360官网：360网盾网址云查询技术原理说明

abujiu2008

为了以证视听，360公布网盾拦截未知恶意网页的工作原理。

　　一、360网盾拦截未知挂马恶意网页的过程

　　360网盾对未知挂马网页的拦截工作原理如下图所示：

360网盾拦截未知挂马恶意网址的工作原理

　　当用户浏览未知挂马网页时，由于未知挂马网页不在360恶意网址库中，360网盾无法立即加以拦截。但是浏览器加载该未知挂马网页后，网页中的恶意代码会运行，攻击浏览器，并通过浏览器进一步攻击和感染用户系统。这时，360网盾的行为检测就会发现浏览器的行为异常，确定用户在浏览未知挂马网页，从而拦截该攻击行为并向用户报警。同时，为了使其他用户在浏览此未知挂马网页时可以立即加以拦截，360网盾需要将攻击的恶意代码样本，尤其是触发360网盾报警的网址（URL）上报给服务器，由服务器进行进一步的甄别后加入到恶意网址库中。

　　需要说明的是：当未知挂马网页触发360网盾报警时，用户可能会同时浏览多个网页，360网盾是对浏览器程序的整体行为进行监控，只能发现浏览器有行为异常，目前技术上无法准确判断是哪个网页触发了报警，为了确保能够采集到未知挂马网页，360网盾会将触发报警时用户同时打开的网址（URL）一起上报至服务器，存储在可疑恶意网址日志文件中，由服务器进一步甄别出其中的恶意网页。这也是为什么可疑恶意网址日志文件中会包含一些知名网站和内网网址（URL）的原因。

　　上报至服务器的可疑网址日志文件全部由360云安全中心的恶意网页自动分析系统进行实时自动的分析处理，以鉴别出其中真正的恶意网址，并将其加入到恶意网址库中，从而使所有用户今后浏览该网页时即可立即拦截。对于鉴别出的正常的网页，其URL网址记录会自动从日志文件中删除。

　　根据上述原理，对可疑恶意网址日志文件有如下进一步说明：

　　①当用户浏览未知挂马网页时，可能亦在同时浏览不符合安全编程规范的一些网站，其网址（URL）中带有用户名和密码，因此这些网址（URL）也被上报到服务器，出现在可疑恶意网址日志文件中，但是经分析这类网址（URL）数量比例极低，不到万分之一。

　　②可疑恶意网址日志文件中有较多黄色网站的网址（URL），这是因为挂马网页通过是利用黄色网站进行传播，吸引用户浏览；

　　③由以上工作原理可知，360网盾仅是在未知挂马网页攻击并触发报警的瞬间，将用户同时正在浏览器网址（URL）上报给服务器，而不是持续地上报用户访问的网址（URL），因此不可能记录用户的上网行为，跟踪用户的上网习惯。

　　④在可疑恶意网址日志中记录有机器MID，这是为了更好的分析未知挂马网页的感染量和传播趋势，该MID是通过不可逆的散列算法生成的随机字符串，不可能反向推导出用户电脑的任何信息。

　　二、360网盾拦截及上报未知挂马恶意网页为什么是安全的

　　360网盾上报的可疑网址URL中包含用户名和密码信息的几率是极低的。根据上述工作原理，360网盾只有在满足下述三个条件时才会上报可疑恶意网址：

　　①用户正在浏览未知挂马网页并受到攻击时；

　　②用户同时打开了多个网页进行浏览；

　　③在同时打开的多个网页中，恰好又登录了那些存在编程安全漏洞的网站，其网址（URL）中加入了用户名和密码信息。

　　分析即可发现要全部满足这三个条件的几率是极低的：

　　①用户在日常网页浏览时访问到挂马网页的几率是非常低的。虽然360每天能够拦截到大量未知挂马网页的访问，但分摊到3亿用户身上每个用户发生的几率是很低的。

　　②在用户浏览未知挂马网页时又同时打开了多个网站的情况也是比较少见的。

　　③通常情况下，只有极少数不符合安全编程规范的网站，才会将用户名和密码信息编写在网址URL中。

　　事实上，经过我们对可疑恶意网址日志文件的进一步统计分析，也确认了其中带有用户名和密码信息的网址URL数量极少，而且其中只有少数可以被利用来登录用户账号（从而有机会窃取用户隐私信息），其数量不到万分之一。

　　更进一步，可疑恶意网址日志文件由360恶意网页自动分析系统实时自动处理，人工无法接触，自动分析后判定为正常的网址URL会立即从日志文件中删除。同时存储可疑恶意网址日志文件的服务器均配置为不对外开放，搜索引擎是无法抓取到日志文件数据的。因此，可疑恶意网址日志文件在服务器端的存储、处理方式是安全的。

　　最后，360网盾的可疑恶意网址上报已在360的《用户隐私保护白皮书》中公开说明，用户也可以方便地关闭可疑恶意网址上报的功能。

　　综上所述，360网盾在实现未知挂马网页的拦截、上报及云端自动分析的整个过程，其技术方案设计是合理、安全的。之所以发生此次事件，经我们调查是因为一台存储可疑恶意网页日志的服务器遭受攻击，被黑客篡改了服务器的配置，打开了此服务器上日志文件的目录索引，从而导致Google蜘蛛程序抓取到了尚未被自动分析处理的少量日志文件数据。

　　360网盾通过终端检测、拦截未知的挂马恶意网页，并将可疑恶意网址上到云安全中心服务器进行自动化分析甄别，并更新到恶意网址库，从而让所有用户可以对其立即拦截。这是云安全技术监测、拦截和采集恶意网页最有效的方式，诺顿、趋势、金山等云安全厂商也均采用相同的方式来实现恶意网页拦截。

　　综上所述，360网盾的功能是安全的，这是包括金山自己在内的国内外安全软件对恶意网址拦截采用的通用机制，并不会侵犯用户隐私，用户可以放心使用。

来自海底的冰

没人会怀疑360会去偷盗隐私，

但是网盾对上报的网址等没有任何的措施改变网址算法来保护用户隐私，

确有收集隐私之嫌……

小紫英

回复 2楼 来自海底的冰 的帖子

隐私白皮书说得一清二楚“明文上传不加密”，这是保证透明公开方便监督的前提

leisong

其中得到一个有用的信息，GOOGLE真的强大，可惜。。。。。。。。。。。

leisong

3F说的不错，处于风口浪尖的360，对手总是没事找事寻找可攻击点，如果加密的话，引出的话题将会更多

来自海底的冰

回复 3楼 小紫英 的帖子

“明文上传不加密”和保证透明公开方便监督的有什么关系~

你转变一个算法~让网址显示成其他进制不一样监督？不一样管理？

明码谁都是一看便知~太透明了吧？还不如说让所有人都能知道我上网做什么一样……

这次服务器泄露了一点就能知道这么多机器访问的日志，

倘若真像你说的就是明文上传，让管理人员便于管理监督，

那什么时候服务器再泄露个大点的岂不是就有更多的用户遭殃？

转变一个方式上传也不是什么难题~

把一排字%x%d%c你想输出什么都行按照一个顺序输出~一台机器码一个随机顺序，很麻烦么？

就是多记录一个机器码顺序罢了……

再把顺序表和网址分开存储~

还能避免泄露隐私……

倘若你说3亿用户就难记录了~

我想说~

那么多网址都能很好的记下来~

区区一个输出序号最多也就是一条网址的占用……

在水之滨

回复 4楼 leisong 的帖子

google真有钱，什么都索引。

要是个小公司，索引的数据肯定要经过垃圾过滤：没有正文信息的，多半都会被丢掉，减少系统压力。

能玩转这么大数据的公司，世界上也没几个

1、　作为美国俄勒冈州北部哥伦比亚河岸上的一个城市，Google在Dalles的边上拥有的30英亩土地，在这里可以看到谷歌建立了世界上最大，性能最好的数据中心。

2、　这个数据中心占用了附近一个1.8GW水力发电站，这个数字和科罗拉多州的胡佛坝类似，比Sizewell B之类的英国核电站的大部分电力输出要多上50%。

3、从2005年开始，谷歌的数据中心就采用了标准的集装箱式设计：每个集装箱拥有1160台服务器，能耗为250千瓦，而每个数据中心拥有多个集装箱

揭开Google数据中心神秘面纱：http://tech.watchstor.com/Data-Center-126630.htm

小紫英

回复 6楼 来自海底的冰 的帖子

不一样，什么是原版，什么是改动后的版本，这在法律上完全是不同的，哪怕指向相同，效力也完全不同

问题不在于容易不容易看到和识别，而在于我是不是“动”了你的URL

知微

回复 3楼 小紫英 的帖子

保存这些数据干什么？

来自海底的冰

回复 8楼 小紫英 的帖子

360不会动用户的隐私……

但是保不齐他的员工个别的会动，

即便他的员工是安全的~

保不齐哪天再索引一些隐私给有目的的人动，

360完全可以保存两份~

一份是改动后的~

一份是原版，

原版置于无网计算机~以作法律之用……

改动后的放于云端~

一点数据占不了多少内存~

就看360的员工是否有这个耐心改版……