360天眼：利用大資料 防禦越來越聰明的APT攻擊

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

這幾天是RSA2014國際安全盛會，來自世界各地的安全公司齊聚美國，向全球展示了最新的安全產品和技術。 除了持續火爆的BYOD移動安全、大資料安全和雲安全，針對政府和企業的APT攻擊，也成為本次大會上熱議的焦點。

說到APT這個概念，從2011年開始就一直持續火爆，歷經三年，攻防方式都在不斷進化。 賽門鐵克、趨勢科技等大型安全廠商紛紛在產品中加入APT防禦功能，也誕生了FireEye、Cyphort這樣以APT防禦為核心業務的新公司。

而今年APT最大熱點，不僅是防護方案更加成熟，更迎來了一個APT防護的新玩家—360。 之所以稱呼360為「新」，是因為360推出的全新APT解決方案—360天眼。 360天眼不但使用沙箱技術防範APT攻擊，還使用大資料分析技術對APT攻擊進行了更有效的檢測。 在美國將FireEye列為對華禁售的高科技安全產品同時，360天眼不但填補了中國自有APT防護產品的空白，更向全球宣告了中國網路安全力量的崛起。

越來越聰明的APT攻擊

眾所周知，APT攻擊會長久隱藏在網路中，普通的特徵檢測法極難發現。 於是，一些APT防護廠商採用在網路中部署設備，通過自動化方法測試虛擬環境中的可執行檔，一旦發現可疑檔被啟動，可以迅速預警。 但是，這樣的方案也有其缺陷。

就好像是火車站的X光安檢。 如果直接一把衝鋒槍放進去，系統馬上會識別;而把槍拆成一個一個零件後，安檢儀器則只顯示一堆金屬零件。 單個零件看上去並沒有什麼威脅，於是安檢很容易就放過了。

最新的進化APT攻擊也是一樣。 由於檔是通過網路檢測的，攻擊者可以將一個木馬程式拆成好幾部分，和其他檔打亂放在一起，這樣APT防護設備往往無法識別其真面目。 這些被拆散的攻擊代碼，一旦進入內部系統，即恢復成可執行檔，對目標系統發動惡意攻擊。

結合大資料的防禦方案

360董事長周鴻禕曾經有這樣一句話經典名言：在APT和0DAY漏洞的威脅下，未來企業安全的發展趨勢更多的是依靠雲安全與「邊界」來實現。 不錯。 面對越來越聰明的APT攻擊，360天眼開始利用大資料分析來增強APT攻擊的檢測率。

作為中國最大的互聯網安全公司，360的安全產品部署在數十億終端和WEB源上，擁有龐大黑白名單和惡意威脅特徵代碼等大資料。 這些雲端大資料，為360安全產品及時快速辨別惡意程式碼和行為提供了有效支撐，大大增強甄別未知攻擊和惡意程式碼的準確率。

360天眼將終端、WEB、網路資訊等系統中的通信進行整合分析，及時輸入到防護系統中。 同時，接入360雲端大資料系統，從而形成本地系統和雲端網路多重認證體系。 在360天眼這個多層雷達+大資料的聯合掃描下，不但及時發現未知病毒代碼、0day漏洞等惡意攻擊，更讓各種隱蔽攻擊無所遁形。