360天擎产品与技术培训.ppt

XP盾甲“七冠王” 7月31日，为检验各安全企业XP防护产品是否真正能够保护XP安全，由中国网络空间安全协会（筹）竞评演练工作组主办的XP靶场挑战赛火爆上演。经过长达一天的激烈攻防大战，有东半球最强白帽子军团之称的360公司再次经受住了考验，360XP盾甲在比赛中坚守成功。这是继今年4月5日举行的首个XP攻防挑战赛后，360XP盾甲再次取得XP挑战赛冠军。 360已经在国内外组织的有关XP防护产品的七次挑战赛及测评中全部胜出，成为实至名归的“七冠王”，彰显了360公司在安全领域特别是XP防护领域的绝对实力。 * * * * * 云查杀技术需要大量的样本资源、计算资源、检测技术资源，如果没有这些资源作支撑，则无法构建高质量的云查杀系统，本质上来说，云查杀系统是一个海量资源系统，这个资源系统中，既包括客户资源，又包括硬件资源与软件算法资源 * 云查杀技术需要大量的样本资源、计算资源、检测技术资源，如果没有这些资源作支撑，则无法构建高质量的云查杀系统，本质上来说，云查杀系统是一个海量资源系统，这个资源系统中，既包括客户资源，又包括硬件资源与软件算法资源 * 目前360杀毒软件是国内唯一包揽AV-C、AV-TEST、VB100、CheckMark、ICSA、OPSWAT等各大国际评测“全满贯”的杀毒软件。 * * 1）领先的终端安全防御 双静态查毒引擎、双静态病毒库 文件信誉引擎（全球最大），需要联网 已知病毒、恶意代码 恶意URL 网马 未知病毒、恶意代码 人工智能的专利引擎：QVM-II 虚拟执行的沙箱引擎：VXE 文件运行时跟踪引擎：主动防御（RTE） 恶意URL信誉引擎（国内最全），需要联网 APT 特种木马 私有云白名单 非白即黑强安全策略控制 防黑加固 XP加固、基于IP、端口的主机防火墙，高危端口封堵 弱口令监测、系统帐号及权限变更监测 特征库（60亿+） 黑名单（20亿+） 白名单（１亿＋） 提高查杀能力，及时升级 适应网络封闭，物理隔离环境 近乎100%的绝对安全保障 终端防御核心技术：云查杀机制 QVM人工智能引擎是Qihoo Support Vector Machine（奇虎支持向量机）的缩写。是360完全自主研发的第三代恶意代码检测引擎（已获得国际PCT专利） 终端防御核心技术：智能查杀引擎（QVM） 检测 建模 训练 切片 基于大数据（20亿 样本）与人工智能 技术 在北美与欧洲针对未知恶意代码的测评中屡获第一 已获得多项国际PCT 专利 终端防御核心技术：应用级Sandbox 传统技术： 1、终端安全基线管理（应用与配置白名单） 2、终端主机防火墙（网络访问白名单） 优点： 技术简单，针对违规情况比较有效 缺点： 简单机械，如果白名单中的应用 存在漏洞，则系统依然存在 存在被攻击的风险 Office 沙箱 危险应用隔离 在沙盒之中打开漏高危应用（IE、Office），即使这些应用遭到攻击，也无法危及到所宿主的Windows系统 I/O重定向 所有操作都重定向到虚拟内存区域，攻击陷入沙盒之中而无计可施 IE 沙箱 传统技术： 采用亡羊补牢的办法针对已知漏洞逐一修复， 无法抵御未知漏洞（0day）的攻击，无 法做到提前预防，漏洞修复的速度 永远滞后于漏洞出现的速度， 这种缺陷是APT攻击屡屡 成功的病根 补一防百 ---修复一个操作系统安全机制的缺陷，可以有效防止成百上千的漏洞攻击 标本兼治 ---从源头上祛除操作系统的漏洞病灶，彻底根除安全隐患 提前预防APT ---从机理上检测0day漏洞攻击，实现对APT攻击的早期检测 七战七捷！ 终端防御核心技术：系统加固（everyday技术） 白名单文件 内置近1亿高纯度白名单库 涵盖绝大多数已知主流应用 通过文件MD5识别白文件 非白名单文件均视为不安全的黑文件 禁止运行 非白名单文件 黑白策略 自由区： 无百名单，黑文件禁止运行，未知文件提示后选择运行 办公区： 白名单 = 360系统白名单 + 用户自定义白名单， 涉密网： 白名单 = 用户自定义白名单 终端防御核心技术：“非白即黑”白名单 终端防御核心技术：主动防御（HIPS） 进程行为 进程创建 进程加载 进程销毁 进程注入 …… 系统行为 系统调用 注册表修改 用户权限提升 Shell命令调用 ……. 文件行为 文件打开、加载 文件网络I/O 可疑文件释放 ……. 网络行为 文件网络行为 邮件发送行为 进程网络行为 ……. 驱动行为 驱动加载 驱动hook行为 驱动网络行为 ……. 用大数据、云计算技术做防病毒的门槛 样本资源 构建云查杀系统，需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑 。 奇虎360拥有积累了近20年，超过20亿的病毒样本（黑名