奇虎-互聯(lián)網(wǎng)時代惡意軟件特點及云安全技術

互聯(lián)網(wǎng)時代的惡意軟件

及云平安技術360公司2021年8月目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時代的網(wǎng)絡平安趨勢傳統(tǒng)網(wǎng)絡平安技術的困境基于云計算模式的網(wǎng)絡平安防護體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式隨著互聯(lián)網(wǎng)與人們生活的結合日益緊密，用戶在使用任何互聯(lián)網(wǎng)應用時都可能遭遇到平安威脅。用戶終端及網(wǎng)絡的平安已成為互聯(lián)網(wǎng)的根底效勞需求。網(wǎng)絡瀏覽下載安裝軟件搜索即時通信影音播放網(wǎng)絡游戲網(wǎng)上銀行/證券網(wǎng)上購物……平安成為互聯(lián)網(wǎng)的根底效勞需求〔Infrastructure〕電子郵件平安是互聯(lián)網(wǎng)的根底需求從殺毒到泛平安用戶的平安需求已不僅僅是傳統(tǒng)的反病毒，而是擴展到了反惡意軟件、反木馬、瀏覽平安、隱私平安、個人數(shù)據(jù)平安等泛平安領域：終端平安從反病毒擴展到更多的泛平安領域目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時代的網(wǎng)絡平安趨勢傳統(tǒng)網(wǎng)絡平安技術的困境基于云計算模式的網(wǎng)絡平安防護體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式木馬：互聯(lián)網(wǎng)平安的主要威脅單機系統(tǒng)時代，病毒是電腦平安的主要威脅：傳播介質(zhì)：磁盤等移動介質(zhì)傳播方式：交叉感染傳播目的：破壞電腦系統(tǒng)互聯(lián)網(wǎng)絡時代，木馬是電腦平安的主要威脅：傳播介質(zhì)：互聯(lián)網(wǎng)絡傳播方式：網(wǎng)格狀交叉模式傳播目的：非法獲取財產(chǎn)木馬侵犯用戶財產(chǎn)的方式多種多樣木馬形式多樣，角色各異盜號木馬：盜取虛擬財產(chǎn)僵尸網(wǎng)絡：對網(wǎng)站等攻擊、勒索肉雞木馬：在用戶的電腦中彈出廣告間諜木馬：竊取隱私和商業(yè)機密木馬已形成上百億元的灰色產(chǎn)業(yè)鏈灰鴿子木馬產(chǎn)業(yè)鏈示意圖木馬已經(jīng)形成了造馬、改馬、賣馬、買馬、發(fā)馬、掛馬、盜號、銷贓等分工明確的灰色產(chǎn)業(yè)鏈，從業(yè)人數(shù)以十萬計：他們已經(jīng)在利用Web2.0來組建自己的社區(qū)，并可在這些社區(qū)中非常容易地進行交流、分享，從而極大地降低了制作木馬、黑客工具的門檻：討論、交流木馬制作、黑客經(jīng)驗分享木馬和黑客工具代碼木馬和黑客技術培訓〔師傅帶徒弟〕提供和出售現(xiàn)成的木馬、黑客工具〔通常是幾十元的極低價格〕依托Web2.0提供的便利，木馬、黑客的制作也已形成了“人民戰(zhàn)爭〞，從業(yè)人員達數(shù)十萬；而且他們之間分工協(xié)作，形成了技術和經(jīng)濟的產(chǎn)業(yè)鏈；由于這些Web2.0社區(qū)的虛擬性〔這些人在現(xiàn)實世界可能互不認識〕、自組織和去中心化〔分散性〕，給打擊木馬、黑客犯罪帶來了困難，難以取證，也難以找到木馬或黑客程序的源頭。WEB2.0給網(wǎng)絡平安帶來的影響木馬、黑客組織已經(jīng)Web2.0化：WEB2.0給網(wǎng)絡平安帶來的影響–續(xù)Web2.0的社區(qū)分享極大地促進了木馬技術的開展：木馬作者和黑客充分利用了Web2.0的分享和協(xié)作機制，發(fā)揮群體智慧，使得木馬技術日益高級和復雜，其升級和進化的速度遠超從前；通過Web2.0社區(qū)的分享交流，制作木馬的技術難度和本錢急劇降低〔幾十元錢即可從互聯(lián)網(wǎng)上買到現(xiàn)成的木馬生成及免殺工具〕，從而為木馬數(shù)量的爆炸性增長創(chuàng)造了條件；Web2.0社區(qū)的長尾特性，也使得木馬的種類〔變種〕極其繁多，大量的木馬是小眾化〔傳播面小〕、針對性的木馬。這些木馬的樣本難以被采集，因而傳統(tǒng)的殺毒軟件難以有效查殺。互聯(lián)網(wǎng)時代木馬傳播方式日益多樣化互聯(lián)網(wǎng)為木馬提供了多樣化的傳播途徑，使之無需像病毒那樣依靠感染即可大規(guī)模傳播：多樣化的木馬傳播途徑結果：惡意軟件的“摩爾定律〞來自360平安中心近幾年截獲的樣本數(shù)據(jù)：新增木馬數(shù)每年增加十倍近幾年360截獲的惡意軟件樣本數(shù)目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時代的網(wǎng)絡平安趨勢傳統(tǒng)網(wǎng)絡平安技術的困境基于云計算模式的網(wǎng)絡平安防護體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式互聯(lián)網(wǎng)時代木馬的技術特征感染型、Rootkit、內(nèi)核級驅(qū)動保護等多種技術融合，經(jīng)過加殼及免殺處理，難以查殺；對抗殺毒軟件，入侵系統(tǒng)后直接使殺毒軟件失效；小眾化、針對性、變種繁多；充分利用Web2.0應用提供的便利，主要以惡意網(wǎng)頁形式傳播〔網(wǎng)頁掛馬〕，通過操作系統(tǒng)及第三方軟件漏洞入侵用戶計算機；制作簡單，本錢低〔一個高中生利用網(wǎng)上的木馬生成器即可制作〕傳統(tǒng)反病毒技術難以應對爆炸性增長的木馬樣本難以采集殺毒軟件采用的特征碼掃描技術只能查殺木馬，是一種事后的處理方法。而越來越多的木馬是小眾化、針對性的盜號木馬，樣本難以被殺毒廠商采集，因此無法查殺；處理能力的瓶頸木馬爆發(fā)的種類、數(shù)量已經(jīng)遠遠超過任何一個平安廠商的處理能力，平安廠商被迫陷入人海戰(zhàn)術的困境；殺毒軟件的兩難境地：巨量的木馬樣本特征無法放在終端病毒庫中，否那么將嚴重消耗電腦資源；事后的查殺無法挽回損失木馬一旦侵入系統(tǒng)，損失很可能已經(jīng)造成，事后查殺無法挽回用戶的損失；主動防御技術尚不成熟可疑程序行為判定的準確度低

操作系統(tǒng)、軟件環(huán)境的復雜性，軟件行為的多樣性，使得在整個系統(tǒng)范圍內(nèi)對軟件行為的進行判定的準確度難以保證；用戶干預過多 大量惡意軟件的行為特征與正常軟件往往難以區(qū)分，因此不得不通過用戶干預來確認行為的合法性，而大多數(shù)用戶是沒有專業(yè)能力來判斷的，因此主動防御要么變得無效，要么成為一種騷擾；智能化、實用化的主動防御技術尚不成熟 如何準確、智能地判定可疑的程序行為，并且無需用戶干預，這個技術仍然停留在實驗室階段。殺毒軟件廠商正在開展不依賴于特征碼、通過行為特征判定來查殺未知木馬的主動防御技術，但是這項技術尚不成熟：卡慢效果差傳統(tǒng)殺毒軟件面臨的問題龐大的資源占用造成卡機掃描慢木馬特征庫更新慢輕松被免殺跟不上木馬病毒的變化速度從網(wǎng)絡邊界平安到終端平安木馬也已成為政府機關及企業(yè)內(nèi)部電腦終端平安的主要威脅。大多數(shù)平安事件都是來自于終端惡意軟件的攻擊。但企業(yè)級網(wǎng)絡平安廠商以往更重視的是網(wǎng)絡邊界處的平安防護，無法有效應對終端處的惡意軟件及木馬威脅。從網(wǎng)絡邊界平安到終端平安目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時代的網(wǎng)絡平安趨勢傳統(tǒng)網(wǎng)絡平安技術的困境基于云計算模式的網(wǎng)絡平安防護體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式云平安的根本原理：云計算中心對從用戶電腦采集到的可疑程序樣本依據(jù)其代碼特征、行為特征、生存周期、傳播趨勢進行數(shù)據(jù)挖掘和智能分析，進而判定惡意程序及其傳播規(guī)律，在惡意軟件傳播初期予以查殺。采集：從上億用戶終端電腦中采集可疑行為程序樣本及其行為特征效勞端云計算集群分析：經(jīng)過效勞端集群自動分析處理，形成對惡意程序處置的指導規(guī)那么處置：惡意程序判定指導規(guī)那么反響回客戶端進行處置基于云計算模式的平安技術和效勞是開展趨勢擁有3億互聯(lián)網(wǎng)用戶近萬臺云計算效勞器處理海量樣本識別和查詢?nèi)蝿彰咳仗幚頂?shù)百億次查詢每日發(fā)現(xiàn)上百萬新木馬平均處理時間僅30秒360云平安技術效勞示意云端文件知識庫的完備性云查詢的快速實時響應對未知文件的實時分析處理云平安需要解決的三大問題白名單的完備性云平安中最大的難點360白名單已經(jīng)覆蓋98%的合法程序黑名單的積累每日發(fā)現(xiàn)200萬以上的新增木馬病毒新程序的收集能力搜索引擎的蜘蛛技術3億用戶保證即時發(fā)現(xiàn)、不遺漏360軟件認證效勞手工收集和人工甄別日收集新程序：1000萬云端文件知識庫的三大要素基于奇虎強大的搜索引擎技術千億規(guī)模下高性能查詢：單機存儲10億條文件平安信息單機QPS>10000高可靠性、高穩(wěn)定性高性能云查詢響應能力未知文件的自動分析處理多樣性的未知文件自動分析機制文件特征、行為特征、智能啟發(fā)、統(tǒng)計分類……奇虎云計算平臺實現(xiàn)海量處理能力日均2000萬樣本處理能力30秒平均響應時間例：對黑白樣本生命周期的統(tǒng)計分析：黑1黑2白1白2云端對未知文件的自動分析處理：例如1例：進一步利用上述統(tǒng)計對樣本進行自動分類：絕大多數(shù)黑絕大多數(shù)白類一類二類三類四類五類六黑白平均云端對未知文件的自動分析處理：例如1基于機器學習和數(shù)據(jù)挖掘的惡意軟件自動識別：云端對未知文件的自動分析處理：例如2實驗室識別準確率超過90%；性能目前至少可以到達每秒分析1000個以上的樣本；算法可以支持并行化；云端對未知文件的自動分析處理：例如3沙箱惡意軟件/網(wǎng)頁動態(tài)檢測環(huán)境云端對未知文件的自動分析處理：例如4基于搜索引擎技術的惡意網(wǎng)址反向分析云平安需要的核心技術：大規(guī)模分布式并行計算技術海量數(shù)據(jù)存儲技術海量數(shù)據(jù)自動分析和挖掘技術未知惡意軟件的自動分析識別技術未知惡意軟件的行為監(jiān)控和審計技術海量惡意網(wǎng)頁自動檢測海量白名單采集及自動更新高性能并發(fā)查詢引擎云平安需要的核心技術云平安對保護根底信息網(wǎng)絡和重要信息系統(tǒng)的平安穩(wěn)定運行具有重大的意義：遏制平安事件于萌芽狀態(tài)大多數(shù)平安事件都是來自于終端惡意軟件的攻擊。云平安技術可以克服傳統(tǒng)病毒查殺技術的缺點，零時差地實現(xiàn)對惡意軟件的判定、查殺更，從而將平安事件扼殺在萌芽狀態(tài)。應急預警與漏洞消控

云平安體系可監(jiān)測整個中國互聯(lián)網(wǎng)的惡意軟件和惡意網(wǎng)頁，可在第一時間發(fā)現(xiàn)新的漏洞利用0day漏洞以及定向攻擊，為國家重要信息系統(tǒng)提供平安事件的應急預警和漏洞消控效勞；奠定國家可信軟件管理根底

海量白名單技術將為實現(xiàn)國家可控的可信軟件配置管理奠定根底；云平安技術的重要意義目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時代的網(wǎng)絡平安趨勢傳統(tǒng)網(wǎng)絡平安技術的困境基于云計算模式的網(wǎng)絡平安防護體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式〔數(shù)據(jù)來源:iResearch〕360平安衛(wèi)士360殺毒360：國內(nèi)最大的個人網(wǎng)絡平安效勞提供商免費的360系列產(chǎn)品已經(jīng)覆蓋3億用戶，占據(jù)80%的網(wǎng)民全球最大的云平安系統(tǒng)360平安衛(wèi)士用戶數(shù)：超過3億日均未知樣本分析數(shù)：1000萬日均檢測網(wǎng)頁：2000萬日均云查詢數(shù)：超過500億次累計文件知識庫：6億白名單覆蓋率：98%未知樣本平均處理時間：<30秒IDC機房數(shù)：120個帶寬：200+G效勞器數(shù)：近萬臺全球最大的云平安系統(tǒng)輕快強輕巧、不卡機比傳統(tǒng)殺軟快10倍無需更新特征庫即能查殺新木馬從發(fā)現(xiàn)、處理到用戶查殺僅需30秒龐大的用戶社區(qū)，捕獲新木馬快而全最大的云端黑白名單+本地智能規(guī)那么360云查殺輕松解決傳統(tǒng)殺軟的問題基于云平安的主動防御技術，有效減少用戶干預360云平安的應用：主動防御云平安鑒別瀏覽器中的掛馬、釣魚、欺詐網(wǎng)頁每日鑒別網(wǎng)址數(shù)：30億360云平安的應用：瀏覽器360殺毒采用云平安、特征掃描雙引擎運用云查殺引擎360云平安的應用：殺毒引擎隱私承諾文件上傳明確聲明僅上傳可執(zhí)行程序源代碼托管參加IAPP隱私保護協(xié)會360云平安的用戶隱私保護目錄平安已成為互聯(lián)網(wǎng)根底需求互聯(lián)網(wǎng)時代的網(wǎng)絡平安趨勢傳統(tǒng)網(wǎng)絡平安技術的困境基于云計算模式的網(wǎng)絡平安防護體系360的云平安產(chǎn)品和效勞創(chuàng)新的信息平安效勞模式創(chuàng)新的信息平安效勞模式：根底效勞免費+增值效勞收費