奇虎-互聯(lián)網(wǎng)時(shí)代惡意軟件特點(diǎn)及云安全技術(shù)

互聯(lián)網(wǎng)時(shí)代的惡意軟件

及云平安技術(shù)360公司2021年8月目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式隨著互聯(lián)網(wǎng)與人們生活的結(jié)合日益緊密，用戶在使用任何互聯(lián)網(wǎng)應(yīng)用時(shí)都可能遭遇到平安威脅。用戶終端及網(wǎng)絡(luò)的平安已成為互聯(lián)網(wǎng)的根底效勞需求。網(wǎng)絡(luò)瀏覽下載安裝軟件搜索即時(shí)通信影音播放網(wǎng)絡(luò)游戲網(wǎng)上銀行/證券網(wǎng)上購物……平安成為互聯(lián)網(wǎng)的根底效勞需求〔Infrastructure〕電子郵件平安是互聯(lián)網(wǎng)的根底需求從殺毒到泛平安用戶的平安需求已不僅僅是傳統(tǒng)的反病毒，而是擴(kuò)展到了反惡意軟件、反木馬、瀏覽平安、隱私平安、個(gè)人數(shù)據(jù)平安等泛平安領(lǐng)域：終端平安從反病毒擴(kuò)展到更多的泛平安領(lǐng)域目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式木馬：互聯(lián)網(wǎng)平安的主要威脅單機(jī)系統(tǒng)時(shí)代，病毒是電腦平安的主要威脅：傳播介質(zhì)：磁盤等移動(dòng)介質(zhì)傳播方式：交叉感染傳播目的：破壞電腦系統(tǒng)互聯(lián)網(wǎng)絡(luò)時(shí)代，木馬是電腦平安的主要威脅：傳播介質(zhì)：互聯(lián)網(wǎng)絡(luò)傳播方式：網(wǎng)格狀交叉模式傳播目的：非法獲取財(cái)產(chǎn)木馬侵犯用戶財(cái)產(chǎn)的方式多種多樣木馬形式多樣，角色各異盜號木馬：盜取虛擬財(cái)產(chǎn)僵尸網(wǎng)絡(luò)：對網(wǎng)站等攻擊、勒索肉雞木馬：在用戶的電腦中彈出廣告間諜木馬：竊取隱私和商業(yè)機(jī)密木馬已形成上百億元的灰色產(chǎn)業(yè)鏈灰鴿子木馬產(chǎn)業(yè)鏈?zhǔn)疽鈭D木馬已經(jīng)形成了造馬、改馬、賣馬、買馬、發(fā)馬、掛馬、盜號、銷贓等分工明確的灰色產(chǎn)業(yè)鏈，從業(yè)人數(shù)以十萬計(jì)：他們已經(jīng)在利用Web2.0來組建自己的社區(qū)，并可在這些社區(qū)中非常容易地進(jìn)行交流、分享，從而極大地降低了制作木馬、黑客工具的門檻：討論、交流木馬制作、黑客經(jīng)驗(yàn)分享木馬和黑客工具代碼木馬和黑客技術(shù)培訓(xùn)〔師傅帶徒弟〕提供和出售現(xiàn)成的木馬、黑客工具〔通常是幾十元的極低價(jià)格〕依托Web2.0提供的便利，木馬、黑客的制作也已形成了“人民戰(zhàn)爭〞，從業(yè)人員達(dá)數(shù)十萬；而且他們之間分工協(xié)作，形成了技術(shù)和經(jīng)濟(jì)的產(chǎn)業(yè)鏈；由于這些Web2.0社區(qū)的虛擬性〔這些人在現(xiàn)實(shí)世界可能互不認(rèn)識(shí)〕、自組織和去中心化〔分散性〕，給打擊木馬、黑客犯罪帶來了困難，難以取證，也難以找到木馬或黑客程序的源頭。WEB2.0給網(wǎng)絡(luò)平安帶來的影響木馬、黑客組織已經(jīng)Web2.0化：WEB2.0給網(wǎng)絡(luò)平安帶來的影響–續(xù)Web2.0的社區(qū)分享極大地促進(jìn)了木馬技術(shù)的開展：木馬作者和黑客充分利用了Web2.0的分享和協(xié)作機(jī)制，發(fā)揮群體智慧，使得木馬技術(shù)日益高級和復(fù)雜，其升級和進(jìn)化的速度遠(yuǎn)超從前；通過Web2.0社區(qū)的分享交流，制作木馬的技術(shù)難度和本錢急劇降低〔幾十元錢即可從互聯(lián)網(wǎng)上買到現(xiàn)成的木馬生成及免殺工具〕，從而為木馬數(shù)量的爆炸性增長創(chuàng)造了條件；Web2.0社區(qū)的長尾特性，也使得木馬的種類〔變種〕極其繁多，大量的木馬是小眾化〔傳播面小〕、針對性的木馬。這些木馬的樣本難以被采集，因而傳統(tǒng)的殺毒軟件難以有效查殺。互聯(lián)網(wǎng)時(shí)代木馬傳播方式日益多樣化互聯(lián)網(wǎng)為木馬提供了多樣化的傳播途徑，使之無需像病毒那樣依靠感染即可大規(guī)模傳播：多樣化的木馬傳播途徑結(jié)果：惡意軟件的“摩爾定律〞來自360平安中心近幾年截獲的樣本數(shù)據(jù)：新增木馬數(shù)每年增加十倍近幾年360截獲的惡意軟件樣本數(shù)目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式互聯(lián)網(wǎng)時(shí)代木馬的技術(shù)特征感染型、Rootkit、內(nèi)核級驅(qū)動(dòng)保護(hù)等多種技術(shù)融合，經(jīng)過加殼及免殺處理，難以查殺；對抗殺毒軟件，入侵系統(tǒng)后直接使殺毒軟件失效；小眾化、針對性、變種繁多；充分利用Web2.0應(yīng)用提供的便利，主要以惡意網(wǎng)頁形式傳播〔網(wǎng)頁掛馬〕，通過操作系統(tǒng)及第三方軟件漏洞入侵用戶計(jì)算機(jī)；制作簡單，本錢低〔一個(gè)高中生利用網(wǎng)上的木馬生成器即可制作〕傳統(tǒng)反病毒技術(shù)難以應(yīng)對爆炸性增長的木馬樣本難以采集殺毒軟件采用的特征碼掃描技術(shù)只能查殺木馬，是一種事后的處理方法。而越來越多的木馬是小眾化、針對性的盜號木馬，樣本難以被殺毒廠商采集，因此無法查殺；處理能力的瓶頸木馬爆發(fā)的種類、數(shù)量已經(jīng)遠(yuǎn)遠(yuǎn)超過任何一個(gè)平安廠商的處理能力，平安廠商被迫陷入人海戰(zhàn)術(shù)的困境；殺毒軟件的兩難境地：巨量的木馬樣本特征無法放在終端病毒庫中，否那么將嚴(yán)重消耗電腦資源；事后的查殺無法挽回?fù)p失木馬一旦侵入系統(tǒng)，損失很可能已經(jīng)造成，事后查殺無法挽回用戶的損失；主動(dòng)防御技術(shù)尚不成熟可疑程序行為判定的準(zhǔn)確度低

操作系統(tǒng)、軟件環(huán)境的復(fù)雜性，軟件行為的多樣性，使得在整個(gè)系統(tǒng)范圍內(nèi)對軟件行為的進(jìn)行判定的準(zhǔn)確度難以保證；用戶干預(yù)過多 大量惡意軟件的行為特征與正常軟件往往難以區(qū)分，因此不得不通過用戶干預(yù)來確認(rèn)行為的合法性，而大多數(shù)用戶是沒有專業(yè)能力來判斷的，因此主動(dòng)防御要么變得無效，要么成為一種騷擾；智能化、實(shí)用化的主動(dòng)防御技術(shù)尚不成熟 如何準(zhǔn)確、智能地判定可疑的程序行為，并且無需用戶干預(yù)，這個(gè)技術(shù)仍然停留在實(shí)驗(yàn)室階段。殺毒軟件廠商正在開展不依賴于特征碼、通過行為特征判定來查殺未知木馬的主動(dòng)防御技術(shù)，但是這項(xiàng)技術(shù)尚不成熟：卡慢效果差傳統(tǒng)殺毒軟件面臨的問題龐大的資源占用造成卡機(jī)掃描慢木馬特征庫更新慢輕松被免殺跟不上木馬病毒的變化速度從網(wǎng)絡(luò)邊界平安到終端平安木馬也已成為政府機(jī)關(guān)及企業(yè)內(nèi)部電腦終端平安的主要威脅。大多數(shù)平安事件都是來自于終端惡意軟件的攻擊。但企業(yè)級網(wǎng)絡(luò)平安廠商以往更重視的是網(wǎng)絡(luò)邊界處的平安防護(hù)，無法有效應(yīng)對終端處的惡意軟件及木馬威脅。從網(wǎng)絡(luò)邊界平安到終端平安目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式云平安的根本原理：云計(jì)算中心對從用戶電腦采集到的可疑程序樣本依據(jù)其代碼特征、行為特征、生存周期、傳播趨勢進(jìn)行數(shù)據(jù)挖掘和智能分析，進(jìn)而判定惡意程序及其傳播規(guī)律，在惡意軟件傳播初期予以查殺。采集：從上億用戶終端電腦中采集可疑行為程序樣本及其行為特征效勞端云計(jì)算集群分析：經(jīng)過效勞端集群自動(dòng)分析處理，形成對惡意程序處置的指導(dǎo)規(guī)那么處置：惡意程序判定指導(dǎo)規(guī)那么反響回客戶端進(jìn)行處置基于云計(jì)算模式的平安技術(shù)和效勞是開展趨勢擁有3億互聯(lián)網(wǎng)用戶近萬臺(tái)云計(jì)算效勞器處理海量樣本識(shí)別和查詢?nèi)蝿?wù)每日處理數(shù)百億次查詢每日發(fā)現(xiàn)上百萬新木馬平均處理時(shí)間僅30秒360云平安技術(shù)效勞示意云端文件知識(shí)庫的完備性云查詢的快速實(shí)時(shí)響應(yīng)對未知文件的實(shí)時(shí)分析處理云平安需要解決的三大問題白名單的完備性云平安中最大的難點(diǎn)360白名單已經(jīng)覆蓋98%的合法程序黑名單的積累每日發(fā)現(xiàn)200萬以上的新增木馬病毒新程序的收集能力搜索引擎的蜘蛛技術(shù)3億用戶保證即時(shí)發(fā)現(xiàn)、不遺漏360軟件認(rèn)證效勞手工收集和人工甄別日收集新程序：1000萬云端文件知識(shí)庫的三大要素基于奇虎強(qiáng)大的搜索引擎技術(shù)千億規(guī)模下高性能查詢：單機(jī)存儲(chǔ)10億條文件平安信息單機(jī)QPS>10000高可靠性、高穩(wěn)定性高性能云查詢響應(yīng)能力未知文件的自動(dòng)分析處理多樣性的未知文件自動(dòng)分析機(jī)制文件特征、行為特征、智能啟發(fā)、統(tǒng)計(jì)分類……奇虎云計(jì)算平臺(tái)實(shí)現(xiàn)海量處理能力日均2000萬樣本處理能力30秒平均響應(yīng)時(shí)間例：對黑白樣本生命周期的統(tǒng)計(jì)分析：黑1黑2白1白2云端對未知文件的自動(dòng)分析處理：例如1例：進(jìn)一步利用上述統(tǒng)計(jì)對樣本進(jìn)行自動(dòng)分類：絕大多數(shù)黑絕大多數(shù)白類一類二類三類四類五類六黑白平均云端對未知文件的自動(dòng)分析處理：例如1基于機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘的惡意軟件自動(dòng)識(shí)別：云端對未知文件的自動(dòng)分析處理：例如2實(shí)驗(yàn)室識(shí)別準(zhǔn)確率超過90%；性能目前至少可以到達(dá)每秒分析1000個(gè)以上的樣本；算法可以支持并行化；云端對未知文件的自動(dòng)分析處理：例如3沙箱惡意軟件/網(wǎng)頁動(dòng)態(tài)檢測環(huán)境云端對未知文件的自動(dòng)分析處理：例如4基于搜索引擎技術(shù)的惡意網(wǎng)址反向分析云平安需要的核心技術(shù)：大規(guī)模分布式并行計(jì)算技術(shù)海量數(shù)據(jù)存儲(chǔ)技術(shù)海量數(shù)據(jù)自動(dòng)分析和挖掘技術(shù)未知惡意軟件的自動(dòng)分析識(shí)別技術(shù)未知惡意軟件的行為監(jiān)控和審計(jì)技術(shù)海量惡意網(wǎng)頁自動(dòng)檢測海量白名單采集及自動(dòng)更新高性能并發(fā)查詢引擎云平安需要的核心技術(shù)云平安對保護(hù)根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的平安穩(wěn)定運(yùn)行具有重大的意義：遏制平安事件于萌芽狀態(tài)大多數(shù)平安事件都是來自于終端惡意軟件的攻擊。云平安技術(shù)可以克服傳統(tǒng)病毒查殺技術(shù)的缺點(diǎn)，零時(shí)差地實(shí)現(xiàn)對惡意軟件的判定、查殺更，從而將平安事件扼殺在萌芽狀態(tài)。應(yīng)急預(yù)警與漏洞消控

云平安體系可監(jiān)測整個(gè)中國互聯(lián)網(wǎng)的惡意軟件和惡意網(wǎng)頁，可在第一時(shí)間發(fā)現(xiàn)新的漏洞利用0day漏洞以及定向攻擊，為國家重要信息系統(tǒng)提供平安事件的應(yīng)急預(yù)警和漏洞消控效勞；奠定國家可信軟件管理根底

海量白名單技術(shù)將為實(shí)現(xiàn)國家可控的可信軟件配置管理奠定根底；云平安技術(shù)的重要意義目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式〔數(shù)據(jù)來源:iResearch〕360平安衛(wèi)士360殺毒360：國內(nèi)最大的個(gè)人網(wǎng)絡(luò)平安效勞提供商免費(fèi)的360系列產(chǎn)品已經(jīng)覆蓋3億用戶，占據(jù)80%的網(wǎng)民全球最大的云平安系統(tǒng)360平安衛(wèi)士用戶數(shù)：超過3億日均未知樣本分析數(shù)：1000萬日均檢測網(wǎng)頁：2000萬日均云查詢數(shù)：超過500億次累計(jì)文件知識(shí)庫：6億白名單覆蓋率：98%未知樣本平均處理時(shí)間：<30秒IDC機(jī)房數(shù)：120個(gè)帶寬：200+G效勞器數(shù)：近萬臺(tái)全球最大的云平安系統(tǒng)輕快強(qiáng)輕巧、不卡機(jī)比傳統(tǒng)殺軟快10倍無需更新特征庫即能查殺新木馬從發(fā)現(xiàn)、處理到用戶查殺僅需30秒龐大的用戶社區(qū)，捕獲新木馬快而全最大的云端黑白名單+本地智能規(guī)那么360云查殺輕松解決傳統(tǒng)殺軟的問題基于云平安的主動(dòng)防御技術(shù)，有效減少用戶干預(yù)360云平安的應(yīng)用：主動(dòng)防御云平安鑒別瀏覽器中的掛馬、釣魚、欺詐網(wǎng)頁每日鑒別網(wǎng)址數(shù)：30億360云平安的應(yīng)用：瀏覽器360殺毒采用云平安、特征掃描雙引擎運(yùn)用云查殺引擎360云平安的應(yīng)用：殺毒引擎隱私承諾文件上傳明確聲明僅上傳可執(zhí)行程序源代碼托管參加IAPP隱私保護(hù)協(xié)會(huì)360云平安的用戶隱私保護(hù)目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)平安趨勢傳統(tǒng)網(wǎng)絡(luò)平安技術(shù)的困境基于云計(jì)算模式的網(wǎng)絡(luò)平安防護(hù)體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式創(chuàng)新的信息平安效勞模式：根底效勞免費(fèi)+增值效勞收費(fèi)