PDF《360 天眼新一代威胁感知系统》

360 企业安全集团

5 /

41 密级:XXXX 用程序协议. 2.2.1.2 规模化沙箱动态检测技术 新一代威胁感知系统采用规模化动态沙箱的技术对 APT 攻击的核心环节 恶意代 码植入 进行检测,与传统的采用基于恶意代码特征匹配的检测方法不同,新一代威胁 感知系统所采用的规模化动态沙箱的方法可以对未知的恶意代码进行有效检测,这种利 用对恶意代码的行为进行动态分析的方法,可以避免因为无法提前获得未知恶意代码特 征而漏检的问题, 亦即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本 进行有效的检测,因为未知恶意代码是 APT 攻击的核心步骤,因此对未知恶意代码样 本的有效检测,可以有效解决 APT 攻击过程的检测问题. 新一代威胁感知系统相对于其他同类产品的最大特点在于:将会提供了非常丰富的 沙箱环境, 这种规模化的沙箱环境可以有效保障每种待检测的文件样本都有其适合打开、 运行的沙箱环境,同时新一代威胁感知系统的沙箱采用了高级优化技术,可以有效降低 样本文件在沙箱之中打开、运行过程中的内存资源消耗、CPU 资源消耗,与其他同类型 产品相比,可以以最小的资源消耗、最快的速度得出准确的检测结果. 目前新一代威胁感知系统需要模拟沙箱环境包括:PDF 沙箱、Word 沙箱、浏览器 沙箱、邮件沙箱、图片沙箱等.同时,借助于新一代威胁感知系统的多核平台,新一代 威胁感知系统中的各种规模化沙箱可以绑定在处理器的物理核心上进行快速运行,这种 进程与处理器绑定的方式可以有效降低进程在处理器的不同处理核心上切换所带来的 资源开销,降低并发检测线程之间的资源竞争,有效提高资源利用率. 新一代威胁感知系统与国内外其他同类型产品相比,最大的优势将在于所模拟的沙 箱类型众多,可以提供更多、更精确的文件类型的沙箱检测,与国内同类型产品星云系 统相比,新一代威胁感知系统模拟的沙箱类型将会超过星云系统的一倍,而与国外的同 类型产品 Fireeye 相比,新一代威胁感知系统将会支持更多类型的中国国产软件及系统 的沙箱模拟,比如:新一代威胁感知系统可以模拟国产软件 WPS 的沙箱环境,但是美 国的同类型产品 Fireeye 则无法模拟 WPS 文件的打开与运行环境,这样,在WPS 文件 中含有恶意代码的情况下 Fireeye 产品将会产生漏报.

360 企业安全集团

6 /

41 密级:XXXX 2.2.1.3 基于大数据挖掘的恶意代码智能检测技术 该技术是一个人工智能引擎,依靠海量数据挖掘、引入机器智能学习算法,能够有 效准确识别未知恶意软件,能够根据已知的正常软件和恶意软件的大量样本,通过数据 挖掘找出两类软件最具有区分度的特征,建立机器学习模型,使用机器学习算法,得到 恶意软件的识别模型.通过获得的模型对未知程序进行分析判断,即可获得软件的恶意 概率,从而在可控的误报率之下尽可能多的发现恶意程序. 该引擎的学习流程如下图所示: 图2QVM 引擎机器学习流程示意图 样本管理平台负责管理训练样本,并且对可疑样本可进行人工分析,保证训练样本 的纯度,并给下面的阶段提供数据. 通过对训练样本的数据挖掘,例如导入 API 函数、PE 头部信息、代码反汇编信息 等等进行海量数据挖掘,找到海量 PE 文件特征.应用特征选取算法,选取最有效的特 征,建立特征模型. 利用特征模型对训练样本数据进行数据特征化变换,生成对应的特征向量,利用成 熟的机器学习算法 (例如 SVM), 对样本进行训练, 得到恶意程序识别问题的识别模型.