產(chǎn)品設計原理及架構(gòu)

360天眼是360公司推出的新一代未知威脅感知系統(tǒng)，可針對政府、金融、能源、運營商等大型企業(yè)用戶提供未知威脅的發(fā)現(xiàn)與回溯功能。一方面，天眼可基于360自有的多維度海量互聯(lián)網(wǎng)數(shù)據(jù)進行自動挖掘和云端關(guān)聯(lián)分析，提前洞悉各種安全威脅，并向客戶推送定制的專屬威脅情報；同時，結(jié)合部署在客戶本地的硬件設備，天眼還可對本地流量進行深度分析和存儲，幫助客戶實現(xiàn)對未知威脅惡意行為的早起快速發(fā)現(xiàn)，并對受害目標和攻擊源頭進行精確定位，最終實現(xiàn)對威脅入侵途徑的回溯。

360天眼系統(tǒng)主要采用了基于大數(shù)據(jù)分析的威脅情報、多引擎沙箱檢測與搜索引擎分析技術(shù)。

1.基于大數(shù)據(jù)分析的威脅情報技術(shù)

可通過對互聯(lián)網(wǎng)上的海量數(shù)據(jù)進行深度挖掘，有效發(fā)現(xiàn)APT攻擊，生成威脅情報。360在云端擁有海量的安全數(shù)據(jù)，DNS庫擁有50億DNS解析記錄，每天新增100萬；樣本庫總樣本95億，每天新增900萬；360URL庫每天處理100億條，覆蓋國內(nèi)60%以上的客戶端；主防庫覆蓋5億客戶端；總?cè)罩緮?shù)50000億條，每天新增100億。

2.基于多引擎沙箱的檢測技術(shù)

可對APT攻擊的核心環(huán)節(jié)“惡意代碼植入”進行檢測，與傳統(tǒng)的采用基于惡意代碼特征匹配的檢測方法不同，基于多引擎沙箱的本地檢測系統(tǒng)所采用的方法可以對未知的惡意代碼進行有效檢測，利用這種對惡意代碼行為進行動態(tài)分析的方法，可以避免因為無法提前獲得未知惡意代碼特征而漏檢的問題，即在無需提前預知惡意代碼樣本的情況下仍然可以對惡意代碼樣本進行有效的檢測。因為免殺木馬是APT攻擊的核心步驟，因此對惡意代碼樣本的有效檢測，可以有效解決APT攻擊過程的檢測問題。

3.基于搜索引擎的分析技術(shù)

可以對本地抓取的海量數(shù)據(jù)進行快速檢索，從而進行高效分析，對內(nèi)網(wǎng)的攻擊行為進行歷史回溯。在本地數(shù)據(jù)的存儲和檢索方面，360使用ElasticSearch檢索平臺作為基于搜索技術(shù)的數(shù)據(jù)分析平臺基礎(chǔ)，同時進行了定制化修改，并配套了大量的檢索和分析軟件以對數(shù)據(jù)做到高效分析。

圖1 360天眼系統(tǒng)架構(gòu)圖

360天眼系統(tǒng)的整體架構(gòu)如圖1所示。

從圖1可以看出，360天眼主要由威脅感知引擎模塊（TSE）和威脅感知管理模塊（TSM）構(gòu)成，TSE的主要工作包括底層的數(shù)據(jù)抓取、數(shù)據(jù)預處理以及并行威脅檢測。而TSM主要工作是數(shù)據(jù)存儲和管理、數(shù)據(jù)分析、威脅報警、針對特定安全威脅與360升級服務器和360公有云查殺服務器進行聯(lián)動處理以及分析結(jié)果展示。二者相輔相成、缺一不可，共同組成了大數(shù)據(jù)安全分析的完整處理流程。

產(chǎn)品功能

360天眼主要具備如下三個功能。

1.分析（云端持續(xù)分析）

360基于云端海量的網(wǎng)絡基礎(chǔ)數(shù)據(jù)和樣本文件數(shù)據(jù)，通過數(shù)據(jù)挖掘、機器學習等人工智能算法和持續(xù)的安全專家運營對互聯(lián)網(wǎng)內(nèi)的每天新增的新型木馬、流行木馬甚至是APT攻擊進行發(fā)現(xiàn)和跟蹤，并對攻擊發(fā)生的背景和源頭進行挖掘。所有分析結(jié)果都將以威脅情報的形式單向推送至企業(yè)客戶。

2.發(fā)現(xiàn)（本地實時發(fā)現(xiàn)）

360天眼可以通過一整套硬件系統(tǒng)對企業(yè)網(wǎng)絡中的流量進行全量檢測和記錄，所有網(wǎng)絡行為都將以標準化的格式保存于天眼的數(shù)據(jù)平臺，并可結(jié)合360云端發(fā)現(xiàn)的威脅情報對企業(yè)內(nèi)網(wǎng)已經(jīng)發(fā)生和正在發(fā)生的未知威脅進行發(fā)現(xiàn)。

3.回溯（問題精準回溯）

利用云端豐富的實時威脅情報和企業(yè)本地的多樣化網(wǎng)絡行為，天眼系統(tǒng)可以為企業(yè)客戶呈現(xiàn)一次攻擊的完整情報，它將覆蓋攻擊的源頭、手段、目標、范圍等相關(guān)信息，可對任何一個被發(fā)現(xiàn)的未知威脅進行快速的回溯和定性，輕松分辨APT攻擊和普通網(wǎng)絡攻擊。

應用部署

360天眼系統(tǒng)可以輕松部署于企業(yè)網(wǎng)絡的任何位置，對企業(yè)網(wǎng)絡出口流量進行分析和記錄。所有云端威脅情報都將以單向方式推送至天眼企業(yè)本地系統(tǒng)，以幫助客戶快速發(fā)現(xiàn)內(nèi)部的未知威脅。圖2是360天眼系統(tǒng)的典型部署圖。

360天眼分析平臺可部署在企業(yè)內(nèi)網(wǎng)任何路由可達的位置，而360天眼傳感器部署位置可以靈活多變，部署在不同的位置，可以發(fā)揮不同作用。結(jié)合企業(yè)內(nèi)部實際網(wǎng)絡架構(gòu)，天眼傳感器一般可部署在如下三個位置。

1.辦公網(wǎng)互聯(lián)網(wǎng)出口

在此位置部署網(wǎng)絡傳感器，通過鏡像互聯(lián)網(wǎng)出口流量，并將流量異常行為提交給檢測器分析，這樣可以有效發(fā)現(xiàn)魚叉攻擊、水坑攻擊等APT攻擊常用手段，并能最大限度地發(fā)揮發(fā)現(xiàn)高級威脅的作用。

2.旁路接入內(nèi)網(wǎng)核心交換機

對于某些封閉的內(nèi)網(wǎng)環(huán)境，存在從其他網(wǎng)絡接口或U盤等便攜設備接入當前網(wǎng)絡的安全問題，該方式可以對所有內(nèi)部網(wǎng)絡流量進行分析。

圖2 360天眼系統(tǒng)部署圖

3.開放服務系統(tǒng)前端

對于部分開放的服務系統(tǒng)，在其網(wǎng)絡前端部署傳感器可提供安全防護能力，可對 HTTP、SMTP、POP3、FTP等服務中傳輸?shù)臄?shù)據(jù)流量進行高級威脅檢測。

360企業(yè)安全相關(guān)產(chǎn)品

1.天擎

360天擎終端安全管系統(tǒng)是360面向政府、企業(yè)、金融、軍隊、醫(yī)療、教育、制造業(yè)等大型企事業(yè)單位推出的集防病毒與終端安全管控于一體的解決方案。360天擎終端安全管理系統(tǒng)，以大數(shù)據(jù)技術(shù)為支撐、以可靠服務為保障，它能夠為用戶精確檢測已知病毒木馬、未知惡意代碼，有效防御APT攻擊，并提供終端資產(chǎn)管理、漏洞補丁管理、安全運維管控、網(wǎng)絡安全準入、移動存儲管理、終端安全審計、XP盾甲防護諸多功能。

2.天機

360企業(yè)安全集團面向政府、金融、運營商、能源、制造等企業(yè)推出的新一代企業(yè)級移動終端安全管理系統(tǒng)，基于360在海量移動終端上的安全技術(shù)與運營經(jīng)驗，為客戶移動終端在使用企業(yè)資源時，提供從硬件、OS、應用、數(shù)據(jù)到鏈路等多層次的安全防護方案，確保企業(yè)數(shù)據(jù)和應用在移動終端上的安全性。

3.天巡

360企業(yè)安全集團面向企業(yè)無線應用環(huán)境推出的安全威脅發(fā)現(xiàn)與防護系統(tǒng)。系統(tǒng)基于360在無線領(lǐng)域的攻防能力與自身安管的經(jīng)驗，將無線通信技術(shù)、無線攻防、數(shù)據(jù)分析與挖掘等技術(shù)相結(jié)合，確保企業(yè)的無線網(wǎng)絡邊界安全、可控。采用B/S架構(gòu)，收發(fā)引擎分布式部署在企業(yè)辦公環(huán)境中，將收集到的熱點信息傳給中控服務器，管理員即可通過瀏覽器訪問360天巡Web管理平臺，通過Web管理平臺查看企業(yè)內(nèi)部熱點信息，并對惡意、違規(guī)的熱點進行阻斷。