360云主防科普 - 360云主防的过去、现在和未来 - 连载完成

Tron

之前答应七宝在360区多对360云主防做一点科普，只是一直碍于工作和生活的繁忙，一直未能兑现，正好国庆假期有时间，于是用一个下午整理扩充一下简单做个国庆科普献礼吧，有很多内容来自我之前在360同卡饭网友交流会上的一个议题《360云防御》，也不算是多么神秘的内容了

另外在这里我也要再次向360最团结和最勤劳的主防团队、及其卓越的领导者paul同学致敬，paul同学是下面科普中提到的很多新技术的开创者和推动者，也是我见过的对安全理解最深刻的华人之一。


帖子内容偏向技术化，所以你需要有一定的安全软件常识来理解
有不明白的可以问， 但是有些东西不能讲得太细，所以我不一定会回答所有问题，当然我们不惧怕小抄，因为360云主防在飞速地不断进步。


什么是360云主防，360云主防的阶段

360云主防 全称可以叫做 奇虎360基于云计算的智能行为主动防御系统，也就是大家在360安全卫士右下角托盘右键中可以点出的“木马防火墙”功能，同时，360云主防也整合入了360杀毒中。从全称中大家可以理解到，我们要构建的就是一个充分利用云计算技术和智能的内核技术的行为防御软件。

我将云主防的发展分成多个阶段，360云主防从09年开始开发，到10年中我称为360云主防1.0，也就是第一阶段，目前360云主防正在经历的是云主防的第二阶段，第三阶段也就是云主防3.0正在开发中，相信不久后就会和大家见面了

所以大家明白了这个科普的副标题：《360云主防的过去、现在和未来》，这也是我在10年的内部交流中的一个议题的名字：）

第一阶段的目标是通过云+高强度智能HIPS，在安全性、易用性、稳定性上超越当时世界上所有主动防御产品。

我们首先打造了一个内核新颖、强健的高强度智能HIPS核心

为什么叫它高强度的智能HIPS呢？

第一是高强度，这体现在 安全性、稳定性两个方面，大家都知道，360集合了国内对内核安全防御有着非常深入理解和研究的高手，诸位高手协力开发，打造了一个超越当时世界上其他安全防御产品的强度和稳定性的HIPS核心
关于安全性，如果在HIPS区看过我攻破各种以前卡饭视为神的手动HIPS系统就知道，HIPS自身核心的安全性非常重要，跟规则没有关系，再强的规则，如果核心安全出问题，一样会被攻破

1.核心拦截逻辑的安全性
表面上看去，各家HIPS都做了行为拦截，普通的程序行为各个防御软件都一样能拦截到，但内部的逻辑处理安全性则是千差万别的，而这点是非常重要的，否则轻则被特殊的调用方式绕过，重则存在安全漏洞，大家都知道360在安全防御、内核漏洞上的水平，这块做的自然比其他厂商出色得多，从拦截逻辑的严谨性到安全漏洞的防御都考虑得比较深入。

2.行为防御全面性的安全性
普通的攻击行为比如什么写注册表写文件，传统HIPS肯定都拦截了， 但是一些特殊的攻击方式，很多对安全防御理解不透的HIPS作者（尤其是个人作者）就无法兼顾到，例如之前出现的震网、TDL的很多版本，都是利用特殊的攻击方式比如特殊注入、打印机注入来绕过行为防御，但这些360云主防1.0都可以拦截。正因为360集合了很多对安全防御理解深入的高手，所以能够全面防御这些攻击手段

3.拦截逻辑的安全性
传统HIPS或考虑不周的智能HIPS往往会忽视一些复杂的行为攻击手段，例如多段连续攻击等，这时就会出现漏洞，360云主防通过智能的拦截判断， 将多段攻击转化为单段攻击进行判断或展示给用户，防御类似的复杂行为攻击手段，这其实也是智能性的一种了。

再说稳定性，基本上目前所有的传统HIPS、传统个人防火墙、包括沙箱等，内核的稳定性都在百万级别用户以下，这个百万级别用户的意思是说， 如果超过百万级别的用户使用，就会出现无法接受的大量蓝屏、卡死、崩溃的问题，这是内核安全产品的特性决定的，一些问题在小用户量上无法体现，在大用户量上就会暴露出来，比如大家看到为什么某山的什么霸就会有很多蓝屏的问题，它的内核稳定性在千万用户以下，所以也很容易推断出它目前的用户量远比他吹得要少。

360云主防的作者们，通过高超的内核技术和丰富的内核开发经验，将360云主防在强度不减的前提下，成功提升到了十亿级，也就是说在十亿用户以下使用，都不会出现较多的稳定性问题。这一点也从我们的用户反馈和蓝屏问题收集反应出来了，360云主防面世数年来，每年报告发现的内核稳定性问题一直保持在个位数，而且即便有稳定性问题，由于360云主防的作者都有深入的内核调试、崩溃分析技术，所以也可以很快定位并解决，而缺乏这一技术的其他厂商比如某山，就只能眼睁睁看着用户的蓝屏反馈无可作为：）

第二是智能，云主防1.0的智能主要是在防御核心上的优化，体现在安全性的支持和对易用性上的支持

安全性刚才我在高强度-安全性的第三点里已经举过例子了，云主防中有很多利用智能的拦截判断逻辑来汇总和分析提升安全性的例子，这里可以再说一些对易用性上的支持。

比如我经常喜欢举的services.exe的例子，如果你曾经使用过手动HIPS，就会知道services.exe添加服务是一个令人郁闷的事情，所有程序添加服务最终都会在手动HIPS上体现出实际是services.exe在写入对应的服务注册表，那么对这个行为到底是拦截还是阻止，只能看到底创建什么服务注册表，如果对services.exe全部阻止或全部允许，就只能导致服务添加全部失败或全部无法拦截。

如果你使用360云主防，你就会发现360云主防可以准确地报出到底是哪个进程在创建什么服务，服务指向的执行文件究竟是哪一个，这样就可以结合程序和目标进行判断，安全性和易用性同时提升了。

这样的功能在用户看来是体验的优化，而在底层，正是360云主防采用了新颖的内核防御技术，通过智能的内核技术实现的，就服务项这个来说，则是使用了“RPC”的拦截解析技术实现的，

在360云主防发布这个功能时（大约在09年上半年），世界上没有任何一款安全软件（包括所有手动/智能HIPS/沙箱等等） 拥有这个技术，直到今天，拥有这个技术的也仅有抄袭了360云主防的国内某些安全软件。

360在这项技术上也从未停步过研究， 从09年初次运用这个技术，到现在运用得越来越成熟，在更多的产品上更深入地运用这个技术， 可以说360拥有国内乃至世界，对RPC的拦截解析技术研究最深入的高手。

大家可以看到，正是因为拥有一批团结、经验丰富、技术创新的开发者和对产品各个方面不懈追求、精益求精的改进，才使360云主防诞生，到初步完善、再在一年的时间内成熟、走完了云主防的第一阶段，那么超越当时世界上所有的主动防御软件也就是一件轻而易举的事情了。

这一阶段中也感谢leisong等卡饭网友对360云主防的测试、提出建议和问题，360云主防1.0的成熟离不开这些网友的功劳，随着360云主防的成熟，卡饭样本的拦截率也从刚过及格线逐步迈进到90%，最终始终保持100%的成绩。

防御核心讲完了，接下来讲讲云主防1.0的云

有些人可能已经知道了，云主防1.0中的云主要的作用就是白云智能，也就是白名单。

但360云主防拥有的不是简单的、有限的白名单，而是一个360团队中最庞大的团队收集的亿万级别白名单，有赖于巨大的白名单，实际上将核心防御解放出来了。

为什么呢？在所有没有足够白名单的行为防御软件，无论是手动HIPS还是智能HIPS也好，对于行为防御都是要缩手缩脚的，因为只要判断不周，就有可能造成大量的误拦、甚至破坏系统的数据或功能，而配备了足够的亿万级白名单后， 核心防御在拦截上就会更加灵活和从容。

当然结合白云的最大的意义就是，能够真正让中国的亿万用户用上从来无法被普通用户接受的HIPS防护。

这是过去的HIPS作者想都不敢想的，他们大多纠结于自己驱动的稳定性，更纠结于无法被普通人接受的、无尽的、难以理解的弹框，而和白云的结合，让360云主防彻底结束了HIPS不能让普通人用的历史，而且一用就是3亿用户。

在同云结合的过程中，360云主防也接受到了云安全必然接受的攻击，也就是断网的攻击。从10年开始，我们总共发现了近40种不同的针对云的断网攻击技术，而360云主防则开创了云安全的历史，将这些攻击全部一一拦截。

在内核防御的历史上，除了360云主防从未有安全软件防御过这些攻击， 在云安全的历史上，在360云主防1.0的历史过程中，除了360云主防，也从未有云安全软件能够抵御这些攻击。

大家看到某山7月在hitcon上讲了很多断网的方式，但实际就在当时，某山提到的断网没有一项它能拦截的，直到上周末，金山K+的最新版本才加入了对寥寥数种断网攻击方式的防护，而就连这数种都无法正确拦截，我们看到最新的木马已经利用曾经在09年出现的一个古老断网技术突破了某山新的防断网攻击：）

相对的，360云主防2.0已经迈入了不需抗断网的时代，当然，这是后话了，这也标志着某山还在云主防1.0的过程中徘徊，让我们先祝福它不要跟断了腿，同时进入下一章，也就是云主防2.0

非技术型措辞予以修改，以便更好体现本文的科学技术性   by七宝

Tron

历史介绍完了，下面我来讲目前360云主防正在经历的云主防第二阶段，也就是云主防的现在正在经历的过程。


在云主防的2.0中，我们站在了1.0坚实的内核防御基础上，目标就是让“云”的运用更加突出，实现真正的“云安全”

我先列出云主防2.0的几个关键词，再一一解析：

云端动态鉴定和拦截系统、云QVM、持久性云地连接

这几个词相信参加过360同卡饭网友交流会的都不会陌生，那么他们究竟是什么呢？

解释这些之前，我想先来讲讲什么是真正的云安全

安全软件的云安全很好理解，就是基于云计算的安全防御，利用云计算来更好、更快、更轻巧地实现对木马病毒和新型安全威胁的拦截。

那么什么是真正的云计算呢？

正好国内著名的黑客组织幻影旅团的刺同学
最近两天有一篇关于云计算的BLOG：《用户需要什么样的云计算》
http://hi.baidu.com/aullik5/blog ... a8bf1d4c088d3c.html

这里有段不错的观点可以摘录：

“ 我听到过的最直接了当的对“云计算”的定义是：有大量的数据，和大量的计算，那么就是云计算。只有数据，没有计算，那是存储；只有计算，没有数据，那是网格计算。所以云计算是两者兼备的东西。而且云计算的最大特点是规模大，只有几十上百台服务器的不叫云计算，有几个停车场那么大的数据中心，在跑同一件任务的是云计算。”

我们知道了，有足够的规模、数据和运算缺一不可的，才叫做真正的云计算

最近我发明了一个名词叫低级哈希云，什么是低级哈希云安全呢，就是说客户端负责采集一个文件哈希（不管这个哈希是MD5也好，是文件部分位置CRC也好） ，然后将哈希发到云端，云端在 数据库中检索，返回黑白、流行度等数据， 这就是低级哈希云

结合我上面讲到的定义，大家可以看到，这只有数据，仅仅是对数据库的检索，没有真正的计算，所以不是云计算，也不是真正的云安全，第一章有人反映提某山的太多，这里我就不提了， 反正大家都知道低级哈希云是谁的。

只有真正将大规模的用户的数据、在云端动态运算、通过实时、动态的计算和鉴识，才是真正的云安全，

云安全，就是防御技术结合海量数据的操纵，也是我下面要讲到的两个系统的特点。


1.云端动态行为鉴别和拦截系统

这是对360主防对云的深入利用的一点，也是360云主防2.0的最大秘密之一，所以这里不能全说，有些省略：）

从11年开始到今天，我们不断开发，在360云端部署了将近1000款云端动态行为识别鉴定器，针对不同类型的木马病毒的行为， 结合木马病毒的。。。，这些动态行为鉴别系统会自动识别未知的木马病毒，并实时指导每一个客户端如何拦截、消灭进入系统的未知木马病毒。

理解了刚才我讲的真正的云安全，大家就会明白这个系统为什么被称为云主防2.0的成员了，真正是实时在云端鉴识木马病毒的行为、计算行为的特征，在结合木马病毒的特点，才能做到有针对性地消灭木马的威胁。

同时，这套云端动态行为系统还会收集云端大量行为数据，进行统计，分析新发现的未知木马病毒种类，发现新型木马病毒或新型攻击的行为特点、传播动向等信息，一是可以帮助开发人员产生新的云端动态鉴定器，二是可以实时发现针对防御核心的新型攻击方式，及时修补漏洞，可以说是集防御拦截、行为统计、趋势分析、攻击预警和漏洞预警于一体的云端智能体系。

2.云QVM

这个大家很熟悉了，在发布时我也曾科普过， 虽然QVM的原理仍然是秘密，但是它的效果确是大家有目共睹的， 云QVM解决了本地QVM占用磁盘和内存的问题，为实现性能、体积和安全防御作出了平衡，同时，云QVM比本地QVM更快速、 更灵活、强度更高的特点也让QVM在云端发挥出了最大的威力，让无数木马作者尽折腰。

可能大家不知道的是，和所有其他哈希云系统不同的是，云QVM自身是将文件做真正的数据运算、得出鉴定的结果，再指导客户端如何拦截，所以云端的QVM，同样是真正的云计算、云安全。

在云主防2.0中，360云的后端也有很多的技术来实现更多地利用云计算的力量，这里我就不一一介绍了，第一出于保密的目的，第二也超出了这里我讲的范围，本篇还是更多地侧重于讲360云主防的客户端、以及客户端如何运用云端、和云端结合来对抗木马病毒

3.持久性云地连接

上面我们看到云计算的运用在360云主防上越来越重要了，那么随之而来将会是更多针对“云”本身的攻击，其中最主要的当然就是云安全的老朋友，断网攻击了

前面我曾提到，360云主防2.0是不怕断网的云主防， 这里的“不怕断网”已经超越了 “抗断网”的范畴， 主防已经不需要再主动地对抗断网攻击， 而是无惧断网。

大家可以想到，云安全能够抗断网，当然很好，而且是除了360外国内外云安全厂商都还没有做到的一大进步

但是在深入的思考和观察后我们发现抗断网的弱点是，往往需要较高的安全技术来开发，虽然360内核高手如云，但是面临着3亿用户量的严苛的稳定性要求、3亿用户的升级时间，还是会有1～3天的时间差距，而这段时间内、这个时间差中断网攻击生效，就会对用户造成损失

为了弥补抗断网的不足，我们开发了持久性云地连接功能， 这是360云主防2.0的最大秘密之二，我也不会透露它的工作原理，你所要知道的就是，运用了持久性云地连接技术，360云主防不需要再拦截、对抗新型的断网攻击手法，也不需要考虑诸如物理断网的情况，永远可以在云地之间连接并实现对用户的防御，使360云主防更完美地拦截木马病毒对用户的攻击

从统计数据上来看，自从今年我们逐步升级了具备持久性云地连接技术的各个防御组件后，断网攻击从过去的每月1～4起新型攻击手法降低到几乎为零，木马作者的论坛上我们也可以看到成片的哀嚎，讨论着为什么断了网自己的木马还是被360云主防杀掉。

综上所述，我们可以看到360云主防2.0就是 从前端到后端，充分运用了云计算、云安全的技术，达到的效果就是让木马病毒防御更快速、更轻巧、更彻底，充分保护用户，同时压缩黑色产业链的生存空间和生存周期，使其更少地去危害用户，最终是保障360产品用户的利益

Tron

最后要提到的是360云主防的未来，也就是正在开发的360云主防3.0 。

关于这个版本，因为还在开发中，所以我不能透露什么新的内容，如何不泄漏机密又将它表达出来也是件令人头疼的事情，我简单说一些无关痛痒的内容吧。（2.0其实已经讲得不多了：）



1.推出大家期待已久的XXXX功能，但是，这个XXXX相信不会和大家想的那样，XXXX功能会附带多个和XXXX功能表面并不相关但实际上紧密相连的XXX功能，最终会和2.0中的1号功能结合，实现更好、更快、更有效的防御，也将填补目前360云主防的空缺

2.XXX功能和XXX功能完全支持大家期待已久的XXXXX，这个没什么悬念了，但是有可能会在XXX里才比较成熟，这个还不好说

暂时能讲的就是这些，其他的当然还有对现有系统的增强，现有系统下的新功能等，当然还有包括沙箱等新的产品，360云主防3.0还没到来，一切才刚刚开始，相信还会有很多新的技术融入进

来，等到3.0走完，我再来总结吧。

这一章比较不靠谱，截一张内部资料的图来，纪念下一年多的工作：）

止战之殇

技术贴就没必要加第二段吧,有必要这么苦大仇深么...

jefffire

卡位观看

枯枫暖血

前排听课。  刚才看到在某处的辩论，这个东西可以在需要时引用地址，免除混淆视听和口水的作用。 当然最主要的还是普及知识。

Tron

止战之殇 发表于 2011-10-1 13:51
技术贴就没必要加第二段吧,有必要这么苦大仇深么...

写了第一段发现好累，先补上第一段，第二段再慢慢写

dddm

学习国庆科普。

悟心之道

看了小半
签名继续
支持写点
有用东东

XMonster

果断前排