奇虎-互联网时代恶意软件特点及云安全技术

互联网时代的恶意软件

及云平安技术360公司2021年8月目录平安已成为互联网根底需求互联网时代的网络平安趋势传统网络平安技术的困境基于云计算模式的网络平安防护体系360的云平安产品和效劳创新的信息平安效劳模式随着互联网与人们生活的结合日益紧密，用户在使用任何互联网应用时都可能遭遇到平安威胁。用户终端及网络的平安已成为互联网的根底效劳需求。网络浏览下载安装软件搜索即时通信影音播放网络游戏网上银行/证券网上购物……平安成为互联网的根底效劳需求〔Infrastructure〕电子邮件平安是互联网的根底需求从杀毒到泛平安用户的平安需求已不仅仅是传统的反病毒，而是扩展到了反恶意软件、反木马、浏览平安、隐私平安、个人数据平安等泛平安领域：终端平安从反病毒扩展到更多的泛平安领域目录平安已成为互联网根底需求互联网时代的网络平安趋势传统网络平安技术的困境基于云计算模式的网络平安防护体系360的云平安产品和效劳创新的信息平安效劳模式木马：互联网平安的主要威胁单机系统时代，病毒是电脑平安的主要威胁：传播介质：磁盘等移动介质传播方式：交叉感染传播目的：破坏电脑系统互联网络时代，木马是电脑平安的主要威胁：传播介质：互联网络传播方式：网格状交叉模式传播目的：非法获取财产木马侵犯用户财产的方式多种多样木马形式多样，角色各异盗号木马：盗取虚拟财产僵尸网络：对网站等攻击、勒索肉鸡木马：在用户的电脑中弹出广告间谍木马：窃取隐私和商业机密木马已形成上百亿元的灰色产业链灰鸽子木马产业链示意图木马已经形成了造马、改马、卖马、买马、发马、挂马、盗号、销赃等分工明确的灰色产业链，从业人数以十万计：他们已经在利用Web2.0来组建自己的社区，并可在这些社区中非常容易地进行交流、分享，从而极大地降低了制作木马、黑客工具的门槛：讨论、交流木马制作、黑客经验分享木马和黑客工具代码木马和黑客技术培训〔师傅带徒弟〕提供和出售现成的木马、黑客工具〔通常是几十元的极低价格〕依托Web2.0提供的便利，木马、黑客的制作也已形成了“人民战争〞，从业人员达数十万；而且他们之间分工协作，形成了技术和经济的产业链；由于这些Web2.0社区的虚拟性〔这些人在现实世界可能互不认识〕、自组织和去中心化〔分散性〕，给打击木马、黑客犯罪带来了困难，难以取证，也难以找到木马或黑客程序的源头。WEB2.0给网络平安带来的影响木马、黑客组织已经Web2.0化：WEB2.0给网络平安带来的影响–续Web2.0的社区分享极大地促进了木马技术的开展：木马作者和黑客充分利用了Web2.0的分享和协作机制，发挥群体智慧，使得木马技术日益高级和复杂，其升级和进化的速度远超从前；通过Web2.0社区的分享交流，制作木马的技术难度和本钱急剧降低〔几十元钱即可从互联网上买到现成的木马生成及免杀工具〕，从而为木马数量的爆炸性增长创造了条件；Web2.0社区的长尾特性，也使得木马的种类〔变种〕极其繁多，大量的木马是小众化〔传播面小〕、针对性的木马。这些木马的样本难以被采集，因而传统的杀毒软件难以有效查杀。互联网时代木马传播方式日益多样化互联网为木马提供了多样化的传播途径，使之无需像病毒那样依靠感染即可大规模传播：多样化的木马传播途径结果：恶意软件的“摩尔定律〞来自360平安中心近几年截获的样本数据：新增木马数每年增加十倍近几年360截获的恶意软件样本数目录平安已成为互联网根底需求互联网时代的网络平安趋势传统网络平安技术的困境基于云计算模式的网络平安防护体系360的云平安产品和效劳创新的信息平安效劳模式互联网时代木马的技术特征感染型、Rootkit、内核级驱动保护等多种技术融合，经过加壳及免杀处理，难以查杀；对抗杀毒软件，入侵系统后直接使杀毒软件失效；小众化、针对性、变种繁多；充分利用Web2.0应用提供的便利，主要以恶意网页形式传播〔网页挂马〕，通过操作系统及第三方软件漏洞入侵用户计算机；制作简单，本钱低〔一个高中生利用网上的木马生成器即可制作〕传统反病毒技术难以应对爆炸性增长的木马样本难以采集杀毒软件采用的特征码扫描技术只能查杀木马，是一种事后的处理方法。而越来越多的木马是小众化、针对性的盗号木马，样本难以被杀毒厂商采集，因此无法查杀；处理能力的瓶颈木马爆发的种类、数量已经远远超过任何一个平安厂商的处理能力，平安厂商被迫陷入人海战术的困境；杀毒软件的两难境地：巨量的木马样本特征无法放在终端病毒库中，否那么将严重消耗电脑资源；事后的查杀无法挽回损失木马一旦侵入系统，损失很可能已经造成，事后查杀无法挽回用户的损失；主动防御技术尚不成熟可疑程序行为判定的准确度低

操作系统、软件环境的复杂性，软件行为的多样性，使得在整个系统范围内对软件行为的进行判定的准确度难以保证；用户干预过多 大量恶意软件的行为特征与正常软件往往难以区分，因此不得不通过用户干预来确认行为的合法性，而大多数用户是没有专业能力来判断的，因此主动防御要么变得无效，要么成为一种骚扰；智能化、实用化的主动防御技术尚不成熟 如何准确、智能地判定可疑的程序行为，并且无需用户干预，这个技术仍然停留在实验室阶段。杀毒软件厂商正在开展不依赖于特征码、通过行为特征判定来查杀未知木马的主动防御技术，但是这项技术尚不成熟：卡慢效果差传统杀毒软件面临的问题庞大的资源占用造成卡机扫描慢木马特征库更新慢轻松被免杀跟不上木马病毒的变化速度从网络边界平安到终端平安木马也已成为政府机关及企业内部电脑终端平安的主要威胁。大多数平安事件都是来自于终端恶意软件的攻击。但企业级网络平安厂商以往更重视的是网络边界处的平安防护，无法有效应对终端处的恶意软件及木马威胁。从网络边界平安到终端平安目录平安已成为互联网根底需求互联网时代的网络平安趋势传统网络平安技术的困境基于云计算模式的网络平安防护体系360的云平安产品和效劳创新的信息平安效劳模式云平安的根本原理：云计算中心对从用户电脑采集到的可疑程序样本依据其代码特征、行为特征、生存周期、传播趋势进行数据挖掘和智能分析，进而判定恶意程序及其传播规律，在恶意软件传播初期予以查杀。采集：从上亿用户终端电脑中采集可疑行为程序样本及其行为特征效劳端云计算集群分析：经过效劳端集群自动分析处理，形成对恶意程序处置的指导规那么处置：恶意程序判定指导规那么反响回客户端进行处置基于云计算模式的平安技术和效劳是开展趋势拥有3亿互联网用户近万台云计算效劳器处理海量样本识别和查询任务每日处理数百亿次查询每日发现上百万新木马平均处理时间仅30秒360云平安技术效劳示意云端文件知识库的完备性云查询的快速实时响应对未知文件的实时分析处理云平安需要解决的三大问题白名单的完备性云平安中最大的难点360白名单已经覆盖98%的合法程序黑名单的积累每日发现200万以上的新增木马病毒新程序的收集能力搜索引擎的蜘蛛技术3亿用户保证即时发现、不遗漏360软件认证效劳手工收集和人工甄别日收集新程序：1000万云端文件知识库的三大要素基于奇虎强大的搜索引擎技术千亿规模下高性能查询：单机存储10亿条文件平安信息单机QPS>10000高可靠性、高稳定性高性能云查询响应能力未知文件的自动分析处理多样性的未知文件自动分析机制文件特征、行为特征、智能启发、统计分类……奇虎云计算平台实现海量处理能力日均2000万样本处理能力30秒平均响应时间例：对黑白样本生命周期的统计分析：黑1黑2白1白2云端对未知文件的自动分析处理：例如1例：进一步利用上述统计对样本进行自动分类：绝大多数黑绝大多数白类一类二类三类四类五类六黑白平均云端对未知文件的自动分析处理：例如1基于机器学习和数据挖掘的恶意软件自动识别：云端对未知文件的自动分析处理：例如2实验室识别准确率超过90%；性能目前至少可以到达每秒分析1000个以上的样本；算法可以支持并行化；云端对未知文件的自动分析处理：例如3沙箱恶意软件/网页动态检测环境云端对未知文件的自动分析处理：例如4基于搜索引擎技术的恶意网址反向分析云平安需要的核心技术：大规模分布式并行计算技术海量数据存储技术海量数据自动分析和挖掘技术未知恶意软件的自动分析识别技术未知恶意软件的行为监控和审计技术海量恶意网页自动检测海量白名单采集及自动更新高性能并发查询引擎云平安需要的核心技术云平安对保护根底信息网络和重要信息系统的平安稳定运行具有重大的意义：遏制平安事件于萌芽状态大多数平安事件都是来自于终端恶意软件的攻击。云平安技术可以克服传统病毒查杀技术的缺点，零时差地实现对恶意软件的判定、查杀更，从而将平安事件扼杀在萌芽状态。应急预警与漏洞消控

云平安体系可监测整个中国互联网的恶意软件和恶意网页，可在第一时间发现新的漏洞利用0day漏洞以及定向攻击，为国家重要信息系统提供平安事件的应急预警和漏洞消控效劳；奠定国家可信软件管理根底

海量白名单技术将为实现国家可控的可信软件配置管理奠定根底；云平安技术的重要意义目录平安已成为互联网根底需求互联网时代的网络平安趋势传统网络平安技术的困境基于云计算模式的网络平安防护体系360的云平安产品和效劳创新的信息平安效劳模式〔数据来源:iResearch〕360平安卫士360杀毒360：国内最大的个人网络平安效劳提供商免费的360系列产品已经覆盖3亿用户，占据80%的网民全球最大的云平安系统360平安卫士用户数：超过3亿日均未知样本分析数：1000万日均检测网页：2000万日均云查询数：超过500亿次累计文件知识库：6亿白名单覆盖率：98%未知样本平均处理时间：<30秒IDC机房数：120个带宽：200+G效劳器数：近万台全球最大的云平安系统轻快强轻巧、不卡机比传统杀软快10倍无需更新特征库即能查杀新木马从发现、处理到用户查杀仅需30秒庞大的用户社区，捕获新木马快而全最大的云端黑白名单+本地智能规那么360云查杀轻松解决传统杀软的问题基于云平安的主动防御技术，有效减少用户干预360云平安的应用：主动防御云平安鉴别浏览器中的挂马、钓鱼、欺诈网页每日鉴别网址数：30亿360云平安的应用：浏览器360杀毒采用云平安、特征扫描双引擎运用云查杀引擎360云平安的应用：杀毒引擎隐私承诺文件上传明确声明仅上传可执行程序源代码托管参加IAPP隐私保护协会360云平安的用户隐私保护目录平安已成为互联网根底需求互联网时代的网络平安趋势传统网络平安技术的困境基于云计算模式的网络平安防护体系360的云平安产品和效劳创新的信息平安效劳模式创新的信息平安效劳模式：根底效劳免费+增值效劳收费