產(chǎn)品設(shè)計原理及架構(gòu)

360天眼是360公司推出的新一代未知威脅感知系統(tǒng)，可針對政府、金融、能源、運(yùn)營商等大型企業(yè)用戶提供未知威脅的發(fā)現(xiàn)與回溯功能。一方面，天眼可基于360自有的多維度海量互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行自動挖掘和云端關(guān)聯(lián)分析，提前洞悉各種安全威脅，并向客戶推送定制的專屬威脅情報；同時，結(jié)合部署在客戶本地的硬件設(shè)備，天眼還可對本地流量進(jìn)行深度分析和存儲，幫助客戶實(shí)現(xiàn)對未知威脅惡意行為的早起快速發(fā)現(xiàn)，并對受害目標(biāo)和攻擊源頭進(jìn)行精確定位，最終實(shí)現(xiàn)對威脅入侵途徑的回溯。

360天眼系統(tǒng)主要采用了基于大數(shù)據(jù)分析的威脅情報、多引擎沙箱檢測與搜索引擎分析技術(shù)。

1.基于大數(shù)據(jù)分析的威脅情報技術(shù)

可通過對互聯(lián)網(wǎng)上的海量數(shù)據(jù)進(jìn)行深度挖掘，有效發(fā)現(xiàn)APT攻擊，生成威脅情報。360在云端擁有海量的安全數(shù)據(jù)，DNS庫擁有50億DNS解析記錄，每天新增100萬；樣本庫總樣本95億，每天新增900萬；360URL庫每天處理100億條，覆蓋國內(nèi)60%以上的客戶端；主防庫覆蓋5億客戶端；總?cè)罩緮?shù)50000億條，每天新增100億。

2.基于多引擎沙箱的檢測技術(shù)

可對APT攻擊的核心環(huán)節(jié)“惡意代碼植入”進(jìn)行檢測，與傳統(tǒng)的采用基于惡意代碼特征匹配的檢測方法不同，基于多引擎沙箱的本地檢測系統(tǒng)所采用的方法可以對未知的惡意代碼進(jìn)行有效檢測，利用這種對惡意代碼行為進(jìn)行動態(tài)分析的方法，可以避免因?yàn)闊o法提前獲得未知惡意代碼特征而漏檢的問題，即在無需提前預(yù)知惡意代碼樣本的情況下仍然可以對惡意代碼樣本進(jìn)行有效的檢測。因?yàn)槊鈿⒛抉R是APT攻擊的核心步驟，因此對惡意代碼樣本的有效檢測，可以有效解決APT攻擊過程的檢測問題。

3.基于搜索引擎的分析技術(shù)

可以對本地抓取的海量數(shù)據(jù)進(jìn)行快速檢索，從而進(jìn)行高效分析，對內(nèi)網(wǎng)的攻擊行為進(jìn)行歷史回溯。在本地數(shù)據(jù)的存儲和檢索方面，360使用ElasticSearch檢索平臺作為基于搜索技術(shù)的數(shù)據(jù)分析平臺基礎(chǔ)，同時進(jìn)行了定制化修改，并配套了大量的檢索和分析軟件以對數(shù)據(jù)做到高效分析。

圖1 360天眼系統(tǒng)架構(gòu)圖

360天眼系統(tǒng)的整體架構(gòu)如圖1所示。

從圖1可以看出，360天眼主要由威脅感知引擎模塊（TSE）和威脅感知管理模塊（TSM）構(gòu)成，TSE的主要工作包括底層的數(shù)據(jù)抓取、數(shù)據(jù)預(yù)處理以及并行威脅檢測。而TSM主要工作是數(shù)據(jù)存儲和管理、數(shù)據(jù)分析、威脅報警、針對特定安全威脅與360升級服務(wù)器和360公有云查殺服務(wù)器進(jìn)行聯(lián)動處理以及分析結(jié)果展示。二者相輔相成、缺一不可，共同組成了大數(shù)據(jù)安全分析的完整處理流程。

產(chǎn)品功能

360天眼主要具備如下三個功能。

1.分析（云端持續(xù)分析）

360基于云端海量的網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)和樣本文件數(shù)據(jù)，通過數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等人工智能算法和持續(xù)的安全專家運(yùn)營對互聯(lián)網(wǎng)內(nèi)的每天新增的新型木馬、流行木馬甚至是APT攻擊進(jìn)行發(fā)現(xiàn)和跟蹤，并對攻擊發(fā)生的背景和源頭進(jìn)行挖掘。所有分析結(jié)果都將以威脅情報的形式單向推送至企業(yè)客戶。

2.發(fā)現(xiàn)（本地實(shí)時發(fā)現(xiàn)）

360天眼可以通過一整套硬件系統(tǒng)對企業(yè)網(wǎng)絡(luò)中的流量進(jìn)行全量檢測和記錄，所有網(wǎng)絡(luò)行為都將以標(biāo)準(zhǔn)化的格式保存于天眼的數(shù)據(jù)平臺，并可結(jié)合360云端發(fā)現(xiàn)的威脅情報對企業(yè)內(nèi)網(wǎng)已經(jīng)發(fā)生和正在發(fā)生的未知威脅進(jìn)行發(fā)現(xiàn)。

3.回溯（問題精準(zhǔn)回溯）

利用云端豐富的實(shí)時威脅情報和企業(yè)本地的多樣化網(wǎng)絡(luò)行為，天眼系統(tǒng)可以為企業(yè)客戶呈現(xiàn)一次攻擊的完整情報，它將覆蓋攻擊的源頭、手段、目標(biāo)、范圍等相關(guān)信息，可對任何一個被發(fā)現(xiàn)的未知威脅進(jìn)行快速的回溯和定性，輕松分辨APT攻擊和普通網(wǎng)絡(luò)攻擊。

應(yīng)用部署

360天眼系統(tǒng)可以輕松部署于企業(yè)網(wǎng)絡(luò)的任何位置，對企業(yè)網(wǎng)絡(luò)出口流量進(jìn)行分析和記錄。所有云端威脅情報都將以單向方式推送至天眼企業(yè)本地系統(tǒng)，以幫助客戶快速發(fā)現(xiàn)內(nèi)部的未知威脅。圖2是360天眼系統(tǒng)的典型部署圖。

360天眼分析平臺可部署在企業(yè)內(nèi)網(wǎng)任何路由可達(dá)的位置，而360天眼傳感器部署位置可以靈活多變，部署在不同的位置，可以發(fā)揮不同作用。結(jié)合企業(yè)內(nèi)部實(shí)際網(wǎng)絡(luò)架構(gòu)，天眼傳感器一般可部署在如下三個位置。

1.辦公網(wǎng)互聯(lián)網(wǎng)出口

在此位置部署網(wǎng)絡(luò)傳感器，通過鏡像互聯(lián)網(wǎng)出口流量，并將流量異常行為提交給檢測器分析，這樣可以有效發(fā)現(xiàn)魚叉攻擊、水坑攻擊等APT攻擊常用手段，并能最大限度地發(fā)揮發(fā)現(xiàn)高級威脅的作用。

2.旁路接入內(nèi)網(wǎng)核心交換機(jī)

對于某些封閉的內(nèi)網(wǎng)環(huán)境，存在從其他網(wǎng)絡(luò)接口或U盤等便攜設(shè)備接入當(dāng)前網(wǎng)絡(luò)的安全問題，該方式可以對所有內(nèi)部網(wǎng)絡(luò)流量進(jìn)行分析。

圖2 360天眼系統(tǒng)部署圖

3.開放服務(wù)系統(tǒng)前端

對于部分開放的服務(wù)系統(tǒng)，在其網(wǎng)絡(luò)前端部署傳感器可提供安全防護(hù)能力，可對 HTTP、SMTP、POP3、FTP等服務(wù)中傳輸?shù)臄?shù)據(jù)流量進(jìn)行高級威脅檢測。

360企業(yè)安全相關(guān)產(chǎn)品

1.天擎

360天擎終端安全管系統(tǒng)是360面向政府、企業(yè)、金融、軍隊、醫(yī)療、教育、制造業(yè)等大型企事業(yè)單位推出的集防病毒與終端安全管控于一體的解決方案。360天擎終端安全管理系統(tǒng)，以大數(shù)據(jù)技術(shù)為支撐、以可靠服務(wù)為保障，它能夠?yàn)橛脩艟_檢測已知病毒木馬、未知惡意代碼，有效防御APT攻擊，并提供終端資產(chǎn)管理、漏洞補(bǔ)丁管理、安全運(yùn)維管控、網(wǎng)絡(luò)安全準(zhǔn)入、移動存儲管理、終端安全審計、XP盾甲防護(hù)諸多功能。

2.天機(jī)

360企業(yè)安全集團(tuán)面向政府、金融、運(yùn)營商、能源、制造等企業(yè)推出的新一代企業(yè)級移動終端安全管理系統(tǒng)，基于360在海量移動終端上的安全技術(shù)與運(yùn)營經(jīng)驗(yàn)，為客戶移動終端在使用企業(yè)資源時，提供從硬件、OS、應(yīng)用、數(shù)據(jù)到鏈路等多層次的安全防護(hù)方案，確保企業(yè)數(shù)據(jù)和應(yīng)用在移動終端上的安全性。

3.天巡

360企業(yè)安全集團(tuán)面向企業(yè)無線應(yīng)用環(huán)境推出的安全威脅發(fā)現(xiàn)與防護(hù)系統(tǒng)。系統(tǒng)基于360在無線領(lǐng)域的攻防能力與自身安管的經(jīng)驗(yàn)，將無線通信技術(shù)、無線攻防、數(shù)據(jù)分析與挖掘等技術(shù)相結(jié)合，確保企業(yè)的無線網(wǎng)絡(luò)邊界安全、可控。采用B/S架構(gòu)，收發(fā)引擎分布式部署在企業(yè)辦公環(huán)境中，將收集到的熱點(diǎn)信息傳給中控服務(wù)器，管理員即可通過瀏覽器訪問360天巡Web管理平臺，通過Web管理平臺查看企業(yè)內(nèi)部熱點(diǎn)信息，并對惡意、違規(guī)的熱點(diǎn)進(jìn)行阻斷。