跳板不断渗透高权限终端与服务器,最后完成APT攻击过程,因此对于访问Web过程中的安全防护,已经成了当前终端安全防护的重要组成部分。
从技术上来看,对于终端访问恶意网址的防护主要有三种技术手段:
1、实时分析、动态检测
2、事先分析、静态匹配
3、实时分析结合事先分析,动态检测结合静态检测
第一种技术手段完全依靠在用户访问Web过程中对页面及其附属资源的动态分析和主动防御技术(如:
IE控件监控、内存监控、注册表监控)等方法对用户访问恶意网站、恶意链接的行为进行发现和阻断。
这种方式的优点是可以对恶意访问行为进行实时发现,但其缺点也比较明显,即:
如果对用户访问的Web访问进行深度分析,会消耗大量的用户本地资源,如果分析结论的得出也可能需要完整的分析过程之后才能完成,此时可能攻击行为已经部分发生,同时,完全依靠本地的动态分析,也存在一定的漏报可能,这些都是单纯依靠实时分析、动态检测可能会出现的一些问题。
第二种技术手段本质是通过云计算的方式来完成的,即:
事先对互联网中存在的链接进行采集,采用动态分析结合沙箱的方式进行事先检测,将存在恶意行为的链接形成静态恶意链接库,终端在访问一个链接之前,终端系统安全代理会将此链接与恶意链接库进行比对,如果发现此链接在恶意链接库中出现,则认为该链接属于恶意链接,进而对其访问行为进行禁止,与单纯蚕蛹实时分析、动态检测的技术相比,采用这种方法可以大幅度降低终端的资源消耗,可以在第一时间发现恶意链接(而不是等整个页面及其资源文件都下载到本地并进行了分析之后),同时由于依靠云端的事前抓取分析、云端用户的检测结果,漏报的可能性非常小。
但这种技术也存在一定的局限性:
对于新出现的恶意链接,因为还没来得及被云端抓取分析,因此在一定时间内(比如:
30分钟)对这类新出现的恶意网址无法提供检测能力,即会出现漏报;另一方面,对于被挂马的受害网址,如果木马被清除,那么短期内(在下一轮抓取完成之前),该网址仍将被列入在恶意网址库之中,即在这段时间内会有误报出现。
第三种技术是结合上述两种方法,这种方法优势非常明显,即:
对于大多数白名单中的网址直接放行,对于黑名单中的网址直接拦截,对于灰名单(即没在白名单、也没在黑名单)中的网址则采用动态分析、主动防御技术进行实时分析。
这种方式的优点非常明显:
既利用了云端与其他终端的检测结果过滤了大量的白链接、拦截黑链接,大幅降低了客户端的资源开销,同时对极少量稀有链接又利用动态分析、主动防御技术进行深入的动态分析,起到了查缺补漏的效果。
在本方案中对于恶意URL的检测,采用的是第三种方法,即:
动态分析结合静态匹配的技术方案,通过上述的技术分析可以看到,可以清晰地看到,本方案可以满足对恶意链接的精确检测要求。
QVM-II人工智能检测引擎
对于病毒和恶意代码的检测,一直存在着两个技术方向,一个是依靠病毒特征匹配的静态检测技术,这种技术的特点是必须依靠已知的病毒特征,一般静态特征匹配的技术适合对已知病毒、恶意代码的检测。
另外一种是依靠对病毒行为的动态分析技术,这种技术更适合对未知病毒、恶意代码的检测。
这两种技术是目前对病毒进行检测的关键技术,分别实现对已知、未知的病毒及恶意代码检测。
其中采用特征对病毒进行检测的技术又分为两个方向,一个是穷举式病毒特征提取,即针对每个已发现的病毒、恶意代码样本提取各自的病毒特征,这种方式的优点是能够准确识别出已提取特征的病毒与恶意代码,误报率和漏报率都很低。
另一种是针对不同族类的病毒及恶意代码提取出共性的族群特征,并以此作为检测依据对恶意代码进行检测。
这种方式的优点是不依赖某一个病毒或恶意代码的具体特征,而是提取某一族群的恶意代码共性特征,因此,这种检测方法对于某一病毒与恶意代码族群内的新生病毒具有非常强的检测能力,同时还能对检测出来的病毒与恶意代码进行族系归类。
QVM-II人工智能检测引擎采用人工智能与机器学习的方法,对360目前已经积累的20多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型,该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一。
该技术的主要组成框架如下:
终端安全性检查
目标描述
根据终端的安全状况,决定其是否能接入到网络之中,亦即将终端的安全状况作为网络准入的前判断件之一。
此功能的最终目的是强制终端落实规定的安全防范措施,进行安全加固工作,隔离可能成为安全短板的终端。
设计描述
本功能由4项子功能组成:
子功能1:
终端安全状况信息收集(包括:
当前终端的登录账号、当前终端的杀毒软件安装与运行情况、当前终端杀毒软件病毒库的版本信息、当前终端操作系统的安装情况)。
子功能2:
病毒特征库、系统漏洞补丁文件自动下载、自动修复。
子功能3:
根据策略阻断终端连入网络。
子功能4:
通过管理控制中心配置终端安全状况准入策略,支持按照IP地址、网段、IP地址区间下发到不同的终端。
终端安全状态的几个关键指标是:
登录账号是否合法。
是否安装并运行了规定的防病毒软件。
病毒库是否升级至最新。
操作系统补丁是否升级至规定标准。
硬件是否变更。
是否存在非法外联的现象。
说明:
对于子功能1中的杀毒软件的病毒库的安装情况以及杀毒软件的病毒库版本情况的检查,将锁定在有限的几家杀毒软件(如:
瑞星、金山、卡巴斯基、诺顿、MAcfee、趋势科技等),如果需要检查其他厂家的杀毒软件,则通过额外定制开发完成。
终端防黑加固
目标描述
对客户端进行防黑加固功能,提供有针对性监控功能,包括系统账号变更、重点端口监控,共享目录管控等。
设计描述
1对终端密码复杂度、生存期和密码历史进行检查,如客户机不满足将提示终端用户修改;
2对重点端口进行监控,并支持自定义端口监控与上报;
3可以显示终端开启的共享目录并对共享目录进行管理(关闭共享)
4可监控用户账号权限发生变化;用户组权限发生变化;用户账号增加、减少;用户组增加、减少;用户账号状态发生改变(启用、禁用),同时上报日志
协议防火墙
目标描述
在内网终端间建立访问控制机制,杜绝非业务需求下的终端互访现象,遏制网内主机发起的攻击。
设计描述
1基于IP、端口双向配置基于主机的访问控制策略。
实现同个子网或不同子网内终端之间的访问控制,在不需要对原有网络设备做任何调整的前提下,实现细粒度的安全域访问控制管理。
2可禁止终端PING出、PING入,有效遏制内网嗅探行为。
访问控制策略在控制中心集中定义,可根据不同分组按需下发,分布式执行,简洁、高效。
桌面管理
终端流量管理
目标描述
对客户端访问外部子网的流量进行统计与限制,实时统计全网内各客户端访问流量的排名。
设计描述
流量访问策略配置
3在控制端提供TAB页面,对终端/终端组(可通过IP地址、IP区间、子网对应)访问目标网络或目标服务器(可通过IP地址、IP区间、子网对应)的网络流量(速率)上限进行配置(最小单位:
KBps)。
②此配置作为策略下发至各个终端。
终端访问流量计数
4终端在网络层统计各自访问的流量,包括:
该终端的总体访问流量速率。
对特定目标主机的访问流量速率。
对特定子网的访问流量速率。
④终端将各自的流量统计数据上报至管理控制中心。
终端访问流量控制
⑤根据管理控制台为该终端下发的流量控制策略与终端统计出的当前的访问流量,对该终端的流量速率进行整形限制,注意,此处需要根据流量访问策略区分如下三种情况进行流量限制:
对该终端的总体访问流量速率进行整形限制。
对该终端与特定目标主机的之间的通信流量速率进行整形限制。
对该终端与特定子网的通信流量速率进行整形限制。
全网流量统计排名
⑥管理控制中心对所有终端上报的流量速率数据进行实时排名刷新,采取do-by-need的方式,在用户请求排名的时候,实时计算最新的流量速率的排名列表。
系统自动升级
目标描述
在无须运维管理人员参与的情况下,对360天擎客户端软件、360管理控制台软件、360天擎客户端病毒特征库、系统/应用的漏洞补丁进行自动下载、升级与安装。
设计描述
为了避免升级过程中导致网络拥塞,终端的升级将从内网的升级服务器统一拉取升级文件,即终端不会从位于Internet的360升级服务器下载升级文件。
当360天擎管理控制台处于隔离网与非隔离网两种环境之下,其升级方案也有比较大的区别,天擎360支持对于隔离网环境下的物理隔离升级与非隔离网环境下的内网推送式升级。
升级过程一共分两个阶段:
第一阶段:
升级服务器(一般来说就是管理控制台)从位于Internet上的360升级服务器下载全部升级文件至本地。
第二阶段:
360天擎客户端根据自己的实际需要从升级服务器上下载升级所需要的文件并执行升级操作。
对于隔离网环境来说,由于内网升级服务器无法连接至360升级服务器,因此无法直接完成升级文件的下载,在这种情况下,我们提供了“隔离升级代理”工具完成升级文件的下在工作,具体升级过程如下:
第一步:
将“隔离升级代理”工具放置在内网升级服务器上,运行该工具,即可完成升级所需信息的收集工作,即搜集到内网服务器中当前升级文件的版本信息,建立升级基线。
第二步:
将“隔离升级代理”和所搜集到的升级服务器的升级基线拷贝到一台可以连接至互联网360升级服务器的机器上,并再次运行该升级工具,此时,“隔离升级代理”工具将根据当前最新的升级文件与第一步中采集到的升级基线进行对比,下载新增、修改的文件,并将下载到的文件保存在“隔离升级代理”工具所在的文件夹中。
第三步:
再次将“隔离升级代理”文件夹整体拷贝到内网升级服务器之上,再次运行该工具,即可将最新的升级文件成功存放在内网升级服务器上的制定存储位置。
升级过程中的带宽利用
为了最大限度降低升级过程中的带宽消耗,保障业务运行带宽不受升级过程影响,360天擎采用如下的技术保证升级过程中的网络稳定性与业务稳定性:
带宽压缩技术
在客户端下载升级文件的过程中,将对升级文件进行压缩处理,尽力降低升级文件传输过程中对带宽的消耗。
带宽限制技术
内网升级服务器支持对升级文件传输的带宽总流量进行限制设置,可以对升级过程中消耗的总带宽进行上限设置。
智能分发技术
内网客户端将根据自身的实际需要从内网升级服务器下载不同的特征库升级文件、补丁文件、软件升级包等,而不会将所有的升级文件都从内网升级服务器上下载。
终端硬件性能监控
目标描述
监控所有终端(包括VIP终端)的硬件性能状况,包括:
CPU利用率、内存利用率、硬盘容量与使用情况、网络延迟等。
设计描述
采样与设值
采样周期
存储期限
预警阈值
CPU
默认60秒,可设置
保存最近3个月
可设置
内存
默认60秒,可设置
保存最近3个月
可设置
硬盘
默认1天,可设置
保存最近3个月
可设置
网络延时
默认60秒,可设置
保存最近3个月
可设置
查询与预警
支持通过IP、UserID、采样参数、样本值(大于、小于)结合时间段进行查询,绘制出完整的性能曲线。
在采样周期到时的时候,如果性能参数满足报警阈值设置,则立即产生报警,报警数据可以通过邮件进行发送。