庆阳信息港

当前位置:

360这些年第三篇云主防10的云

2019/03/03 来源:庆阳信息港

导读

防御核心讲完了,接下来讲讲云主防1.0的云有些人可能已经知道了,云主防1.0中的云主要的作用就是白云智能,也就是白名单。但360云主

防御核心讲完了,接下来讲讲云主防1.0的云

有些人可能已经知道了,云主防1.0中的云主要的作用就是白云智能,也就是白名单。

但360云主防拥有的不是简单的、有限的白名单,而是一个360团队中庞大的团队收集的亿万级别白名单,有赖于巨大的白名单,实际上将核心防御解放出来了。

为什么呢?在所有没有足够白名单的行为防御软件,无论是手动HIPS还是智能HIPS也好,对于行为防御都是要缩手缩脚的,因为只要判断不周,就有可能造成大量的误拦、甚至破坏系统的数据或功能,而配备了足够的亿万级白名单后, 核心防御在拦截上就会更加灵活和从容。

当然结合白云的的意义就是,能够真正让中国的亿万用户用上从来无法被普通用户接受的HIPS防护。

这是过去的HIPS作者想都不敢想的,他们大多纠结于自己驱动的稳定性,更纠结于无法被普通人接受的、无尽的、难以理解的弹框,而和白云的结合,让360云主防彻底结束了HIPS不能让普通人用的历史,而且一用就是3亿用户。

在同云结合的过程中,360云主防也接受到了云安全必然接受的攻击,也就是断的攻击。从10年开始,我们总共发现了近40种不同的针对云的断攻击技术,而360云主防则开创了云安全的历史,将这些攻击全部一一拦截。

在内核防御的历史上,除了360云主防从未有安全软件防御过这些攻击, 在云安全的历史上,在360云主防1.0的历史过程中,除了360云主防,也从未有云安全软件能够抵御这些攻击。

大家看到某山7月在hitcon上讲了很多断的方式,但实际就在当时,某山提到的断没有一项它能拦截的,直到上周末,金山K+的版本才加入了对寥寥数种断攻击方式的防护,而就连这数种都无法正确拦截,我们看到的木马已经利用曾经在09年出现的一个古老断技术突破了某山新的防断攻击:)

相对的,360云主防2.0已经迈入了不需抗断的时代,当然,这是后话了,这也标志着某山还在云主防1.0的过程中徘徊,让我们先祝福它不要跟断了腿,同时进入下一章,也就是云主防2.0

历史介绍完了,下面我来讲目前360云主防正在经历的云主防第二阶段,也就是云主防的现在正在经历的过程。

在云主防的2.0中,我们站在了1.0坚实的内核防御基础上,目标就是让“云”的运用更加突出,实现真正的“云安全”

我先列出云主防2.0的几个关键词,再一一解析:

云端动态鉴定和拦截系统、云QVM、持久性云地连接

这几个词相信参加过360同卡饭友交流会的都不会陌生,那么他们究竟是什么呢?

解释这些之前,我想先来讲讲什么是真正的云安全

安全软件的云安全很好理解,就是基于云计算的安全防御,利用云计算来更好、更快、更轻巧地实现对木马病毒和新型安全威胁的拦截。

那么什么是真正的云计算呢?

正好国内的黑客组织幻影旅团的刺同学

近两天有一篇关于云计算的BLOG:《用户需要什么样的云计算》

这里有段不错的观点可以摘录:

“ 我听到过的直接了当的对“云计算”的定义是:有大量的数据,和大量的计算,那么就是云计算。只有数据,没有计算,那是存储;只有计算,没有数据,那是格计算。所以云计算是两者兼备的东西。而且云计算的特点是规模大,只有几十上百台服务器的不叫云计算,有几个停车场那么大的数据中心,在跑同一件任务的是云计算。”

我们知道了,有足够的规模、数据和运算缺一不可的,才叫做真正的云计算

近我发明了一个名词叫低级哈希云,什么是低级哈希云安全呢,就是说客户端负责采集一个文件哈希(不管这个哈希是MD5也好,是文件部分位置CRC也好) ,然后将哈希发到云端,云端在 数据库中检索,返回黑白、流行度等数据, 这就是低级哈希云

结合我上面讲到的定义,大家可以看到,这只有数据,仅仅是对数据库的检索,没有真正的计算,所以不是云计算,也不是真正的云安全,章有人反映提某山的太多,这里我就不提了, 反正大家都知道低级哈希云是谁的。

只有真正将大规模的用户的数据、在云端动态运算、通过实时、动态的计算和鉴识,才是真正的云安全,

云安全,就是防御技术结合海量数据的操纵,也是我下面要讲到的两个系统的特点。

1.云端动态行为鉴别和拦截系统

这是对360主防对云的深入利用的一点,也是360云主防2.0的秘密之一,所以这里不能全说,有些省略:)

从11年开始到今天,我们不断开发,在360云端部署了将近1000款云端动态行为识别鉴定器,针对不同类型的木马病毒的行为, 结合木马病毒的。。。,这些动态行为鉴别系统会自动识别未知的木马病毒,并实时指导每一个客户端如何拦截、消灭进入系统的未知木马病毒。

理解了刚才我讲的真正的云安全,大家就会明白这个系统为什么被称为云主防2.0的成员了,真正是实时在云端鉴识木马病毒的行为、计算行为的特征,在结合木马病毒的特点,才能做到有针对性地消灭木马的威胁。

同时,这套云端动态行为系统还会收集云端大量行为数据,进行统计,分析新发现的未知木马病毒种类,发现新型木马病毒或新型攻击的行为特点、传播动向等信息,一是可以帮助开发人员产生新的云端动态鉴定器,二是可以实时发现针对防御核心的新型攻击方式,及时修补漏洞,可以说是集防御拦截、行为统计、趋势分析、攻击预警和漏洞预警于一体的云端智能体系。

2.云QVM

这个大家很熟悉了,在发布时我也曾科普过, 虽然QVM的原理仍然是秘密,但是它的效果确是大家有目共睹的, 云QVM解决了本地QVM占用磁盘和内存的问题,为实现性能、体积和安全防御作出了平衡,同时,云QVM比本地QVM更快速、 更灵活、强度更高的特点也让QVM在云端发挥出了的威力,让无数木马作者尽折腰。

可能大家不知道的是,和所有其他哈希云系统不同的是,云QVM自身是将文件做真正的数据运算、得出鉴定的结果,再指导客户端如何拦截,所以云端的QVM,同样是真正的云计算、云安全。

在云主防2.0中,360云的后端也有很多的技术来实现更多地利用云计算的力量,这里我就不一一介绍了,出于保密的目的,第二也超出了这里我讲的范围,本篇还是更多地侧重于讲360云主防的客户端、以及客户端如何运用云端、和云端结合来对抗木马病毒

3.持久性云地连接

上面我们看到云计算的运用在360云主防上越来越重要了,那么随之而来将会是更多针对“云”本身的攻击,其中主要的当然就是云安全的老朋友,断攻击了

前面我曾提到,360云主防2.0是不怕断的云主防, 这里的“不怕断”已经超越了 “抗断”的范畴, 主防已经不需要再主动地对抗断攻击, 而是无惧断。

大家可以想到,云安全能够抗断,当然很好,而且是除了360外国内外云安全厂商都还没有做到的一大进步

但是在深入的思考和观察后我们发现抗断的弱点是,往往需要较高的安全技术来开发,虽然360内核高手如云,但是面临着3亿用户量的严苛的稳定性要求、3亿用户的升级时间,还是会有1~3天的时间差距,而这段时间内、这个时间差中断攻击生效,就会对用户造成损失

为了弥补抗断的不足,我们开发了持久性云地连接功能, 这是360云主防2.0的秘密之二,我也不会透露它的工作原理,你所要知道的就是,运用了持久性云地连接技术,360云主防不需要再拦截、对抗新型的断攻击手法,也不需要考虑诸如物理断的情况,永远可以在云地之间连接并实现对用户的防御,使360云主防更完美地拦截木马病毒对用户的攻击

从统计数据上来看,自从今年我们逐步升级了具备持久性云地连接技术的各个防御组件后,断攻击从过去的每月1~4起新型攻击手法降低到几乎为零,木马作者的论坛上我们也可以看到成片的哀嚎,讨论着为什么断了自己的木马还是被360云主防杀掉。

当然,本文发布的时候,360安全卫士的防御已经进入到3.0阶段,也就是云HIPS+智能防火墙防御,比之前的版本更强大,这也得益于360购买了国外防火墙Outpost的技术,并将其融入到360安全卫士之中,使得360卫士自身形成了强大的多重防御体系

当然360还有很多创新技术,比如QVM智能引擎,漏洞检测防御,自我保护,这些都是短期内很难向大家介绍的。现在没有专业人士说360的技术是小白了,因为360已经拥有令人羡慕的研发团队,小白的操作下隐藏的是惊人的技术。

为什么金山起家很早,技术反而不如360,笔者认为是国企制度害了金山,导致金山有能力的人说不上话,连金山云安全的设计人梅XX都给气走了,这样的企业怎么留得住人才,所以后来也就发生了金山安全独立出来的事情,江民更惨,死守着收费杀毒的一亩三分地,还涉足房地产,相反的技术没有任何提高,人才也被走光了,王江民死了之后他儿子王营登基,董事会都没有,靠吃老本和家族管理如何长久?就算王营是海归又能怎么样,笔者也在美国大学念本科,深知美国加拿大的本科教育综而不专,如果王营不能帮助江民把技术弄上去,这样的公司产品就算免费,也迟早淘汰的。

说实话,傅盛进了金山以后,确实这几年金山进步很快,但和360的安全产品还是有极大差距,冰封三尺非一日之寒,好比中国的歼10和美国的F22,虽然歼10在第三世界算很好的产品了,但顶多不过第三代战机,不可能跟F22第四代战机较量。腾讯虽然一直在抄360的hook钩子拦截,但是云端智能判定的技术是copy不来的,

360这些年第三篇云主防10的云

技术壁垒很大。呵呵,百度杀毒,以前超级巡警的团队成员做的产品,估计还在360的云1.0阶段早期吧,百度就那卡巴斯基的老引擎加一个百度的外壳,就能跟360叫板了?技术还停留在360杀毒2009年的水平,卡巴斯基自己优化自己的引擎代码都还不够,百度难道能比卡巴斯基做的更好?这些年360杀毒针对Bitdefender和小红伞的引擎优化已经日趋完善,达到了对系统资源占有率极低的水平,连国外的GDATA都不得不汗颜。

标签