360天眼新一代威胁感知系统白皮书

360天眼新一代威胁感知系统白皮书北京奇虎科技有限公司2013年12月版权声明北京奇虎科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京奇虎科技有限公司。未经北京奇虎科技有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京奇虎科技有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京奇虎科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。意见反馈如有任何宝贵意见，请反馈：信箱：北京市朝阳区酒仙桥路6号院2号楼邮编：100015电话：010-58542764邮件：qiyeban-kefu@360.cn目录1、网络攻击核武器出现：APT..............................................................................................12、传统安全设备无法抵御APT攻击....................................................................................23、新一代检测技术已经出现.................................................................................................34、360天眼新一代威胁感知系统..........................................................................................44.1产品架构........................................................................................................................44.2主要功能........................................................................................................................64.2.1威胁检测能力..........................................................................................................64.2.2威胁管理能力.........................................................................................................94.3产品特点........................................................................................................................94.4产品部署......................................................................................................................10产品白皮书—360天眼新一代威胁感知系统（TSS）11、网络攻击核武器出现：APT网络安全硝烟弥漫2010年之后，网络安全形势不断恶化，各种攻击技术飞速发展、新型攻击技术不断出现并自成体系、日臻完善。攻击行为开始由个人英雄主义逐渐发展成集团化经济犯罪、有预谋的国家行为，至今已经发展成为以获取高价值核心商业机密、高价值核心技术为目的的有组织行为，更让人担忧的是：网络攻击与渗透事实上已经成为一种独立的军事打击手段并在超级大国的政治较量与军事对抗中付诸使用。世界各国积极备战美国几大情报部门还共同对外发布了年度“世界范围内威胁”评估报告，史无前例地将网络攻击列在了对美国国家安全构成巨大威胁第一位置，着墨之重一跃超过了对阿富汗极端恐怖组织的描述。超级大国枕戈待旦2012年12月，美国国家安全局局长、军方网络战司令部基思·亚历山大将军告诉国会，美国已经拥有40支网络部队，其中13支由程序员和电脑专家组成，重点任务是在美国的网络遭受重大攻击时，向其他国家发起进攻性网络攻击。这40支部队中13支确定是用来进攻的，而此前美国官方和军方论及该国网络政策时，基本都是宣称要保护美国免遭外国黑客攻击，而不是主动发起攻击。网络攻击的核武器：APT攻击自从网络攻击出现了国家行为并被利用于军事目的之后，一种新的攻击形式：APT(AdvancedPersistentThreat)攻击便逐渐浮出水面，可以说APT攻击是真正能够对大型组织、机构、国家产生严重威胁并可能造成重大损害的网络攻击形式，也是目前各国、各大黑客团体深入研究并广泛采用的攻击形式。因其具有高度隐蔽性、长期潜伏性、破坏严重性等前所未有的攻击特性，成为商业间谍、技术间产品白皮书—360天眼新一代威胁感知系统（TSS）2谍、政治间谍、军事间谍等谍报部门发起网络攻击的首选手段。事实上，APT攻击已经成为网络攻击手段中最前沿、最具杀伤力的核武器。2、传统安全设备无法抵御APT攻击事实证明，传统安全设备已经无法抵御复杂、隐蔽的APT攻击。针对伊朗和设施的“震网攻击”、针对跨过能源公司的“夜龙攻击”、针对Google邮件服务器的“极光攻击”、针对RSASecureID的攻击、针对美国政府和国际组织的“暗鼠行动”、美国国家航空航天局（NASA）喷气推动实验室核心资料被窃取、韩国金融和电视媒体网络被大面积入侵而瘫痪，几乎所有的被曝光的APT攻击无一例外都是以入侵者的全面成功而结束，在这些已公开的APT攻击中，依靠传统安全设备的防御体系均被轻易绕过而失去防御能力。在某些APT攻击的案例（如震网攻击、夜龙攻击）中，传统安全防御设备甚至在长达数年的持续攻击中毫无察觉。无需过多讨论，APT攻击在事关各国民生命脉的能源、电力、金融、政治、军事、核设施等关键领域造成的史无前例，难以评估的严重损失的事实已经清楚告诉我们：传统安全设备无法抵御网络攻击的核武器：APT传统安全防御体系的框架一般包括：接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等，所涉及的安全产品包括：防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。从传统安全防御体系的设备和产品可以看到，这些产品遍布网络2~7层的数据分析，其中，与APT攻击相关的7层设备主要是IDS、IPS、审计，而负责7层检测IDS、IPS采用经典的CIDF检测模型，该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击，其采用的攻击手法和技术都是未知漏洞（0day）、未知恶意代码等未知行为，在这种情况下，依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下，理论上就已无法检测APT攻击。产品白皮书—360天眼新一代威胁感知系统（TSS）33、新一代检测技术已经出现在APT攻击出现之后，已经没有一个国家能够在肆虐的APT攻击面前独善其身，因此各国安全厂商、安全组织纷纷投入到APT攻击检测技术的研究之中，尤其是在APT攻击的故乡美国，对APT攻击的检测与防御技术已经开始取得了实质性的进展。通过对目前APT攻击的检测与防御思路进行总结可以看到，目前对APT攻击的防范主要分为两个主要的技术方向。第一种技术思路，是以APT攻击的在线检测与实时防御为主要目标的技术方向，在这个技术方向下，受到大家公认且效果比较好的主流技术是深度沙箱检测技术，这个技术的优点是能发现大多数的未知攻击行为，并且这种检测也是在线的实时检测，防范效果非常好，对于APT攻击的核心攻击步骤，即：利用0day漏洞植入未知恶意代码具有非常有效的检测效果，但这种技术也有明显的问题。首先，已经出现了可以探测运行环境的智能恶意代码，这种恶意代码在感知到当前运行的环境非攻击目标时，将主动停止执行，以此躲避沙箱的检测。其次，单纯利用沙箱进行检测对于检测设备的系统性能要求非常高，需要强大的计算资源保障检测的实时性和检测设备的性能。另一个关键的问题是，沙箱的检测能力受限于沙箱的种类是否丰富，否则会出现缺乏虚拟执行的环境导致无法精确检测出样本中的恶意代码。最后，这种防御思路即使能够检测出恶意代码，但是无法确定这次攻击行为是否属于APT攻击，这是APT攻击定型上的一个遗憾。采用这个技术思路的典型代表厂商是美国的安全公司Fireeye，该公司产品直接为美国政府和军方服务，并且对华禁售。第二种技术思路，是依托于大数据的历史数据回溯与关联分析技术方向，在这个技术方向下，采用的是以人工智能、数据挖据理论为基础的大数据分析技术，这个技术方向难度相比沙箱技术来说难度要大得多，因此还没有出现非常成熟的商业化产品，而多是在学术界、各大专业安全公司的研究院、实验室中被小范围验证。这个技术思路的优点非常明显，即：通过该方法，能够发现几乎所有隐蔽的APT攻击，同时能够利用历史数据对APT攻击过程进行完整的回放溯源，能够明确定性APT攻击行为，但该技术思路的缺陷也非常明显：即该技术思路属于事后追溯，也就是说，利用该方法发现的APT攻击属于已经发生过的攻击行产品白皮书—360天眼新一代威胁感知系统（TSS）4为，而无法做到有效的实时防御，同时，由于目前大数据分析技术还存在精度上的问题，所以使用该方法需要大量的人工干预才能取得理想的分析效果。另一个问题是该方法需要非常完备的历史数据，甚至是网络原始流量的存储，否则可能因为历史数据不全而无法对APT过程进行完整溯源，更严重的可能是因为关键历史数据的缺失而无法检测到APT攻击。目前世界上尚无效果得到广泛认可、采用了该技术思路的成功的商业化产品。除了这两个技术方向，还有一种综合了上述两种技术思路的检测方法，具体来说就是依靠沙箱进行在线检测，在检测到攻击之后，以此为线索对相关的历史数据进行大范围的关联分析。这种技术的优点在于既满足了对APT攻击的实时检测与防御的要求，又能够对APT攻击进行定性和全过程追溯，但由于这个技术思路刚刚开展，因此尚无可商业化的技术成果，也没有成功的产品。4、360天眼新一代威胁感知系统360天眼新一代威胁感知系统（ThreatSensitiveSystem，缩写：TSS）是奇虎360公司自主研发，具有完全自主知识产权的一款对APT攻击进行有效检测与发现的新一代威胁检测产品。该产品采取旁路部署，全流量监控、整合静态检测、动态分析等多项独创专利技术，同时结合360强大的云查杀平台，实现对APT攻击过程核心步骤（0day漏洞利用，未知恶意代码植入）的高精度检测与发现。同时，TSS与360天擎终端安全管理系统（ESS）联动，可以构建对以未知漏洞（0day）利用、未知恶意代码植入为核心的APT攻击过程从精确检测到深度防御的纵深防范体系。4.1产品架构360天眼威胁感知系统采用B/S管理架构，通过威胁检测、系统管理、存储通信相分离的低耦合模块化设计，整合360云查杀的海量病毒、恶意代码样本资源与计算资源，实现了一套低耦合、高内聚、强扩展的产品架构。360天眼TSS产品架构如下图所示：产品白皮书—360天眼新一代威胁感知系统（TSS）5威胁感知引擎（TSE）威胁感知引擎（ThreatSensitiveEngine，简称TSE）是360天眼威胁感知系统的核心模块，承担TSS对恶意