360天眼系统

产品设计原理及架构

360天眼是360公司推出的新一代未知威胁感知系统，可针对政府、金融、能源、运营商等大型企业用户提供未知威胁的发现与回溯功能。一方面，天眼可基于360自有的多维度海量互联网数据进行自动挖掘和云端关联分析，提前洞悉各种安全威胁，并向客户推送定制的专属威胁情报；同时，结合部署在客户本地的硬件设备，天眼还可对本地流量进行深度分析和存储，帮助客户实现对未知威胁恶意行为的早起快速发现，并对受害目标和攻击源头进行精确定位，最终实现对威胁入侵途径的回溯。

360天眼系统主要采用了基于大数据分析的威胁情报、多引擎沙箱检测与搜索引擎分析技术。

1.基于大数据分析的威胁情报技术

可通过对互联网上的海量数据进行深度挖掘，有效发现APT攻击，生成威胁情报。360在云端拥有海量的安全数据，DNS库拥有50亿DNS解析记录，每天新增100万；样本库总样本95亿，每天新增900万；360URL库每天处理100亿条，覆盖国内60%以上的客户端；主防库覆盖5亿客户端；总日志数50000亿条，每天新增100亿。

2.基于多引擎沙箱的检测技术

可对APT攻击的核心环节“恶意代码植入”进行检测，与传统的采用基于恶意代码特征匹配的检测方法不同，基于多引擎沙箱的本地检测系统所采用的方法可以对未知的恶意代码进行有效检测，利用这种对恶意代码行为进行动态分析的方法，可以避免因为无法提前获得未知恶意代码特征而漏检的问题，即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测。因为免杀木马是APT攻击的核心步骤，因此对恶意代码样本的有效检测，可以有效解决APT攻击过程的检测问题。

3.基于搜索引擎的分析技术

可以对本地抓取的海量数据进行快速检索，从而进行高效分析，对内网的攻击行为进行历史回溯。在本地数据的存储和检索方面，360使用ElasticSearch检索平台作为基于搜索技术的数据分析平台基础，同时进行了定制化修改，并配套了大量的检索和分析软件以对数据做到高效分析。

图1 360天眼系统架构图

360天眼系统的整体架构如图1所示。

从图1可以看出，360天眼主要由威胁感知引擎模块（TSE）和威胁感知管理模块（TSM）构成，TSE的主要工作包括底层的数据抓取、数据预处理以及并行威胁检测。而TSM主要工作是数据存储和管理、数据分析、威胁报警、针对特定安全威胁与360升级服务器和360公有云查杀服务器进行联动处理以及分析结果展示。二者相辅相成、缺一不可，共同组成了大数据安全分析的完整处理流程。

产品功能

360天眼主要具备如下三个功能。

1.分析（云端持续分析）

360基于云端海量的网络基础数据和样本文件数据，通过数据挖掘、机器学习等人工智能算法和持续的安全专家运营对互联网内的每天新增的新型木马、流行木马甚至是APT攻击进行发现和跟踪，并对攻击发生的背景和源头进行挖掘。所有分析结果都将以威胁情报的形式单向推送至企业客户。

2.发现（本地实时发现）

360天眼可以通过一整套硬件系统对企业网络中的流量进行全量检测和记录，所有网络行为都将以标准化的格式保存于天眼的数据平台，并可结合360云端发现的威胁情报对企业内网已经发生和正在发生的未知威胁进行发现。

3.回溯（问题精准回溯）

利用云端丰富的实时威胁情报和企业本地的多样化网络行为，天眼系统可以为企业客户呈现一次攻击的完整情报，它将覆盖攻击的源头、手段、目标、范围等相关信息，可对任何一个被发现的未知威胁进行快速的回溯和定性，轻松分辨APT攻击和普通网络攻击。

应用部署

360天眼系统可以轻松部署于企业网络的任何位置，对企业网络出口流量进行分析和记录。所有云端威胁情报都将以单向方式推送至天眼企业本地系统，以帮助客户快速发现内部的未知威胁。图2是360天眼系统的典型部署图。

360天眼分析平台可部署在企业内网任何路由可达的位置，而360天眼传感器部署位置可以灵活多变，部署在不同的位置，可以发挥不同作用。结合企业内部实际网络架构，天眼传感器一般可部署在如下三个位置。

1.办公网互联网出口

在此位置部署网络传感器，通过镜像互联网出口流量，并将流量异常行为提交给检测器分析，这样可以有效发现鱼叉攻击、水坑攻击等APT攻击常用手段，并能最大限度地发挥发现高级威胁的作用。

2.旁路接入内网核心交换机

对于某些封闭的内网环境，存在从其他网络接口或U盘等便携设备接入当前网络的安全问题，该方式可以对所有内部网络流量进行分析。

图2 360天眼系统部署图

3.开放服务系统前端

对于部分开放的服务系统，在其网络前端部署传感器可提供安全防护能力，可对 HTTP、SMTP、POP3、FTP等服务中传输的数据流量进行高级威胁检测。

360企业安全相关产品

1.天擎

360天擎终端安全管系统是360面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。360天擎终端安全管理系统，以大数据技术为支撑、以可靠服务为保障，它能够为用户精确检测已知病毒木马、未知恶意代码，有效防御APT攻击，并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。

2.天机

360企业安全集团面向政府、金融、运营商、能源、制造等企业推出的新一代企业级移动终端安全管理系统，基于360在海量移动终端上的安全技术与运营经验，为客户移动终端在使用企业资源时，提供从硬件、OS、应用、数据到链路等多层次的安全防护方案，确保企业数据和应用在移动终端上的安全性。

3.天巡

360企业安全集团面向企业无线应用环境推出的安全威胁发现与防护系统。系统基于360在无线领域的攻防能力与自身安管的经验，将无线通信技术、无线攻防、数据分析与挖掘等技术相结合，确保企业的无线网络边界安全、可控。采用B/S架构，收发引擎分布式部署在企业办公环境中，将收集到的热点信息传给中控服务器，管理员即可通过浏览器访问360天巡Web管理平台，通过Web管理平台查看企业内部热点信息，并对恶意、违规的热点进行阻断。