360天眼新一代威胁感知系统产品技术白皮书█文档编号█密级█版本编号█日期©2015 360企业安全集团密级：XXXX █ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属360企业安全集团所有，受到有关产权及版权法保护。

任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。

█ 适用性说明本模板用于撰写360企业安全集团中各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。

█ 版本变更记录目录目录 (2)1引言 (1)2产品综述 (2)2.1产品设计目标 (2)2.1.1产品价值 (2)2.2产品原理介绍 (3)2.2.1产品关键技术 (3)2.2.2关键技术实现的效果 (16)2.3产品组成与架构 (17)2.3.1威胁情报 (18)2.3.2分析平台 (18)2.3.3传感器 (19)2.3.4文件威胁鉴定器 (19)2.4产品模块间数据流程描述 (20)2.5产品型号及规格说明 (21)2.5.1产品型号与硬件产品实拍 (21)2.5.2各型号的关键功能规格说明 (22)3产品性能说明（待硬件平台更换后补充） (25)3.1天眼各模块产品性能说明 (25)4实施部署说明 (27)4.1未知威胁检测及回溯方案实施部署 (27)4.1.1未知威胁检测及回溯方案说明 (27)4.1.2所需设备说明 (27)4.1.3所需带宽说明 (30)4.1.4所需通信资源说明 (30)4.1.5实施拓扑图 (30)4.1.6实施步骤说明 (31)4.2高级威胁检测方案实施部署 (32)4.2.1高级威胁检测方案说明 (32)4.2.2所需设备说明 (32)4.2.3所需带宽说明 (34)4.2.4所需通信资源说明 (34)4.2.5实施拓扑图 (35)4.2.6实施步骤说明 (35)4.3本地威胁发现方案实施部署 (36)4.3.1本地威胁发现方案说明 (36)©2015 360企业安全集团密级：XXXX4.3.2所需设备说明 (37)4.3.3所需带宽说明 (38)4.3.4所需通信资源说明 (38)4.3.5实施拓扑图 (39)4.3.6实施步骤说明 (39)5产品优势与特点 (40)©2015 360企业安全集团密级：XXXX1引言近年来，具备国家和组织背景的APT攻击日益增多，例如：2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等，2014年APT攻击的主要目标行业是金融和政府，分别高达84%和77%。

从2014年至今，360公司已发现了20多起APT事件，确认为针对科技、教育、能源和交通多个领域的定向攻击，影响全国近30个省市；发现的各类免杀木马超过10种，涉及Windows、Mac OS 和Android平台。

关于APT攻击对我国造成的危害，在2015年5月360公司刚刚发布的APT攻击报告《数字海洋的游猎者持续3年的网络攻击威胁》就有非常详尽的说明。

2012年4月起至今，某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。

该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播免杀木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料。

根据该组织的某些攻击特点，360公司将其命名为OceanLotus（海莲花）。

传统安全防御体系的设备和产品遍布网络2 ~ 7层的数据分析。

其中，与APT攻击相关的7层设备主要是IDS、IPS、审计，而负责7层检测IDS、IPS采用经典的CIDF检测模型，该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。

反观APT攻击，其采用的攻击手法和技术都是未知漏洞（0day）、未知恶意代码等未知行为，在这种情况下，依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下，理论上就已无法检测APT 攻击。

APT攻击通常都会在内网的各个角落留下蛛丝马迹，真相往往隐藏在网络的流量中。

传统的安全事件分析思路是遍历各个安全设备的告警日志，尝试找出其中的关联关系。

但依靠这种分析方式，传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测，也就无法产生相应的告警，安全人员花费大量精力进行告警日志分析往往都是徒劳无功。

如果采用全流量采集的思路，一方面是存储不方便，每天产生的全流量数据会占用过多的存储空间，组织通常没有足够的资源来支撑长时间的存储；另一方面是全流量数据包含了结构化数据、非结构化数据，涵盖了视屏、图片、文本等等多种格式，无法直接进行格式化检索，安全人员也就无法从海量的数据中找到有价值的信息。

在安全形势不断恶化的今天，政府、军队、金融、大型企业等客户所处的特殊位置，经常会面临来自互联网的攻击威胁，虽然企业的安全管理人员已经在网络中的各个位置部署了大量的安全设备，但仍然会有部分威胁绕过所有防护直达企业内部，对重要数据资产造成泄漏、损坏或篡改等严重损失。

因此企业需要在其网络中部署威胁感知产品，及时发现潜藏在其网络中的安全威胁，对威胁的恶意行为实现早期的快速发现，对受害目标及攻击源头进行精准定位，对入侵途径及攻击者背景的研判与溯源，从源头上解决企业网络中的安全问题，尽可能地减少安全威胁对企业带来的损失。

2产品综述360天眼新一代威胁感知系统（以下简称“天眼”）可基于360自有的多维度海量互联网数据，进行自动化挖掘与云端关联分析，提前洞悉各种安全威胁，并向客户推送定制的专属威胁情报。

同时结合部署在客户本地的软、硬件设备，360天眼能够对未知威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，最终达到对入侵途径及攻击者背景的研判与溯源。

2.1产品设计目标由于日益频繁的APT攻击为企业内网带来了更多的安全威胁，而现阶段企业搭建的安全防御产品对于未知威胁检测的能力明显不足，所以360天眼新一代威胁感知系统的设计目标是基于360自有的多维度海量互联网数据，通过自动化挖掘与云端关联分析，提前洞悉未知安全威胁；并通过在客户本地部署的硬件设备，进行本地流量深度分析，实现未知威胁的早期快速发现；对受害目标和攻击源头进行精准定位，实现威胁入侵途径回溯，帮助企业防患于未察。

2.1.1产品价值360天眼可以为用户带来以下几方面的价值：1、通过使用互联网数据发掘APT攻击线索，提升企业对威胁看见的能力2、以威胁情报形式打通攻击定位、溯源与阻断多个工作环节，帮助企业从源头上解决安全问题3、通过高效的快速搜索技术帮助企业提升数据查找的能力4、通过基于大数据挖掘分析的恶意代码智能检测技术，提升了客户检测恶意代码的能力5、通过基于轻量级沙箱的未知漏洞攻击检测技术，提升了客户检测未知漏洞的能力6、通过专业的专家运营团队和安全服务团队，全天候为企业保驾护航2.2产品原理介绍2.2.1产品关键技术为了能够对未知威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，天眼使用了多种关键技术来实现这个目标。

2.2.1.1万兆网络及IPv4/IPv6网络环境下数据还原技术本技术主要是采取分光器镜像网络入口上下行数据，输入到几台实体机器做相关分析。

流量搜集和分析模块使用自定义的高性能内核和驱动程序，使用独立部署模式，可以支持最高1Gbps，以及使用集群部署模式，可以支持高达20Gbps 的线速流量搜集。

流量分析和数据还原使用自主知识产权的协议分析模块，可以在IPv4/IPv6网络环境下，支持HTTP （网页）、SMTP/POP3（邮件）等主流协议的高性能分析，并拥有自主研发的碎片文件侦测和P2SP重组模块，可以还原通过迅雷等国内主流P2SP软件下载的文件。

传感器图1 流量还原流程图流量的还原当中使用了多种技术，包括端口匹配、流量特征检测、自动连接关联和行为特征分析。

1）端口匹配：在网络协议发展的过程当中，已经形成了一系列的标准协议规范，其中规定了不同协议使用的端口，而很多广泛使用的应用程序虽然没有别标准化，但已经形成了事实上的标准端口。

端口匹配就是根据这些标准或非标准的对应关系，根据TCP/UDP的端口来识别应用。

这种方式具有检测效率高的优点，弱点是容易被伪造，因此在端口检测的基础上，还需要增加一些特征检测的判断和分析，来进一步分析这部分数据。

2）流量特征检测：相对于端口，不同的应用程序使用的协议也存在大量的共性。

这些共性就是所谓的流量特征。

对于流量特征的识别，大致分为两种：一种是有标准协议的识别，标准协议规定了特有的消息、命令和状态迁移机制，通过分析应用层内的这些专有字段和状态，就可以精确可靠地识别这些协议；另一种是未公开协议的识别，一般需要通过逆向工程分析协议机制，直接或解密后通过报文流的特征字段来识别该通信流量。

3）自动连接关联：随着互联网应用的发展，在互联网上传输的数据越来越多，单个连接完成所有任务的模式也逐渐开始出现瓶颈，因此很多协议开始采用动态协商端口的方式进行传输，这种模式最早出现在标准的FTP协议上，后来逐渐在语音、视频和文件的传输上面被广泛使用。

为了识别这种数据，需要根据控制链接上面的报文信息，自动关联到数据传输的链接并对其进行还原，这种技术成为自动连接关联。

4）行为特征分析：针对一些不便于还原的数据流量，可以采用行为特征的方法进行分析。

这种方法不试图分析出链接上面的数据，而是使用链接的统计特征，如连接数、单个IP的连接模式、上下行流量的比例、数据包发送频率等指标来区分应用类型。

如网络电话应用通常语音数据报文长度较为稳定，发送频率较为恒定，P2P网络应用单IP 的连接数多、每个连接的端口号都不同、文件共享数据包包长大而稳定等等，都是可以利用来进行应用特征检测的特征指标。

对互联网数据的识别是上述多种技术综合运用。

流量分析和文件还原模块会使用这些技术，能够支持Web、文件、邮件等主流的协议，并能够支持具有中国本土特征的应用程序协议。

2.2.1.2规模化沙箱动态检测技术新一代威胁感知系统采用规模化动态沙箱的技术对APT攻击的核心环节“恶意代码植入”进行检测，与传统的采用基于恶意代码特征匹配的检测方法不同，新一代威胁感知系统所采用的规模化动态沙箱的方法可以对未知的恶意代码进行有效检测，这种利用对恶意代码的行为进行动态分析的方法，可以避免因为无法提前获得未知恶意代码特征而漏检的问题，亦即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测，因为未知恶意代码是APT攻击的核心步骤，因此对未知恶意代码样本的有效检测，可以有效解决APT攻击过程的检测问题。