1、奇 虎 360 智能化时代 : 360 安全产品与 技术汇报 天擎 终端管理 私有云杀毒 XP盾甲 终端准入 安全邮件 安全浏览器 PC BYOD 移动终端 天机 终端安全 天眼 日志分析 天巡 APT 检测 大 数据 分析 过程回溯 无线安全 边界安全 网站漏洞扫描 网站在线防御 网站 安全 鹰眼 网站卫士 源代码 安全 源代码 检查 奇虎测腾 源代码 卫士 安全基础 研究 (漏洞挖掘) 攻防对抗 开収与技术平台 产品 团队 方向 基础 服务 面向 政企的标准化服务体系 奇 虎 360 云 时代杀毒: 360 私有 云杀毒系统 目录 杀毒的窘境与 360 私有云 法令、法规与合规 虚拟化环境
2、下的杀毒新理念 病毒数据 : 传统杀 软如同大海捞针 来自 360云安全中心的一组数字: 病毒 查杀 率: 1% 病毒 漏 杀 率 99% 已累积病毒存量 20亿 传统杀软病毒 库 30万 新生病毒平均活跃期 8小时 新生病毒 : 8小时以内具有极强的感染力 老病毒 : 传统杀软病毒库无法覆盖导致反复感染 宏病毒 : 绝大多数杀软无法进行有效查杀 未知 病毒 : 传统杀软无法查杀,病毒针对性强,破坏力大 威胁在哪里: 360病毒处理问题汇总 老病毒反复 感染 80% 宏 病毒无法查杀 15% 未知 病毒破坏力大( 1%) 新 病毒 感染力强 ( 4%) 我们需要 的是什么 ? 智能杀毒 网络版
3、杀毒 单机版杀毒 ? 基于病毒特征码 离线更新 基于病毒特征码 在线更新 无特征码 人工智能与行为分析 360私有云杀毒: 系统 架构 “云 + 端”系统架构 私 有云杀毒 公有云杀毒 多类型终端 隔离网升级工具 升级、管理 查杀 管理 老病毒 : 私有云查杀 + 双 AV引擎 私 有云杀毒 4亿病毒库 2000万文件白名单库 单 设备支撑 10000终端在线查杀 双病毒 引擎 脚本 型病毒引擎 1000万病毒库 文件 MD5 在 360为用户清除顽固型病毒的服务过程中収现:反复感染、屡杀不尽的病毒多为陈旧的老病毒 通过 360私有云的海量病毒引擎,可以将终端病毒的查杀能力提升 40倍 私 有
4、云杀毒 4亿病毒库 2000万文件白名单库 单 设备支撑 10000终端在线查杀 QEX 宏 格式判定 宏提取 宏 格式解析 宏虚拟执行 文件 MD5 私有 云端负责已有宏病毒的特征匹配 QEX完成对变种、新生宏病毒的虚拟执行 宏 病毒: 私有 云 + QEX 宏病毒: QEX引擎(非 PE文件病毒查杀引擎) Office 文件: word、 execle、 rtf、 ole Windows : 非 PE格式文件 Java : Jar、 class AutoCAD: 工程图纸文件 Adobe : pdf、 photoshop Web 文件: html、 xml、 php、 asp、 jsp、
5、crx 脚本文件: Javascrips、 VBE、 VBS 非 PE可执行文件: bootsector、 coff、 mz、 elf 多媒体文件: bpm、 tif、 gif 安装 文件: nsis_bin 苹果操作系统文件: mach-o、 mach-o-64、 mach-o-fat 结构性文件: mime、 unicode 新 病毒: 私有 云 + QVM + HIPS 私 有云杀毒 同步 4.57亿终端用户最新病毒信息 为内网终端用户提供最新的病毒查杀服务 公有云杀毒 収现并上报 新病毒 升级 智能 查 毒: QVM 主动 防御: HIPS 未知病毒: 沙箱 + QVM + HIPS
6、特种 木马 & APT: 私有云白名单(非白即黑) 私 有云杀毒 2000万文件白名单 全面 :涵盖绝大多数主流的应用 有效 :“非白即黑”,非白名单中的文件禁止 运行 准确 :通过 MD5定位具体 应用 灵活 :可根据情况对应用进行加百处理 网页木马 : 私有 云 + QVM 私 有云杀毒 4亿病毒库 2000万文件白名单库 单 设备支撑 10000终端在线查杀 网页木马 恶意 URL URL 私有 云端负责网页木马的匹配 本地完成对网页木马与恶意 URL的拦截 病毒查杀全景图 QEX 老 病毒 宏病毒 新 病毒 未知病毒 网页 病毒 特 马 & APT 我们需要 的是什么 ? 智能杀毒 网
7、络版杀毒 单机版杀毒 全国病毒协同查杀平台 基于病毒特征码 离线更新 基于病毒特征码 在线更新 无特征码 人工智能与行为分析 全国 联防 公私分离 黑白结合 私有 云杀毒: 平台需求 Windows 2008 / 2003 / 7 / XP / Vista 数据库: Postgre SQL Web Server: Tomcat( 80、 8888) 安装包 大小: 90 MB 磁盘 空间: 80 GB 内存: 2 GB Windows 2008 / 2003 / 7 / XP / Vista 浏览器: IE 、 Firefox、 360浏览器 安装包 大小: 90 MB 磁盘 空间: 内存:不
8、低于 512 MB 服务端 客户 端 目录 杀毒 的窘境与 360 私有云 法令、法规与合规 虚拟 化环境下的杀毒新理念 法令、法规与合规: 斯诺登事件 美国网络战的尖刀:第 24航空队, 2010年 1月 25日成立,人数超过 10000人 美国网络部队: 27支防御部队 + 13支攻击部队,总人数超 10万 ,其中司令部人员 4900人,由电脑专家、职业黑客组成,大多数成员智商 140以上,被外界称为 “ 140”部队 位于美国马里兰州米德基地的美国网战部队总部 法令、法规与合规: 美国人卖给我们的是什么 防御体系 终端防御 边界 防御 专家 监控 统一协调 白宫 网络沙皇 普通安全级:终
9、端安全软件 高 安全级别( APT):白名单( Bit9) 监听类 防御 类 爱因斯坦计划: IDS 国防部定制: Seminole 爱因斯坦计划: IPS 高安全 级别 ( APT) : Fireeye 国防部: 7 x 24 专家监控 美国网络 部队 7 x 24 监控 网络部队 US-Cert 联邦政府 安全公司 目录 杀毒 的窘境与 360 私有云 法令、法规与合规 虚拟化环境下的杀毒新理念 虚拟 化环境: 代理模式 B C A 全代理 模式 杀 毒虚拟终端适配 资源占用率 高 查杀效果好 推行内部市场,是与社会市场大市场接轨的客观要求 推行内部市场,是加强企业管理,提供经济效益的需要 轻代理模式 资源 占用率低 结合云资源 查杀 效果最好 无 代理模式 资源 占用率最低 难以结合云资源 查杀 效果较好 360新型防御体系全景图: 混合云 安全源于未雨绸缪 感谢聆听