网络安全 频道

全解析奇虎360网盾网址云查询技术原理

  二、360网盾拦截及上报未知挂马恶意网页为什么是安全的

  360网盾上报的可疑网址URL中包含用户名和密码信息的几率是极低的。根据上述工作原理,360网盾只有在满足下述三个条件时才会上报可疑恶意网址:

  ① 用户正在浏览未知挂马网页并受到攻击时;

  ② 用户同时打开了多个网页进行浏览;

  ③ 在同时打开的多个网页中,恰好又登录了那些存在编程安全漏洞的网站,其网址(URL)中加入了用户名和密码信息。

  分析即可发现要全部满足这三个条件的几率是极低的:

  ① 用户在日常网页浏览时访问到挂马网页的几率是非常低的。虽然360每天能够拦截到大量未知挂马网页的访问,但分摊到3亿用户身上每个用户发生的几率是很低的。

  ② 在用户浏览未知挂马网页时又同时打开了多个网站的情况也是比较少见的。

  ③ 通常情况下,只有极少数不符合安全编程规范的网站,才会将用户名和密码信息编写在网址URL中。

  事实上,经过我们对可疑恶意网址日志文件的进一步统计分析,也确认了其中带有用户名和密码信息的网址URL数量极少,而且其中只有少数可以被利用来登录用户账号(从而有机会窃取用户隐私信息),其数量不到万分之一。

  更进一步,可疑恶意网址日志文件由360恶意网页自动分析系统实时自动处理,人工无法接触,自动分析后判定为正常的网址URL会立即从日志文件中删除。同时存储可疑恶意网址日志文件的服务器均配置为不对外开放,搜索引擎是无法抓取到日志文件数据的。因此,可疑恶意网址日志文件在服务器端的存储、处理方式是安全的。

  最后,360网盾的可疑恶意网址上报已在360的《用户隐私保护白皮书》中公开说明,用户也可以方便地关闭可疑恶意网址上报的功能。

  综上所述,360网盾在实现未知挂马网页的拦截、上报及云端自动分析的整个过程,其技术方案设计是合理、安全的。之所以发生此次事件,经我们调查是因为一台存储可疑恶意网页日志的服务器遭受攻击,被黑客篡改了服务器的配置,打开了此服务器上日志文件的目录索引,从而导致Google蜘蛛程序抓取到了尚未被自动分析处理的少量日志文件数据。

  360网盾通过终端检测、拦截未知的挂马恶意网页,并将可疑恶意网址上到云安全中心服务器进行自动化分析甄别,并更新到恶意网址库,从而让所有用户可以对其立即拦截。这是云安全技术监测、拦截和采集恶意网页最有效的方式,诺顿、趋势、金山等云安全厂商也均采用相同的方式来实现恶意网页拦截。

  综上所述,360网盾的功能是安全的,这是包括金山自己在内的国内外安全软件对恶意网址拦截采用的通用机制,并不会侵犯用户隐私,用户可以放心使用。

0
相关文章