PDF《360 天眼新一代威胁感知系统》

3、 通过高效的快速搜索技术帮助企业提升数据查找的能力

4、 通过基于大数据挖掘分析的恶意代码智能检测技术,提升了客户检测恶意代码的能力

5、 通过基于轻量级沙箱的未知漏洞攻击检测技术,提升了客户检测未知漏洞的能力

360 企业安全集团

3 /

41 密级:XXXX

6、 通过专业的专家运营团队和安全服务团队,全天候为企业保驾护航 2.2 产品原理介绍 2.2.1 产品关键技术 为了能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头 进行精准定位,天眼使用了多种关键技术来实现这个目标. 2.2.1.1 万兆网络及 IPv4/IPv6 网络环境下数据还原技术 本技术主要是采取分光器镜像网络入口上下行数据,输入到几台实体机器做相关分 析.流量搜集和分析模块使用自定义的高性能内核和驱动程序,使用独立部署模式,可 以支持最高 1Gbps,以及使用集群部署模式,可以支持高达 20Gbps 的线速流量搜集. 流量分析和数据还原使用自主知识产权的协议分析模块,可以在 IPv4/IPv6 网络环 境下,支持 HTTP (网页) 、SMTP/POP3(邮件)等主流协议的高性能分析,并拥有自 主研发的碎片文件侦测和 P2SP 重组模块,可以还原通过迅雷等国内主流 P2SP 软件下 载的文件. 图1流量还原流程图

360 企业安全集团

4 /

41 密级:XXXX 流量的还原当中使用了多种技术,包括端口匹配、流量特征检测、自动连接关联和 行为特征分析. 1)端口匹配:在网络协议发展的过程当中,已经形成了一系列的标准协议规范, 其中规定了不同协议使用的端口,而很多广泛使用的应用程序虽然没有别标准化,但已 经形成了事实上的标准端口.端口匹配就是根据这些标准或非标准的对应关系,根据 TCP/UDP 的端口来识别应用.这种方式具有检测效率高的优点,弱点是容易被伪造, 因此在端口检测的基础上,还需要增加一些特征检测的判断和分析,来进一步分析这部 分数据. 2)流量特征检测:相对于端口,不同的应用程序使用的协议也存在大量的共性. 这些共性就是所谓的流量特征.对于流量特征的识别,大致分为两种:一种是有标准协 议的识别,标准协议规定了特有的消息、命令和状态迁移机制,通过分析应用层内的这 些专有字段和状态,就可以精确可靠地识别这些协议;

另一种是未公开协议的识别,一 般需要通过逆向工程分析协议机制,直接或解密后通过报文流的特征字段来识别该通信 流量. 3)自动连接关联:随着互联网应用的发展,在互联网上传输的数据越来越多,单 个连接完成所有任务的模式也逐渐开始出现瓶颈,因此很多协议开始采用动态协商端口 的方式进行传输,这种模式最早出现在标准的 FTP 协议上,后来逐渐在语音、视频和文 件的传输上面被广泛使用.为了识别这种数据,需要根据控制链接上面的报文信息,自 动关联到数据传输的链接并对其进行还原,这种技术成为自动连接关联. 4)行为特征分析:针对一些不便于还原的数据流量,可以采用行为特征的方法进 行分析. 这种方法不试图分析出链接上面的数据, 而是使用链接的统计特征, 如连接数、 单个 IP 的连接模式、上下行流量的比例、数据包发送频率等指标来区分应用类型.如 网络电话应用通常语音数据报文长度较为稳定,发送频率较为恒定,P2P 网络应用单 IP 的连接数多、每个连接的端口号都不同、文件共享数据包包长大而稳定等等,都是可以 利用来进行应用特征检测的特征指标. 对互联网数据的识别是上述多种技术综合运用.流量分析和文件还原模块会使用这 些技术,能够支持 Web、文件、邮件等主流的协议,并能够支持具有中国本土特征的应