奇虎-互聯(lián)網(wǎng)時(shí)代惡意軟件特點(diǎn)及云安全技術(shù)

互聯(lián)網(wǎng)時(shí)代的惡意軟件

及云平安技術(shù)360公司2021年8月目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢(shì)傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式隨著互聯(lián)網(wǎng)與人們生活的結(jié)合日益緊密，用戶(hù)在使用任何互聯(lián)網(wǎng)應(yīng)用時(shí)都可能遭遇到平安威脅。用戶(hù)終端及網(wǎng)絡(luò)的平安已成為互聯(lián)網(wǎng)的根底效勞需求。網(wǎng)絡(luò)瀏覽下載安裝軟件搜索即時(shí)通信影音播放網(wǎng)絡(luò)游戲網(wǎng)上銀行/證券網(wǎng)上購(gòu)物……平安成為互聯(lián)網(wǎng)的根底效勞需求〔Infrastructure〕電子郵件平安是互聯(lián)網(wǎng)的根底需求從殺毒到泛平安用戶(hù)的平安需求已不僅僅是傳統(tǒng)的反病毒，而是擴(kuò)展到了反惡意軟件、反木馬、瀏覽平安、隱私平安、個(gè)人數(shù)據(jù)平安等泛平安領(lǐng)域：終端平安從反病毒擴(kuò)展到更多的泛平安領(lǐng)域目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢(shì)傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式木馬：互聯(lián)網(wǎng)平安的主要威脅單機(jī)系統(tǒng)時(shí)代，病毒是電腦平安的主要威脅：傳播介質(zhì)：磁盤(pán)等移動(dòng)介質(zhì)傳播方式：交叉感染傳播目的：破壞電腦系統(tǒng)互聯(lián)網(wǎng)絡(luò)時(shí)代，木馬是電腦平安的主要威脅：傳播介質(zhì)：互聯(lián)網(wǎng)絡(luò)傳播方式：網(wǎng)格狀交叉模式傳播目的：非法獲取財(cái)產(chǎn)木馬侵犯用戶(hù)財(cái)產(chǎn)的方式多種多樣木馬形式多樣，角色各異盜號(hào)木馬：盜取虛擬財(cái)產(chǎn)僵尸網(wǎng)絡(luò)：對(duì)網(wǎng)站等攻擊、勒索肉雞木馬：在用戶(hù)的電腦中彈出廣告間諜木馬：竊取隱私和商業(yè)機(jī)密木馬已形成上百億元的灰色產(chǎn)業(yè)鏈灰鴿子木馬產(chǎn)業(yè)鏈?zhǔn)疽鈭D木馬已經(jīng)形成了造馬、改馬、賣(mài)馬、買(mǎi)馬、發(fā)馬、掛馬、盜號(hào)、銷(xiāo)贓等分工明確的灰色產(chǎn)業(yè)鏈，從業(yè)人數(shù)以十萬(wàn)計(jì)：他們已經(jīng)在利用Web2.0來(lái)組建自己的社區(qū)，并可在這些社區(qū)中非常容易地進(jìn)行交流、分享，從而極大地降低了制作木馬、黑客工具的門(mén)檻：討論、交流木馬制作、黑客經(jīng)驗(yàn)分享木馬和黑客工具代碼木馬和黑客技術(shù)培訓(xùn)〔師傅帶徒弟〕提供和出售現(xiàn)成的木馬、黑客工具〔通常是幾十元的極低價(jià)格〕依托Web2.0提供的便利，木馬、黑客的制作也已形成了“人民戰(zhàn)爭(zhēng)〞，從業(yè)人員達(dá)數(shù)十萬(wàn)；而且他們之間分工協(xié)作，形成了技術(shù)和經(jīng)濟(jì)的產(chǎn)業(yè)鏈；由于這些Web2.0社區(qū)的虛擬性〔這些人在現(xiàn)實(shí)世界可能互不認(rèn)識(shí)〕、自組織和去中心化〔分散性〕，給打擊木馬、黑客犯罪帶來(lái)了困難，難以取證，也難以找到木馬或黑客程序的源頭。WEB2.0給網(wǎng)絡(luò)平安帶來(lái)的影響木馬、黑客組織已經(jīng)Web2.0化：WEB2.0給網(wǎng)絡(luò)平安帶來(lái)的影響–續(xù)Web2.0的社區(qū)分享極大地促進(jìn)了木馬技術(shù)的開(kāi)展：木馬作者和黑客充分利用了Web2.0的分享和協(xié)作機(jī)制，發(fā)揮群體智慧，使得木馬技術(shù)日益高級(jí)和復(fù)雜，其升級(jí)和進(jìn)化的速度遠(yuǎn)超從前；通過(guò)Web2.0社區(qū)的分享交流，制作木馬的技術(shù)難度和本錢(qián)急劇降低〔幾十元錢(qián)即可從互聯(lián)網(wǎng)上買(mǎi)到現(xiàn)成的木馬生成及免殺工具〕，從而為木馬數(shù)量的爆炸性增長(zhǎng)創(chuàng)造了條件；Web2.0社區(qū)的長(zhǎng)尾特性，也使得木馬的種類(lèi)〔變種〕極其繁多，大量的木馬是小眾化〔傳播面小〕、針對(duì)性的木馬。這些木馬的樣本難以被采集，因而傳統(tǒng)的殺毒軟件難以有效查殺。互聯(lián)網(wǎng)時(shí)代木馬傳播方式日益多樣化互聯(lián)網(wǎng)為木馬提供了多樣化的傳播途徑，使之無(wú)需像病毒那樣依靠感染即可大規(guī)模傳播：多樣化的木馬傳播途徑結(jié)果：惡意軟件的“摩爾定律〞來(lái)自360平安中心近幾年截獲的樣本數(shù)據(jù)：新增木馬數(shù)每年增加十倍近幾年360截獲的惡意軟件樣本數(shù)目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢(shì)傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式互聯(lián)網(wǎng)時(shí)代木馬的技術(shù)特征感染型、Rootkit、內(nèi)核級(jí)驅(qū)動(dòng)保護(hù)等多種技術(shù)融合，經(jīng)過(guò)加殼及免殺處理，難以查殺；對(duì)抗殺毒軟件，入侵系統(tǒng)后直接使殺毒軟件失效；小眾化、針對(duì)性、變種繁多；充分利用Web2.0應(yīng)用提供的便利，主要以惡意網(wǎng)頁(yè)形式傳播〔網(wǎng)頁(yè)掛馬〕，通過(guò)操作系統(tǒng)及第三方軟件漏洞入侵用戶(hù)計(jì)算機(jī)；制作簡(jiǎn)單，本錢(qián)低〔一個(gè)高中生利用網(wǎng)上的木馬生成器即可制作〕傳統(tǒng)反病毒技術(shù)難以應(yīng)對(duì)爆炸性增長(zhǎng)的木馬樣本難以采集殺毒軟件采用的特征碼掃描技術(shù)只能查殺木馬，是一種事后的處理方法。而越來(lái)越多的木馬是小眾化、針對(duì)性的盜號(hào)木馬，樣本難以被殺毒廠(chǎng)商采集，因此無(wú)法查殺；處理能力的瓶頸木馬爆發(fā)的種類(lèi)、數(shù)量已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)任何一個(gè)平安廠(chǎng)商的處理能力，平安廠(chǎng)商被迫陷入人海戰(zhàn)術(shù)的困境；殺毒軟件的兩難境地：巨量的木馬樣本特征無(wú)法放在終端病毒庫(kù)中，否那么將嚴(yán)重消耗電腦資源；事后的查殺無(wú)法挽回?fù)p失木馬一旦侵入系統(tǒng)，損失很可能已經(jīng)造成，事后查殺無(wú)法挽回用戶(hù)的損失；主動(dòng)防御技術(shù)尚不成熟可疑程序行為判定的準(zhǔn)確度低

操作系統(tǒng)、軟件環(huán)境的復(fù)雜性，軟件行為的多樣性，使得在整個(gè)系統(tǒng)范圍內(nèi)對(duì)軟件行為的進(jìn)行判定的準(zhǔn)確度難以保證；用戶(hù)干預(yù)過(guò)多 大量惡意軟件的行為特征與正常軟件往往難以區(qū)分，因此不得不通過(guò)用戶(hù)干預(yù)來(lái)確認(rèn)行為的合法性，而大多數(shù)用戶(hù)是沒(méi)有專(zhuān)業(yè)能力來(lái)判斷的，因此主動(dòng)防御要么變得無(wú)效，要么成為一種騷擾；智能化、實(shí)用化的主動(dòng)防御技術(shù)尚不成熟 如何準(zhǔn)確、智能地判定可疑的程序行為，并且無(wú)需用戶(hù)干預(yù)，這個(gè)技術(shù)仍然停留在實(shí)驗(yàn)室階段。殺毒軟件廠(chǎng)商正在開(kāi)展不依賴(lài)于特征碼、通過(guò)行為特征判定來(lái)查殺未知木馬的主動(dòng)防御技術(shù)，但是這項(xiàng)技術(shù)尚不成熟：卡慢效果差傳統(tǒng)殺毒軟件面臨的問(wèn)題龐大的資源占用造成卡機(jī)掃描慢木馬特征庫(kù)更新慢輕松被免殺跟不上木馬病毒的變化速度從網(wǎng)絡(luò)邊界平安到終端平安木馬也已成為政府機(jī)關(guān)及企業(yè)內(nèi)部電腦終端平安的主要威脅。大多數(shù)平安事件都是來(lái)自于終端惡意軟件的攻擊。但企業(yè)級(jí)網(wǎng)絡(luò)平安廠(chǎng)商以往更重視的是網(wǎng)絡(luò)邊界處的平安防護(hù)，無(wú)法有效應(yīng)對(duì)終端處的惡意軟件及木馬威脅。從網(wǎng)絡(luò)邊界平安到終端平安目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢(shì)傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式云平安的根本原理：云計(jì)算中心對(duì)從用戶(hù)電腦采集到的可疑程序樣本依據(jù)其代碼特征、行為特征、生存周期、傳播趨勢(shì)進(jìn)行數(shù)據(jù)挖掘和智能分析，進(jìn)而判定惡意程序及其傳播規(guī)律，在惡意軟件傳播初期予以查殺。采集：從上億用戶(hù)終端電腦中采集可疑行為程序樣本及其行為特征效勞端云計(jì)算集群分析：經(jīng)過(guò)效勞端集群自動(dòng)分析處理，形成對(duì)惡意程序處置的指導(dǎo)規(guī)那么處置：惡意程序判定指導(dǎo)規(guī)那么反響回客戶(hù)端進(jìn)行處置基于云計(jì)算模式的平安技術(shù)和效勞是開(kāi)展趨勢(shì)擁有3億互聯(lián)網(wǎng)用戶(hù)近萬(wàn)臺(tái)云計(jì)算效勞器處理海量樣本識(shí)別和查詢(xún)?nèi)蝿?wù)每日處理數(shù)百億次查詢(xún)每日發(fā)現(xiàn)上百萬(wàn)新木馬平均處理時(shí)間僅30秒360云平安技術(shù)效勞示意云端文件知識(shí)庫(kù)的完備性云查詢(xún)的快速實(shí)時(shí)響應(yīng)對(duì)未知文件的實(shí)時(shí)分析處理云平安需要解決的三大問(wèn)題白名單的完備性云平安中最大的難點(diǎn)360白名單已經(jīng)覆蓋98%的合法程序黑名單的積累每日發(fā)現(xiàn)200萬(wàn)以上的新增木馬病毒新程序的收集能力搜索引擎的蜘蛛技術(shù)3億用戶(hù)保證即時(shí)發(fā)現(xiàn)、不遺漏360軟件認(rèn)證效勞手工收集和人工甄別日收集新程序：1000萬(wàn)云端文件知識(shí)庫(kù)的三大要素基于奇虎強(qiáng)大的搜索引擎技術(shù)千億規(guī)模下高性能查詢(xún)：?jiǎn)螜C(jī)存儲(chǔ)10億條文件平安信息單機(jī)QPS>10000高可靠性、高穩(wěn)定性高性能云查詢(xún)響應(yīng)能力未知文件的自動(dòng)分析處理多樣性的未知文件自動(dòng)分析機(jī)制文件特征、行為特征、智能啟發(fā)、統(tǒng)計(jì)分類(lèi)……奇虎云計(jì)算平臺(tái)實(shí)現(xiàn)海量處理能力日均2000萬(wàn)樣本處理能力30秒平均響應(yīng)時(shí)間例：對(duì)黑白樣本生命周期的統(tǒng)計(jì)分析：黑1黑2白1白2云端對(duì)未知文件的自動(dòng)分析處理：例如1例：進(jìn)一步利用上述統(tǒng)計(jì)對(duì)樣本進(jìn)行自動(dòng)分類(lèi)：絕大多數(shù)黑絕大多數(shù)白類(lèi)一類(lèi)二類(lèi)三類(lèi)四類(lèi)五類(lèi)六黑白平均云端對(duì)未知文件的自動(dòng)分析處理：例如1基于機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘的惡意軟件自動(dòng)識(shí)別：云端對(duì)未知文件的自動(dòng)分析處理：例如2實(shí)驗(yàn)室識(shí)別準(zhǔn)確率超過(guò)90%；性能目前至少可以到達(dá)每秒分析1000個(gè)以上的樣本；算法可以支持并行化；云端對(duì)未知文件的自動(dòng)分析處理：例如3沙箱惡意軟件/網(wǎng)頁(yè)動(dòng)態(tài)檢測(cè)環(huán)境云端對(duì)未知文件的自動(dòng)分析處理：例如4基于搜索引擎技術(shù)的惡意網(wǎng)址反向分析云平安需要的核心技術(shù)：大規(guī)模分布式并行計(jì)算技術(shù)海量數(shù)據(jù)存儲(chǔ)技術(shù)海量數(shù)據(jù)自動(dòng)分析和挖掘技術(shù)未知惡意軟件的自動(dòng)分析識(shí)別技術(shù)未知惡意軟件的行為監(jiān)控和審計(jì)技術(shù)海量惡意網(wǎng)頁(yè)自動(dòng)檢測(cè)海量白名單采集及自動(dòng)更新高性能并發(fā)查詢(xún)引擎云平安需要的核心技術(shù)云平安對(duì)保護(hù)根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的平安穩(wěn)定運(yùn)行具有重大的意義：遏制平安事件于萌芽狀態(tài)大多數(shù)平安事件都是來(lái)自于終端惡意軟件的攻擊。云平安技術(shù)可以克服傳統(tǒng)病毒查殺技術(shù)的缺點(diǎn)，零時(shí)差地實(shí)現(xiàn)對(duì)惡意軟件的判定、查殺更，從而將平安事件扼殺在萌芽狀態(tài)。應(yīng)急預(yù)警與漏洞消控

云平安體系可監(jiān)測(cè)整個(gè)中國(guó)互聯(lián)網(wǎng)的惡意軟件和惡意網(wǎng)頁(yè)，可在第一時(shí)間發(fā)現(xiàn)新的漏洞利用0day漏洞以及定向攻擊，為國(guó)家重要信息系統(tǒng)提供平安事件的應(yīng)急預(yù)警和漏洞消控效勞；奠定國(guó)家可信軟件管理根底

海量白名單技術(shù)將為實(shí)現(xiàn)國(guó)家可控的可信軟件配置管理奠定根底；云平安技術(shù)的重要意義目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢(shì)傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式〔數(shù)據(jù)來(lái)源:iResearch〕360平安衛(wèi)士360殺毒360：國(guó)內(nèi)最大的個(gè)人網(wǎng)絡(luò)平安效勞提供商免費(fèi)的360系列產(chǎn)品已經(jīng)覆蓋3億用戶(hù)，占據(jù)80%的網(wǎng)民全球最大的云平安系統(tǒng)360平安衛(wèi)士用戶(hù)數(shù)：超過(guò)3億日均未知樣本分析數(shù)：1000萬(wàn)日均檢測(cè)網(wǎng)頁(yè)：2000萬(wàn)日均云查詢(xún)數(shù)：超過(guò)500億次累計(jì)文件知識(shí)庫(kù)：6億白名單覆蓋率：98%未知樣本平均處理時(shí)間：<30秒IDC機(jī)房數(shù)：120個(gè)帶寬：200+G效勞器數(shù)：近萬(wàn)臺(tái)全球最大的云平安系統(tǒng)輕快強(qiáng)輕巧、不卡機(jī)比傳統(tǒng)殺軟快10倍無(wú)需更新特征庫(kù)即能查殺新木馬從發(fā)現(xiàn)、處理到用戶(hù)查殺僅需30秒龐大的用戶(hù)社區(qū)，捕獲新木馬快而全最大的云端黑白名單+本地智能規(guī)那么360云查殺輕松解決傳統(tǒng)殺軟的問(wèn)題基于云平安的主動(dòng)防御技術(shù)，有效減少用戶(hù)干預(yù)360云平安的應(yīng)用：主動(dòng)防御云平安鑒別瀏覽器中的掛馬、釣魚(yú)、欺詐網(wǎng)頁(yè)每日鑒別網(wǎng)址數(shù)：30億360云平安的應(yīng)用：瀏覽器360殺毒采用云平安、特征掃描雙引擎運(yùn)用云查殺引擎360云平安的應(yīng)用：殺毒引擎隱私承諾文件上傳明確聲明僅上傳可執(zhí)行程序源代碼托管參加IAPP隱私保護(hù)協(xié)會(huì)360云平安的用戶(hù)隱私保護(hù)目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢(shì)傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式創(chuàng)新的信息平安效勞模式：根底效勞免費(fèi)+增值效勞收費(fèi)