360天眼新一代威胁感知系统白皮书.pdf-道客多多

资源描述

1、 360 天眼新一代威胁感知系统白皮书北京奇虎科技有限公司 2013 年 12 月版权声明北京奇虎科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外 ,其著作权或其他相关权利均属于北京奇虎科技有限公司。未经北京奇虎科技有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京奇虎科技有限公司在编写该文档的时候已尽最大努力保证其内

2、容准确可靠，但北京奇虎科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。意见反馈如有任何宝贵意见，请反馈：信箱：北京市朝阳区酒仙桥路 6 号院 2 号楼邮编： 100015 电话： 010-58542764 邮件： qiyeban- 目录 1、网络攻击核武器出现： APT 1 2、传统安全设备无法抵御 APT 攻击 2 3、新一代检测技术已经出现 . 3 4、 360 天眼新一代威胁感知系统 4 4.1 产品架构 4 4.2 主要功能 6 4.2.1 威胁检测能力 6 4.2.2 威胁管理能力 . 9 4.3 产品特点 9 4.4 产品部署 10 产品白皮书 3

3、60 天眼新一代威胁感知系统（ TSS） 1 1、网络攻击核武器出现： APT 网络安全硝烟弥漫 2010 年之后，网络安全形势不断恶化，各种攻击技术飞速发展、新型攻击技术不断出现并自成体系、日臻完善。攻击行为开始由个人英雄主义逐渐发展成集团化经济犯罪、有预谋的国家行为，至今已经发展成为以获取高价值核心商业机密、高价值核心技术为目的的有组织行为，更让人担忧的是：网络攻击与渗透事实上已经成为一种独立的军事打击手段并在超级大国的政治较量与军事对抗中付诸使用。世界各国积极备战美国几大情报部门还共同对外发布了年度 “世界范围内威胁 ”评估报告，史无前例地将网络攻击列在了对美国国家安全构成巨大威胁

4、第一位置，着墨之重一跃超过了对阿富汗极端恐怖组织的描述。超级大国枕戈待旦 2012 年 12 月，美国国家安全局局长、军方网络战司令部基思亚历山大将军告诉国会，美国已经拥有 40 支网络部队，其中 13 支由程序员和电脑专家组成，重点任务是在美国的网络遭受重大攻击时，向其他国家发起进攻性网络攻击。这40 支部队中 13 支确定是用来进攻的，而此前美国官方和军方论及该国网络政策时，基本都是宣称要保护美国免遭外国黑客攻击，而不是主动发起攻击。网络攻击的核武器： APT 攻击自从网络攻击出现了国家行为并被利用于军事目的之后，一种新的攻击形式：APT(Advanced Persistent

5、Threat)攻击便逐渐浮出水面，可以说 APT 攻击是真正能够对大型组织、机构、国家产生严重威胁并可能造成重大损害的网络攻击形式，也是目前各国、各大黑客团体深入研究并广泛采用的攻击形式。因其具有高度隐蔽性、长期潜伏性、破坏严重性等前所未有的攻击特性，成为商业间谍、技术间产品白皮书 360 天眼新一代威胁感知系统（ TSS） 2 谍、政治间谍、军事间谍等谍报部门发起网络攻击的首选手段。事实上， APT攻击已经成为网络攻击手段中最前沿、最具杀伤力的核武器。 2、传统安全设备无法抵御 APT 攻击事实证明，传统安全设备已经无法抵御复杂、隐蔽的 APT 攻击。针对伊朗和设施的 “震网攻击

6、”、针对跨过能源公司的 “夜龙攻击 ”、针对 Google邮件服务器的 “极光攻击 ”、针对 RSA SecureID 的攻击、针对美国政府和国际组织的 “暗鼠行动 ”、美国国家航空航天局（ NASA）喷气推动实验室核心资料被窃取、韩国金融和电视媒体网络被大面积入侵而瘫痪，几乎所有的被曝光的 APT攻击无一例外都是以入侵者的全面成功而结束，在这些已公开的 APT 攻击中，依靠传统安全设备的防御体系均被轻易绕过而失去防御能力。在某些 APT 攻击的案例（如震网攻击、夜龙攻击）中，传统安全防御设备甚至在长达数年的持续攻击中毫无察觉。无需过多讨论， APT 攻击在事关各国民生命脉的能源、电力、金融

7、、政治、军事、核设施等关键领域造成的史无前例，难以评估的严重损失的事实已经清楚告诉我们：传统安全设备无法抵御网络攻击的核武器： APT 传统安全防御体系的框架一般包括：接入控制、安全隔离、边界检测 /防御、终端防御、网络审计、访问控制等，所涉及的安全产品包括：防火墙、 IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证 Token 等。从传统安全防御体系的设备和产品可以看到，这些产品遍布网络 2 7 层的数据分析，其中，与 APT 攻击相关的 7 层设备主要是 IDS、 IPS、审计，而负责7 层检测 IDS、 IPS 采用经典的 CIDF 检测模型，该模型最核心的思想就是依靠攻

8、击特征库的模式匹配完成对攻击行为的检测。反观 APT 攻击，其采用的攻击手法和技术都是未知漏洞（ 0day）、未知恶意代码等未知行为，在这种情况下，依靠已知特征、已知行为模式进行检测的 IDS、 IPS 在无法预知攻击特征、攻击行为模式的情况下，理论上就已无法检测 APT 攻击。产品白皮书 360 天眼新一代威胁感知系统（ TSS） 3 3、新一代检测技术已经出现在 APT 攻击出现之后，已经没有一个国家能够在肆虐的 APT 攻击面前独善其身，因此各国安全厂商、安全组织纷纷投入到 APT 攻击检测技术的研究之中，尤其是在 APT 攻击的故乡美国，对 APT 攻击的检测与防御技术已经开始取

9、得了实质性的进展。通过对目前 APT 攻击的检测与防御思路进行总结可以看到，目前对 APT 攻击的防范主要分为两个主要的技术方向。第一种技术思路，是以 APT 攻击的在线检测与实时防御为主要目标的技术方向，在这个技术方向下，受到大家公认且效果比较好的主流技术是深度沙箱检测技术，这个技术的优点是能发现大多数的未知攻击行为，并且这种检测也是在线的实时检测，防范效果非常好，对于 APT 攻击的核心攻击步骤，即：利用 0day漏洞植入未知恶意代码具有非常有效的检测效果，但这种技术也有明显的问题。首先，已经出现了可以探测运行环境的智能恶意代码，这种恶意代码在感知到当前运行的环境非攻击目标时，将主动停

10、止执行，以此躲避沙箱的检测。其次，单纯利用沙箱进行检测对于检测设备的系统性能要求非常高，需要强大的计算资源保障检测的实时性和检测设备的性能。另一个关键的问题是，沙箱的检测能力受限于沙箱的种类是否丰富，否则会出现缺乏虚拟执行的环境导致无法精确检测出样本中的恶意代码。最后，这种防御思路即使能够检测出恶意代码，但是无法确定这次攻击行为是否属于 APT 攻击，这是 APT 攻击定型上的一个遗憾。采用这个技术思路的典型代表厂商是美国的安全公司 Fireeye，该公司产品直接为美国政府和军方服务，并且对华禁售。第二种技术思路，是依托于大数据的历史数据回溯与关联分析技术方向，在这个技术方向下，采用的是以

11、人工智能、数据挖据理论为基础的大数据分析技术，这个技术方向难度相比沙箱技术来说难度要大得多，因此还没有出现非常成熟的商业化产品，而多是在学术界、各大专业安全公司的研究院、实验室中被小范围验证。这个技术思路的优点非常明显，即：通过该方法，能够发现几乎所有隐蔽的 APT 攻击，同时能够利用历史数据对 APT 攻击过程进行完整的回放溯源，能够明确定性 APT 攻击行为，但该技术思路的缺陷也非常明显：即该技术思路属于事后追溯，也就是说，利用该方法发现的 APT 攻击属于已经发生过的攻击行产品白皮书 360 天眼新一代威胁感知系统（ TSS） 4 为，而无法做到有效的实时防御，同时，由于目前大数据分

12、析技术还存在精度上的问题，所以使用该方法需要大量的人工干预才能取得理想的分析效果。另一个问题是该方法需要非常完备的历史数据，甚至是网络原始流量的存储，否则可能因为历史数据不全而无法对 APT 过程进行完整溯源，更严重的可能是因为关键历史数据的缺失而无法检测到 APT 攻击。目前世界上尚无效果得到广泛认可、采用了该技术思路的成功的商业化产品。除了这两个技术方向，还有一种综合了上述两种技术思路的检测方法，具体来说就是依靠沙箱进行在线检测，在检测到攻击之后，以此为线索对相关的历史数据进行大范围的关联分析。这种技术的优点在于既满足了对 APT 攻击的实时检测与防御的要求，又能够对 APT 攻击

13、进行定性和全过程追溯，但由于这个技术思路刚刚开展，因此尚无可商业化的技术成果，也没有成功的产品。 4、 360 天眼新一代威胁感知系统 360 天眼新一代威胁感知系统（ Threat Sensitive System，缩写： TSS）是奇虎 360 公司自主研发，具有完全自主知识产权的一款对 APT 攻击进行有效检测与发现的新一代威胁检测产品。该产品采取旁路部署，全流量监控、整合静态检测、动态分析等多项独创专利技术，同时结合 360 强大的云查杀平台，实现对 APT 攻击过程核心步骤（ 0day漏洞利用，未知恶意代码植入）的高精度检测与发现。同时， TSS 与 360 天擎终端安

14、全管理系统（ ESS）联动，可以构建对以未知漏洞（ 0day）利用、未知恶意代码植入为核心的 APT 攻击过程从精确检测到深度防御的纵深防范体系。 4.1 产品架构 360 天眼威胁感知系统采用 B/S 管理架构，通过威胁检测、系统管理、存储通信相分离的低耦合模块化设计，整合 360 云查杀的海量病毒、恶意代码样本资源与计算资源，实现了一套低耦合、高内聚、强扩展的产品架构。 360 天眼 TSS 产品架构如下图所示：产品白皮书 360 天眼新一代威胁感知系统（ TSS） 5 威胁感知引擎（ TSE）威胁感知引擎（ Threat Sensitive Engine，简称 TSE）是 3

15、60 天眼威胁感知系统的核心模块，承担 TSS 对恶意代码、漏洞利用攻击的检测过程。在TSE 之中，集成了诸多 360 的核心检测算法与核心检测引擎。可以实现对已知病毒、恶意代码，未知病毒、未知恶意代码、已知漏洞利用（ Nday）、未知漏洞利用（ 0day）等攻击行为的检测与回溯。威胁感知管理（ TSM）威胁感知管理（ Threat Sensitive Management，简称 TSM）是 360 天眼威胁感知系统的管理平台，承担 TSS 与外部系统的接口，并为使用者提供查看、配置、操作 TSS 的 UI 接口。通过 TSM，可以完成对 TSS 的配置、查看 T

16、SE的报警、生成报表、升级 TSS、攻击过程追溯、分析威胁状况等工作。数据库 &Web Server 数据库和 Web Server 是 TSS 内部的关键应用服务，为 TSS 提供存储、产品白皮书 360 天眼新一代威胁感知系统（ TSS） 6 管理与通信的基础服务。其中， Web Server 是 TSS 与外部系统接口、提供外部管理的核心支撑服务，数据库是为 TSS 提供存储与查询能力的核心服务。这两个应用服务是天眼威胁感知系统的关键基础设施。 360云查杀 360 云查杀是天眼 TSS 的外围安全协防系统， 360 云查杀系统基于超过 4 亿终端用户上报的病毒、恶意代码信息，对天眼

17、TSS 捕获的文件样本进行快速查杀。 360 云查杀与天眼 TSS 的结合，充分整合超过 4 亿终端用户的检测结果资源与 360 数万台云端设备的计算资源，可以快速定位稀有、低频的病毒与恶意样本，提升天眼 TSS 对于病毒、恶意代码的检测能力。 4.2 主要功能漏洞利用攻击检测，其中包含对未知漏洞利用（ 0day）的检测病毒及恶意代码的检测，其中包括对未知病毒及未知恶意代码的检测与 360 天擎终端安全管理系统联动，有效防御 APT 攻击 4.2.1 威胁检测能力已知病毒、恶意代码检测 360 天眼 TSS 采用自主研发的病毒及恶意代码查杀引擎 AVE，可以对已知病毒及恶意代码

18、进行有效检测，其中，与病毒及恶意代码查杀引擎配合使用的病毒特征库覆盖了超过 1000 万条已知活跃病毒及恶意代码。 360 天眼内集成的 AVE 病毒检测引擎，采用最新的反病毒检测技术，可以对各种病毒及恶意代码的加壳、加密、多态、变形等各种躲避检测的对抗行为进行还原后的精确检测。产品白皮书 360 天眼新一代威胁感知系统（ TSS） 7 未知病毒、恶意代码检测 360 天眼 TSS 除了集成了有效检测已知病毒、恶意代码的高级 AVE 引擎，同时 360 天眼 TSS 最重要的功能是对未知病毒、未知恶意代码进行有效检测。由于对未知病毒、未知恶意代码的检测难度非常大，因此 360 天眼TSS 采

19、用了动态检测结合静态检测两种不同的检测技术对未知病毒、未知恶意样本进行两步检测。为了保障对未知病毒、未知恶意代码的检测效果，我们对超过 30 亿的病毒及恶意代码样本进行了多次切片，通过人工智能、机器学习的方法构建出多族系病毒及恶意代码的切片模型，并以此作为对未知病毒、未知恶意代码进行快速检测的行为模型依据，实现对待测样本中未知病毒、未知恶意代码的快速静态检测。另一方面，为了弥补静态检测技术可能出现的漏检，我们在 360 天眼TSS 中实现了与静态检测技术完全不同的动态行为跟踪检测技术，该技术通过构建待测样本打开、运行所需的软硬件的虚拟环境，将待测样本在该虚拟环境中打开执行，并跟踪在此过程中

20、出现的各种系统调用和操作指令，以此判断待测样本是否还有病毒及恶意代码。已知漏洞利用攻击检测对于已知病毒、已知恶意代码的检测是从病毒及恶意代码样本体的角度来检测并防范攻击行为，从另一个角度来讲，病毒及恶意代码在形成对抗之前，需要被成功激活或引导，因此从全面检测的角度来看，需要对利用漏洞引导或激活病毒及恶意代码的行为进行有效检测。 360 天眼 TSS 内置了对已知漏洞利用攻击行为进行有效检测的 QEX 引擎，该引擎通过对待测样本的静态分析，高效识别出待测样本中可能存在的对已知漏洞进行利用攻击的行为，在上报检测结果的同时，还会给出病毒或恶意样本所利用的已知漏洞的 CVE 编号。未知漏洞利用

21、攻击检测对未知漏洞的利用攻击是传播、引导、激活病毒及恶意代码的最主要方法，是超级蠕虫（如：冲击波、震荡波、阻击波、 SLAMMER 等）得以迅速、产品白皮书 360 天眼新一代威胁感知系统（ TSS） 8 广泛传播的最重要的工具，也是 APT 攻击的最常用的核心技术手段，因此，对于未知漏洞的利用攻击进行有效检测，是构建完善的安全防御体系的重要内容。 360 天眼 TSS 内置了对未知漏洞进行有效、高精度检测的动态 DVD 检测引擎（ Dynamic Vulnerability Detection）。该引擎采用对待测样本文件进行动态分析的方法，分析待测样本打开、运行过程中数据内存区域的可执行

22、指令，以此作为检测基础，可以从原理上有效检测出利用缓冲区溢出漏洞对目标系统进行攻击的行为。恶意代码网络行为检测 360 天眼 TSS 内置了恶意代码网络行为检测引擎，可以对恶意代码的网络通信行为进行有效检测。通过检测恶意代码访问恶意站点与恶意链接的行为，可以有效检测恶意代码在对抗阶段的攻击。由于采用了静态 Hash 的快速匹配技术， 360 天眼 TSS 可以对恶意 URL 访问进行非常高效的检测，适合大量 URL 并发访问的环境。未知攻击检测与回溯未知攻击由于没有明确的攻击特征，传统基于特征的检测方案已经无法检测未知攻击。 360 天眼 TSS 内置

23、了大数据分析引擎，结合高性能捕包、海量数据存储、智能分析、机器学习与建模，能够识别未知攻击。同时，基于关联分析技术， 360 天眼 TSS 能够对攻击溯源，并对攻击过程进行回放。与 360天擎终端安全管理系统（ ESS）联动，防御 APT攻击 360 天眼 TSS 在检测到病毒与恶意代码的同时，可以将该攻击样本的信息上报给 360 天擎终端安全与管理系统（ ESS），实现 TSS 与 ESS 之间的有效联动，有效抵御 APT 攻击。具体来说， 360 天眼 TSS 与 360 天擎 ESS 之间可以实现样本共享未知病毒与恶意代码的 “边界检测、终端防御 ”的检测与防御策略，

24、通过对未知病毒、未知恶意代码、未知漏洞利用的有效检测，实现对 APT 攻击的实时检测与防御。产品白皮书 360 天眼新一代威胁感知系统（ TSS） 9 4.2.2 威胁管理能力威胁报警 360 天眼 TSS 在检测到攻击之后，将在监控页面上产生实时报警，为了便于监控人员对报警进行快速分析， 360 天眼 TSS 报警界面提供了丰富、详细的报警内容，包括：攻击是从哪里来的（攻击的源 IP）、哪里受到了攻击（攻击的目的 IP）、攻击是什么时候发生的（攻击时间）、攻击详细信息。威胁分析报表、 URL 日志、恶意样本提取、攻击代码提取、专业分析服务。威胁响应 TCP Killer、与

25、 360 天擎 ESS 联动。 4.3 产品特点未知漏洞利用（ 0day）的精确检测 360 天眼威胁感知系统采用多种先进检测技术（如：内存动态跟踪分析、沙箱虚拟执行）对样本进行深入分析，对传统安全产品（如： IDS、 IPS、 UTM等）无能为力的未知漏洞（ 0day）利用攻击具有出色的精确检测效果。未知恶意代码的精确检测 360 天眼威胁感知系统采用多种先进检测技术，如：沙箱虚拟执行、 QVM-II恶意样本识别引擎，对传统终端杀毒软件、防毒墙无能为力的未知木马、未知病毒、未知恶意代码、特种木马等具有出色的检测效果。独到的脚本检测引擎受益于奇虎 360 在终端安全上多年的技术沉

26、淀， 360 天眼威胁感知系统解决了检测领域的共性难题：脚本型恶意代码的检测，通过内部集成的脚本检测引擎，可以实现对脚本型恶意代码的精确检测。产品白皮书 360 天眼新一代威胁感知系统（ TSS） 10 国际一流的 QVM检测引擎未知恶意代码的精确检测十多年来困扰安全界的难题， 360 基于人工智能技术，已申请国际专利的 QVM 检测技术成功地解决了这一难题，并多次在欧洲、北美的顶级测评中名列第一。大数据分析引擎 360 内部实时监控 100Gbps 带宽的流量，存储大量的数据，基于机器学习、关联数据挖掘、聚类分析等技术，建立了大量的网络异常行为模型，实现在网络边界检测未知攻击。与 360终端协同防御，精确阻断攻击 360 天眼充分利用自身多引擎、高精尖的深度检测能力，并将此能力与 360天擎 ESS 协同联动，共同打造企业内网 “深度检测、精确防御 ”的新一代、多层次主动防御体系。 4.4 产品部署 360 天眼新一代威胁感知系统（ ESS）采用旁路部署的方式，接入到所监控网络的交换机镜像端口处，由于采用旁路接入的方式， 360 天眼的部署不会改变现有网络结构，也不会对现有网络的运行产生任何影响，其典型部署方式如下：产品白皮书 360 天眼新一代威胁感知系统（ TSS） 11

展开阅读全文