未知威胁整体解决方案v1.0

未知威胁整体解决方案█文档编号█密级█版本编号V1.0█日期360企业平安集团█版权说明本文中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容，除另有特别注明外。所有版权均属360企业平安集团所有，受到有关产权及版权法保护。任何个人、机构未经360企业平安集团的书面授权许可，不得以任何方式复制或引用本文的任何片段。█适用性说明本模板用于撰写360企业平安集团中各种正式文件、包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。目录TOC\o"2-3"\h\z\t"标题1,1,样式附录1,1"1.背景12.存在问题32.1.传统防护手段面临失效32.1.1.多变的攻击手段42.1.2.攻击隐蔽性强62.1.3.攻击目标明确82.2.免杀木马无法检测82.3.大量内网数据无法有效利用93.方案思路103.1.未知威胁检测思路103.2.未知威胁响应拦截思路123.3.未知威胁溯源思路133.4.整体思路134.方案设计144.1.方案架构144.1.1.云端威胁情报154.1.2.本地网络信息采集164.1.3.本地文件威胁检测174.1.4.本地大数据威胁分析平台174.1.5.终端联动响应174.1.6.网关联动响应184.1.7.专业平安效劳194.2.详细设计204.2.1.部署拓扑图204.2.2.解决的问题204.2.3.方案清单215.方案优势与特点22背景近年来，具备国家和组织背景的APT攻击日益增多，例如：2010年攻击伊朗核电站的“震网病毒”、针对Google邮件效劳器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等，2014年APT攻击的主要目标行业是金融和政府，分别高达84%和77%。中国是APT〔AdvancedPersistentThreats，高级持续性威胁〕攻击的受害国，国内多个省、市受到不同程度的影响，其中北京、广东是重灾区，行业上教育科研、政府机构是APT攻击的重点关注领域。截至2015年11月底，360威胁情报中心监测到的针对中国境内科研教育、政府机构等组织机构发动APT攻击的境内外黑客组织累计29个，其中15个APT组织曾经被国外平安厂商披露过，另外14个为360独立发现并监测到的APT组织。在这29个APT组织中，针对中国境内目标的攻击最早可以追溯到2007年，而2015年9月以后仍然处于活泼状态的APT组织至少有9个。统计显示，仅仅在2015年这12个月中，这些APT组织发动的攻击行动，至少影响了中国境内超过万台电脑，攻击范围遍布国内31个省级行政区。以下是360威胁情报中心监控到的针对中国攻击的局部APT组织列表，其中OceanLotus〔APT-C-00〕、APT-C-05、APT-C-06、APT-C-12是360截获的APT组织及行动。排序APT组织APT行动首先报告厂商最早活动时间监测最近活动时间1APT28APT28、OperationRussianDollFireEye2007年2014年7月2DarkhotelDarkhotelKaspersky2007年2015年11月3APT-C-05APT-C-053602007年2015年11月4APT-C-12APT-C-123602011年2015年11月5OceanLotus(APT-C-00)OceanLotus3602011年2015年11月6APT-C-06APT-C-063602011年2015年11月7OperationAridViperOperationAridViperTrendMicro2012年2014年12月8DesertFalconDesertFalconKaspersky2013年2014年11月9CarberpAnunakFOXIT2013年2015年6月10ScanBoxScanBoxAlienVault2014年2015年5月表1针对中国攻击的局部APT组织列表从2015年的统计来看，针对科研教育机构发起的攻击次数最多，占到了所有APT攻击总量的37.4%；其次是政府机构，占27.8%；能源企业排第三，占9.1%。其他被攻击的重要领域还包括军事系统、工业系统、商业系统、航天系统和交通系统等。图1APT组织主要攻击行业分布2012年4月起至今，某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有方案、有针对性的长时间不间断攻击。该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播免杀木马程序，秘密控制局部政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料。根据该组织的某些攻击特点，360公司将其命名为OceanLotus〔海莲花〕。在平安形势不断恶化的今天，中国重要企业和政府用户所处的特殊位置，经常会面临来自APT攻击的威胁，虽然企业的平安管理人员已经在网络中的各个位置部署了大量的平安设备，但仍然会有局部威胁绕过所有防护直达企业内部，对重要数据资产造成泄漏、损坏或篡改等严重损失。存在问题传统防护手段面临失效高级持续性威胁〔AdvancedPersistentThreat，简称APT〕是一种可以绕过各种传统平安检测防护措施，通过精心伪装、定点攻击、长期潜伏、持续渗透等方式，伺机窃取网络信息系统核心资料和各类情报的攻击方式。事实证明，传统平安设备已经无法抵御复杂、隐蔽的APT攻击。针对伊朗核设施的“震网攻击”、针对跨过能源公司的“夜龙攻击”、针对Google邮件效劳器的“极光攻击”、针对RSASecureID的攻击、针对美国政府和国际组织的“暗鼠行动”、美国国家航空航天局〔NASA〕喷气推动实验室核心资料被窃取、韩国金融和电视媒体网络被大面积入侵而瘫痪，几乎所有的被曝光的APT攻击无一例外都是以入侵者的全面成功而结束，在这些已公开的APT攻击中，依靠传统平安设备的防御体系均被轻易绕过而失去防御能力。在某些APT攻击的案例〔如震网攻击、夜龙攻击〕中，传统平安防御设备甚至在长达数年的持续攻击中毫无发觉。无需过多讨论，APT攻击在事关各国民生命脉的能源、电力、金融、政治、军事、核设施等关键领域造成的史无前例，难以评估的严重损失的事实已经清楚告诉我们：传统平安设备无法抵御网络攻击的核武器：APT。传统平安防御体系的框架一般包括：接入控制、平安隔离、边界检测/防御、终端防御、网络审计、访问控制等，所涉及的平安产品包括：防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。从传统平安防御体系的设备和产品可以看到，这些产品遍布网络2~7层的数据分析，其中，与APT攻击相关的7层设备主要是IDS、IPS、审计，而负责7层检测IDS、IPS采用经典的CIDF检测模型，该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击，其采用的攻击手法和技术都是未知漏洞〔0day〕、未知恶意代码等未知行为，在这种情况下，依靠特征、行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下，理论上就已无法检测APT攻击。多变的攻击手段一次APT攻击就像军事上针对特定目标的定点打击或间谍渗透，其中很关键的步骤就是入侵过程，其中分为所谓的载荷投递与突防利用。从下列图内容看，鱼叉式钓鱼邮件攻击和水坑式攻击属于载荷投递的过程，而漏洞利用就是突防利用的过程。图2APT攻击组织的主要入侵方式〔一〕载荷投递的本钱从上图最顶端是鱼叉邮件攻击，是APT攻击中使用最为频繁的投递载体，攻击者无论是发动一次精良的鱼叉邮件攻击，还是普通的刺探邮件，本钱是上图这四项中最低的。攻击者只需知道目标邮箱地址即可发动一次攻击，当然携带的攻击程序有可能是PE二进制可执行程序，也可能是漏洞文档，也可能是一个被作为水坑攻击的网站URL。而针对中国的攻击中大多数都是直接携带PE二进制可执行程序，这不仅与APT组织发动攻击的本钱有关系，而且与被攻击目标本身的强弱有直接关系。一次APT攻击的成功与否主要取决于APT组织针对目标的意图〔Intent〕和到达相关意图的能力〔Capability〕，而不取决于目标本身的强与弱，目标本身的强弱只是决定了APT组织采用的攻击方式。针对中国的鱼叉邮件攻击主要是携带PE二进制可执行程序，这一现象也从侧面反响出中国相关目标领域的平安防御措施、以及人员的平安意识比拟欠缺。上图的第二层是水坑式攻击，发动水坑攻击较鱼叉攻击，其本钱主要高在需要一个目标用户经常关注的网站的权限。水坑攻击中的网站我们也可以理解为一个载体，上面可以放置PE二进制木马〔即需要用户交互下载安装执行〕，也可以放置漏洞文件〔即不需要用户交互直接下载安装执行〕。〔二〕突防利用的本钱上图最底端的两层：漏洞和0day漏洞，漏洞在APT组织中是最为消耗本钱的，尤其是0day漏洞。只有当具备高价值的目标且漏洞攻击在目标环境无效，攻击者才会启用0day漏洞。而在针对中国的攻击中，我们更多看到的是APT组织选择如1day或Nday的漏洞，但这并不代表APT组织不具备持有0day漏洞的能力。在APT-C-00和APT-C-059组织的攻击中，我们都捕获到了0day漏洞，在APT-C-05组织发动的0day漏洞攻击中，只是对特定几个目标发动了攻击，且启用时间很短。APT组织主要以邮件作为投递载体，邮件的标题、正文和附件都可能携带恶意代码。在用户提供的原始邮件中，目前主要的方式是附件是漏洞文档、附件是二进制可执行程序和正文中包含指向恶意网站的超链接这三种，前两种更为主流。下列图是携带二进制可执行程序，可执行程序多为“.exe”和“.scr”扩展名。一般这类可执行程序均进行压缩，以压缩包形态发送。从我们发现的事件中存在极少数采用压缩包加密后发送的情况，这种一般通过正文或其他方式将压缩包密码提供给目标用户。图3针对科研机构的鱼叉邮件〔APT-C-05〕此外APT组织还经常以水坑攻击的方式诱使目标用户下载安装病毒文件，从而到达控制目标用户终端进而窃取其网络内部的机密信息的目的。APT-C-00中两种水坑攻击A方式替换目标网站可信程序〔捆绑即时通、证书驱动〕Windows对目标网站插入恶意JS代码〔伪装AdobeFlash更新程序〕WindowsMacOSXB方式替换目标网站指定链接〔倾向新闻公告类信息〕Windows表2APT-C-00中两种水坑攻击A方式：APT-C-00组织首先通过渗透入侵的攻击方式非法获得某机构的文档交流效劳器的控制权，接着，在效劳器后台对网站上的“即时通”和“证书驱动”两款软件的正常安装文件捆绑了自己的木马程序，之后，当有用户下载并安装即时通或证书驱动软件时，木马就有时机得到执行。攻击者还在被篡改的效劳器页面中插入了恶意的脚本代码，用户访问网站时，会弹出提示更新Flash软件，但实际提供的是伪装成Flash升级包的恶意程序，用户如果不慎下载执行就会中招。B方式：APT-C-00组织入侵网站以后修改了网站的程序，在用户访问公告信息时会被重定向到一个攻击者控制的网站，提示下载某个看起来是新闻的文件，比方在新疆522暴恐事件的第二天网站就提示和暴恐事件相关的新闻，并提供“乌鲁木齐7时50分发生爆炸致多人伤亡.rar”压缩包给用户下载，而该压缩包文件内含的就是APT-C-00组织的RAT。这些由黑色产业链或国家驱动的APT攻击通常都具备强大的攻击手段和技术，且手法多样，在一次攻击过程中经常采用多种手段和技术混合使用，包括：社会工程学攻击、0day漏洞利用、免杀木马、定制化工具、逃逸技术等，寻找企业内部平安薄弱环节，所以可以屡屡得手、很难被发现。攻击隐蔽性强在大局部APT攻击中，攻击者针对不同的攻击目标会采用不同的策略，并在攻击前有针对性的进行信息收集，准备特定的攻击工具，攻击发起的整个过程时间可长可短，少那么数小时，多那么潜伏数月、数年，由于这些攻击均会使用高级免杀技术以逃避传统平安设备的特征检测，隐蔽性极强。APT组织主要通过以下几种方式对恶意软件的投递进行精心伪装：1〕自身伪装攻击者除了对鱼叉邮件的正文、标题等文字内容精心构造以外，其余大量伪装构造主要针对附件文件，尤其是二进制可执行程序。主要从文件名、文件扩展名和文件图标等方面进行伪装，具体参看下表所示：相关伪装项具体内容文件名1、与邮件内容、诱饵文档内容相符的文件名。2、超长文件名，其目的是隐藏文件扩展名。文件扩展名1、双扩展名，采用RLO7伪装扩展名。伪装的文档扩展名以“.doc”等微软office系列为主，另外伪装的图片扩展名以“.jpg”等为主。2、双扩展名，不采用RLO方式。文件图标1、文档图标，以微软office系列中的word、excel文档图标为主。2、文件夹图标。3、图片图标。表3自身伪装相关具体内容2〕快捷方式〔.lnk〕攻击利用快捷方式〔.lnk〕攻击是除利用漏洞以外使用最多的一种攻击方式，具体如下：图4压缩包解压后相关文件截图〔APT-C-02组织〕从相关攻击事件中来看，这种攻击方式主要还是以邮件为攻击前导，附件是压缩包文件〔如上图，解压后的文件〕。当用户点击相关快捷方式图标〔文档或文件夹的〕，会执行“cmd.exe/csystem.ini”，其中system.ini是可执行木马。这类攻击手法非常具有迷惑性，一般用户很难区分压缩包内是否存在恶意可执行程序。3〕捆绑合法应用程序APT组织除了基于RAT本身进行自身伪装以外，还会将RAT植入到合法应用程序中，攻击者会针对不同的目标群体选择不同的合法应用程序。APT组织名称被捆绑的合法应用程序涉及人群APT-C-00AcunetixWebVulnerabilityScanner〔WVS〕7网络平安行业等APT-C-00国内某办公软件政府机构、事业单位等APT-C-00即时通、证书驱动政府机构等APT-C-01微软更新程序一般用户APT-C-06MicrosoftVisioProfessional2013非特定行业办公人员等表4捆绑合法应用程序的局部列表攻击目标明确APT组织主要目的是窃取目标机器内的情报数据，一旦攻击获得成功，首先会收集目标机器相关根本信息，进一步会大量窃取目标机器上的敏感数据，如果横向移动到达效果，那么是窃取目标网络其他机器的敏感数据。APT组织从中国科研、政府机构等领域窃取了大量敏感数据，对国家平安已造成严重的危害。其中APT-C-05组织是一个针对中国攻击的境外APT组织，也是我们至今捕获到针对中国攻击持续时间最长的一个组织，该组织主要针对中国政府、军事、科技和教育等重点单位和部门，相关攻击行动最早可以追溯到2007，至今还非常活泼。也就是从2007年开始APT-C-05组织进行了持续8年的网络间谍活动。APT组织关注的敏感文档，除了主流的微软Office文档，更关注中国外乡的WPSOffice相关文档，其中APT-C-05和APT-C-12组织都会关注以“.wps”扩展名的文档，这也是由于WPSOffice办公软件的用户一般分布在国内政府机构或事业单位。APT组织长时间潜伏窃取了大量敏感数据是我们可以看到的危害，另外从APT组织对目标所属行业领域的熟悉、对目标作业环境的掌握，以及符合目标习惯偏好，这些适应中国外乡化“量身定制”的攻击行动完全做到有的放矢，那么让我们更是不寒而栗。在平安形势极不乐观环境下，如何摆脱传统思路，寻求精确的APT攻击检测方法是亟需解决的问题。免杀木马无法检测木马(Trojan),也称木马病毒，是通过特定的程序(木马程序)来控制另一台计算机的软件。木马通常有两个可执行程序:一个是控制端，另一个是被控制端。"木马"程序是目前比拟流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不"刻意"地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供翻开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。在APT攻击中使用的木马通常为“免杀木马”，这类木马会利用加冷门壳、加花指令、改程序入口点、修改内存特征码等免杀技巧来防止自身被杀毒软件所查杀，在OceanLotus〔海莲花〕事件中，境外黑客组织就使用了多款免杀木马，这些木马的感染者遍布国内29个省级行政区和境外的36个国家。OceanLotus免杀木马采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与平安软件进行对抗，成功逃过传统平安防御体系的检测，盗走相关单位的机密信息。APT攻击经常利用漏洞来躲避杀毒软件检测，如APT-C-00组织中利用国内某视频应用0day漏洞，利用该溢出漏洞，恶意代码能直接在白进程中执行，所以杀毒软件不会拦截。同时APT组织所使用的木马软件为了防止被杀毒软件检测并查杀还采用了大量对抗手法，其中针对国内的平安软件主要包括：360卫士、360杀毒、瑞星杀毒、金山毒霸、金山卫士、QQ软件管家、东方微点等。在对抗的过程中如果发现杀毒软件，恶意代码会选择放弃执行后续的功能代码，或者会选择绕过杀毒软件的检测。由此可见，如何检测免杀木马是应对APT攻击需要面对的一个问题。大量内网数据无法有效利用APT攻击通常都会在内网的各个角落留下蛛丝马迹，真相往往隐藏在网络的流量中。传统的平安事件分析思路是遍历各个平安设备的告警日志，尝试找出其中的关联关系。但根据上文的分析，由于APT攻击的隐蔽性和特殊性，传统平安设备通常都无法对APT攻击的各个阶段进行有效的检测，也就无法产生相应的告警，平安人员花费大量精力进行告警日志分析往往都是徒劳无功。如果采用全流量采集的思路，一方面是存储不方便，每天产生的全流量数据会占用过多的存储空间，组织通常没有足够的资源来支撑长时间的存储；另一方面是全流量数据包含了结构化数据、非结构化数据，涵盖了视频、图片、文本等等多种格式，无法直接进行格式化检索，平安人员也就无法从海量的数据中找到有价值的信息。因此，如何以恰当的方式长时间保存对平安分析有价值的流量数据，是检测、回溯APT攻击必须解决的问题。方案思路首先看一下威胁的分类，目前大多数传统平安产品是基于特征检测技术的，能够识别出的威胁，比方已公开的CVE漏洞利用、已入库的病毒木马样本等。而绕过防护体系的恶意威胁、免杀木马、0Day漏洞利用、APT等未知威胁，那么是本方案重点要解决的问题。图威胁金字塔未知威胁检测思路对未知威胁管理的第一步，必然是要发现威胁。参考Gartner对高级威胁检测技术的分类，包括了以下五个方面：由此可见未知威胁检测有几个关键点：检测应当同时覆盖网络流量和终端行为。因为单纯从网络流量或者终端行为中看到的信息并不全面，比方从网络流量中可以识别样本外联行为，如果恶意样本通过U盘等途径进入终端并且处于潜伏期时，是无法从网络流量中识别出来的。要保存本地历史数据，并且应当尽量完整。传统的平安检测产品如IDS，在进行溯源分析时会发现，只有命中规那么的行为才会生成告警，而其他的流量信息都被当做正常行为丢弃了，造成威胁溯源的困难，并且难以取证。因此未知威胁的发现，应当有历史全量数据的支撑，才能为威胁关联分析和事件取证提供充分的依据。要对应用负载进行深度检测。一次成功的APT攻击，通常都会利用到免杀木马，并且可能有很多的变种。一个新制作的样本可能并不携带恶意代码，能顺利通过第一道检测在终端上运行起来，然后通过创立新的变种或者通过下载器从互联网上下载攻击代码。因此需要对数据包里的payload进行深度检测分析。360未知威胁检测的思路如下列图所示：未知威胁响应拦截思路在识别出未知威胁之后，接下来思考如何进行威胁的处置。先看一个典型的未知威胁攻击手法。对于一个受害企业来讲，威胁主要是从网络边界和终端两个入口进入到内网的，同时数据泄露也主要是从网络边界和终端出去的。因此在识别到未知威胁之后，如何能通过终端和网关处的一些联动配合，拦截掉威胁进出的路径，是本方案要解决的问题。360未知威胁响应拦截的思路如下列图所示：未知威胁溯源思路企业平安管理员在平安分析时常会面临这样的场景，发现内网有终端在向外网IP传数据，跟踪到这个IP后就不知道怎么办了，也无法判断这是一次独立偶然事件，还是一次有组织的APT攻击。原因是缺少互联网数据的支撑。而攻击者在互联网上总会留下痕迹，如何通过这些线索，来复原出攻击的全貌，那就需要对互联网大数据进行挖掘和分析，借助第三方的威胁情报来对未知威胁进行溯源。整体思路根据上述分析，未知威胁管理应当形成一个闭环体系，本方案的整体思路如下列图所示：检测：持续、实时地对网络和终端数据进行采集和威胁检测；响应：基于威胁，针对实时状态关联分析，生成平安响应任务自动执行；拦截：根据情报策略在终端和网关层面进行威胁主动拦截；溯源：快速定位威胁来源，固化数据证据。方案设计方案架构360未知威胁整体解决方案以本地大数据分析平台为大脑，通过对网络、终端的数据采集，结合云端威胁情报进行威胁分析，识别未知威胁并提供响应策略，指导终端和网关进行威胁响应和拦截。同时能够利用大数据搜索技术在本地全量数据中进行威胁的快速溯源。方案的整体架构如下列图所示：云端威胁情报大数据360天眼依托360公司对5亿PC终端和6亿移动终端实时保护产生的海量大数据，以及全球最大的IP、DNS、URL、文件黑白名单四大信誉数据库，拥有全球独一无二的平安大数据优势，同时可以对互联网上活泼的任何一次未被发现的攻击进行记录。360目前在云端拥有海量的平安数据。DNS库拥有90亿DNS解析记录，超过100个外部数据源获取数据；样本库总样本95亿，每天新增900万;360URL库每天处理100亿条，每天拦截用户访问钓鱼数超过1.4亿URL；主防库,覆盖5亿客户端,总日志数189000亿,每天新增380亿；漏洞库，总漏洞数超过47万，平均每天新增400个。这些数据给未知威胁发现和APT攻击检测提供了完全真实网络环境下的大量数据支撑。数据处理通过DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容，360天眼实验室在云端共搜集了200PB与平安相关的数据，并针对所有这些信息使用了机器学习、深度学习、重沙箱集群、关联分析等分析手段，PB级的搜索引擎的全网抓取数据、可视化的分析数据，以及其他多个维度的互联网大数据进行关联分析和历史检索，再结合一个专家运营团队不断的通过不同的攻击思路挖掘大量数据。依赖于以上不断运营，360天眼实验室掌握发现了国内最多的APT攻击组织信息、并不断的跟踪相关信息，海莲花〔OceanLotus〕报告便是其中成果。所有此类成果都是经过人工确认的准确结果，根本杜绝了误报的情况，同时360可以依赖于海量数据对攻击背景做出准确和充足的判定。确认未知威胁360无线平安研究院、360网络平安研究院、360网络攻防实验室、360漏洞研究实验室等以顶尖研究资源为根底的多个国内高水平平安研究实验室为未知威胁的最终确认提供专业高水平的技术支撑，所有大数据分析出的未知威胁都会通过专业的人员进行人工干预，做到精细分析，确认攻击手段攻击对象以及攻击的目的，通过人工智能结合大数据知识以及攻击者的多个维度特征复原出攻击者的全貌，包括程序形态，不同编码风格和不同攻击原理的同源木马程序，恶意效劳器〔C&C〕等，通过全貌特征‘跟踪’攻击者，持续的发现未知威胁，最终确保发现的未知威胁的准确性。情报交付为了将360云端的攻击发现成果传递到企业侧，360天眼系统将所有与攻击相关的信息，如攻击团体，恶意域名，受害者IP，恶意文件MD5等相关信息汇总，按照标准格式封装成威胁情报并通过加密通道推送到企业侧的天眼威胁感知系统。威胁情报做为天眼整个方案的核心内容承当了连接互联网信息和企业本地信息的重要作用，为APT事件在企业侧的最终定位提供了数据线索和定位依据。本地网络信息采集本地网络信息采集是通过360天眼网络传感器对网络流量的镜像文件进行采集并复原，复原后的流量日志会加密传输给天眼分析平台，流量镜像中的PE和非PE文件复原后那么加密传输给天眼文件威胁鉴定器进行检测。天眼传感器通过对网络流量进行解码复原出真实流量，提取网络层、传输层和应用层的头部信息，甚至是重要负载信息，这些信息将通过加密通道传送到分析平台进行统一处理。传感器中应用的自主知识产权的协议分析模块，可以在IPv4/IPv6网络环境下，支持HTTP〔网页〕、SMTP/POP3〔邮件〕等主流协议的高性能分析。同时，天眼传感器预置了入侵攻击库和WEB攻击库，可检测流量中的常见扫描行为和常见的远控木马行为等攻击行为，也可检测主流的Web应用攻击，包括：注入、跨站、webshell、命令执行、文件包含等。天眼传感器检测到此类攻击后会产生告警，并将告警日志加密传输给天眼分析平台供统一管理。本地文件威胁检测360天眼通过文件鉴定器对文件进行高级威胁检测，沙箱可以接收复原自传感器的大量PE和非PE文件，使用静态检测、动态检测、沙箱检测等一系列无签名检测方式发现传统平安设备无法发现的高级威胁，并将威胁相关情况以报告行为提供给中国重要企业和政府用户平安管理人员。检测器上的相关告警也可发送至分析平台实现告警的统一管理和后续的进一步分析。本地大数据威胁分析平台分析平台承当对所有数据进行存储、预处理和检索的工作。由于传统关系型数据库在面对大量数据存储时经常出现性能缺乏导致查询相关数据缓慢，天眼分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理，可通过多台设备建立集群以保证存储空间和计算能力的供给。终端联动响应天眼可以与360天擎终端平安管理系统进行联动，借助360天眼的深度检测能力，结合360天擎在终端上的精确防御能力，实现对PC终端的攻击防御。天眼可以与360天擎终端平安管理系统进行联动，通过天擎的EDR模块细粒度地采集终端的进程socket事件、进程dns事件、带附件邮件发送接收事件、出入文件事件和接收上传附件事件等日志信息集中上传到天眼分析平台，通过360天眼的威胁情报、大数据分析能力和深度检测技术发现本地未知威胁的恶意行为。天眼将针对该威胁的处理建议和相关威胁情报信息发送给天擎的控制中心，由天擎管理员参考该建议通过天擎客户端对有危害的终端威胁进行处理。天眼与360天擎终端平安管理系统联动，可以构建对以未知漏洞〔0day〕利用、未知恶意代码植入为核心的APT攻击过程从精确检测到深度防御的纵深防范闭环体系。网关联动响应天眼可以与360天堤下一代智慧防火墙进行联动，借助云端威胁情报，结合360天堤在网关层面的应用级访问控制能力，实现在网络边界处对未知威胁进行主动防御。360全球威胁情报分析中心能基于互联网进行全网威胁情报分析，分析得出的威胁情报可以于防范未知威胁。威胁情报中心实时推送情报至用户内部的360天眼未知威胁感知系统，通过与用户内网所产生的行为日志进行匹配分析，将命中未知威胁的异常行为结果同步给防火墙，可以让防火墙对这些有危害的异常行为进行处置。防火墙将接收到的异常行为情报列表按照威胁级别的高中低，对这些异常行为进行记录或者阻断处置。相比于防火墙自身用来对抗威胁的综合应用平安能力而言，威胁情报功能有效补充了传统平安产品及第二代防火墙产品中无法对抗未知威胁的短板，而往往渗透网络用户造成重大损失的威胁均来自未知威胁。下列图是一个网关联动响应的场景展示：专业平安效劳为了更有效的应对未知威胁问题，在建立了未知威胁技术体系后，再配合360专业的平安团队，为企业用户提供完善的平安效劳。如未知威胁的样本分析、云端大数据关联分析、深度下钻分析、攻击背景研判、事件复盘等效劳。360平安效劳体系：360专业平安团队：详细设计部署拓扑图解决的问题在本方案中，对企业客户网络中的流量进行全量检测和记录，所有网络行为都将以标准化的格式保存于天眼的数据平台，云端威胁情报和本地沙箱分析结果与本地分析平台进行对接，为客户提供基于情报和沙箱检测的威胁发现与溯源的能力。360天眼分析平台可以实现与天擎系统的对接，可以收集客户端主机上的大量行为信息〔包括：网络行为、进程信息、文件访问等〕，利用相关主机行为可以实现对网络攻击事件的完整回溯，可最终追溯到具体什么时间、哪个进程、哪个文件触发了怎样的攻击行为。并通过天眼下发指令给天擎进行威胁防护。天眼分析平台还可以与天堤防火墙进行联动，将命中未知威胁的异常行为结果同步给防火墙，可以让防火墙对这些有危害的异常行为进行主动防御。部署该方案后，可以为企业客户解决以下平安问题：检测发现传统防护手段漏过的未知威胁在隔离网络环境下检测未知威胁对发现的未知威胁进行主动拦截对企业内的海量数据进行平安分析对企业内已发现的问题进行攻击回溯方案清单产品系列产品/模块产品形态功能简介天眼威胁情报云端效劳威胁情报来自360云端的分析成果，可对APT攻击、新型木马、特种免杀木马进行规那么化描述，形成机读格式的IOC情报。网络传感器硬件〔可分布式〕对网络流量进行采集和协议复原，归一化处理后的流量日志会加密传输给分析平台文件威胁鉴定硬件〔可分布式〕负责对传感器复原后的文件进行沙箱检测、静态检测与动态检测等多种检测，及时发现有恶意行为的文件并告警，告警日志可传给天眼分析平台供统一分析。分析平台硬件〔可分布式〕用于存储传感器提交的流量日志和文件威胁鉴定器提交的告警日志，可对所有数据进行快速的处理并为检索提供支持，同时可与威胁情报或其他告警进行关联帮助进一步分析，对攻击进行有效地回溯定位天擎终端平安响应系统软件〔控制中心+客户端〕作为终端数据采集点，并与天眼进行联动，依靠于天眼推送的威胁情报，与终端的平安行为数据进行关联检测，定位沦陷终端进行平安响应。天堤下一代智慧防火墙〔威胁情报联动模块〕硬件天眼分析平台将威胁情报与用户内部数据碰撞后，会将受害的信息及威胁信息推送给防火墙，并下发至防火墙的情报列表模块，形成情报列表策略，实现主动防御。平安效劳未知威胁溯源分析效劳效劳由360专业团队提供未知威胁的样本分析、云端大数据关联分析、深度下钻分析、攻击背景研判、事件复盘等效劳。方案优势与特点首创使用互联网数据开掘APT攻击线索，提升企业对威胁看见的能力传统的APT防护技术专注于从企业客户自身流量和数据中通过沙箱或关