网络安全 频道

全解析奇虎360网盾网址云查询技术原理

  2010年12月31日,金山公司召开新闻发布会,指责360“收集3亿用户密码等隐私”、“上传内网文件地址”、“追踪用户上网行为”等,并通过弹窗发布所谓“一级安全预警”,宣称“上亿用户密码遭泄漏”,并公开建议用户卸载360。

  金山公布的所谓“360收集用户隐私”,实为360网盾上传的不在360恶意网址库中的未知挂马网被木马毒病攻击的网址样本。金山公司在内的国内外安全软件厂商都采用的是相同的技术机制,金山公司明知自己的网址上传功能云查询是与360采取相同的技术机制,反而用虚构夸大事实的方式,甚至不惜损害用户利益,制造恐慌来达到其诋毁360公司的目的,这是一种对用户极不负责任的种做法。

  为了以证视听,360公布网盾拦截未知恶意网页的工作原理。

  一、360网盾拦截未知挂马恶意网页的过程

  360网盾对未知挂马网页的拦截工作原理如下图所示:

一、360网盾拦截未知挂马恶意网页过程
▲  360网盾拦截未知挂马恶意网址的工作原理

  当用户浏览未知挂马网页时,由于未知挂马网页不在360恶意网址库中,360网盾无法立即加以拦截。但是浏览器加载该未知挂马网页后,网页中的恶意代码会运行,攻击浏览器,并通过浏览器进一步攻击和感染用户系统。这时,360网盾的行为检测就会发现浏览器的行为异常,确定用户在浏览未知挂马网页,从而拦截该攻击行为并向用户报警。同时,为了使其他用户在浏览此未知挂马网页时可以立即加以拦截,360网盾需要将攻击的恶意代码样本,尤其是触发360网盾报警的网址(URL)上报给服务器,由服务器进行进一步的甄别后加入到恶意网址库中。

  需要说明的是:当未知挂马网页触发360网盾报警时,用户可能会同时浏览多个网页,360网盾是对浏览器程序的整体行为进行监控,只能发现浏览器有行为异常,目前技术上无法准确判断是哪个网页触发了报警,为了确保能够采集到未知挂马网页,360网盾会将触发报警时用户同时打开的网址(URL)一起上报至服务器,存储在可疑恶意网址日志文件中,由服务器进一步甄别出其中的恶意网页。这也是为什么可疑恶意网址日志文件中会包含一些知名网站和内网网址(URL)的原因。

  上报至服务器的可疑网址日志文件全部由360云安全中心的恶意网页自动分析系统进行实时自动的分析处理,以鉴别出其中真正的恶意网址,并将其加入到恶意网址库中,从而使所有用户今后浏览该网页时即可立即拦截。对于鉴别出的正常的网页,其URL网址记录会自动从日志文件中删除。

  根据上述原理,对可疑恶意网址日志文件有如下进一步说明:

  ① 当用户浏览未知挂马网页时,可能亦在同时浏览不符合安全编程规范的一些网站,其网址(URL)中带有用户名和密码,因此这些网址(URL)也被上报到服务器,出现在可疑恶意网址日志文件中,但是经分析这类网址(URL)数量比例极低,不到万分之一。

  ② 可疑恶意网址日志文件中有较多黄色网站的网址(URL),这是因为挂马网页通过是利用黄色网站进行传播,吸引用户浏览;

  ③ 由以上工作原理可知,360网盾仅是在未知挂马网页攻击并触发报警的瞬间,将用户同时正在浏览器网址(URL)上报给服务器,而不是持续地上报用户访问的网址(URL),因此不可能记录用户的上网行为,跟踪用户的上网习惯。

  ④ 在可疑恶意网址日志中记录有机器MID,这是为了更好的分析未知挂马网页的感染量和传播趋势,该MID是通过不可逆的散列算法生成的随机字符串,不可能反向推导出用户电脑的任何信息。

  二、360网盾拦截及上报未知挂马恶意网页为什么是安全的

  360网盾上报的可疑网址URL中包含用户名和密码信息的几率是极低的。根据上述工作原理,360网盾只有在满足下述三个条件时才会上报可疑恶意网址:

  ① 用户正在浏览未知挂马网页并受到攻击时;

  ② 用户同时打开了多个网页进行浏览;

  ③ 在同时打开的多个网页中,恰好又登录了那些存在编程安全漏洞的网站,其网址(URL)中加入了用户名和密码信息。

  分析即可发现要全部满足这三个条件的几率是极低的:

  ① 用户在日常网页浏览时访问到挂马网页的几率是非常低的。虽然360每天能够拦截到大量未知挂马网页的访问,但分摊到3亿用户身上每个用户发生的几率是很低的。

  ② 在用户浏览未知挂马网页时又同时打开了多个网站的情况也是比较少见的。

  ③ 通常情况下,只有极少数不符合安全编程规范的网站,才会将用户名和密码信息编写在网址URL中。

  事实上,经过我们对可疑恶意网址日志文件的进一步统计分析,也确认了其中带有用户名和密码信息的网址URL数量极少,而且其中只有少数可以被利用来登录用户账号(从而有机会窃取用户隐私信息),其数量不到万分之一。

  更进一步,可疑恶意网址日志文件由360恶意网页自动分析系统实时自动处理,人工无法接触,自动分析后判定为正常的网址URL会立即从日志文件中删除。同时存储可疑恶意网址日志文件的服务器均配置为不对外开放,搜索引擎是无法抓取到日志文件数据的。因此,可疑恶意网址日志文件在服务器端的存储、处理方式是安全的。

  最后,360网盾的可疑恶意网址上报已在360的《用户隐私保护白皮书》中公开说明,用户也可以方便地关闭可疑恶意网址上报的功能。

  综上所述,360网盾在实现未知挂马网页的拦截、上报及云端自动分析的整个过程,其技术方案设计是合理、安全的。之所以发生此次事件,经我们调查是因为一台存储可疑恶意网页日志的服务器遭受攻击,被黑客篡改了服务器的配置,打开了此服务器上日志文件的目录索引,从而导致Google蜘蛛程序抓取到了尚未被自动分析处理的少量日志文件数据。

  360网盾通过终端检测、拦截未知的挂马恶意网页,并将可疑恶意网址上到云安全中心服务器进行自动化分析甄别,并更新到恶意网址库,从而让所有用户可以对其立即拦截。这是云安全技术监测、拦截和采集恶意网页最有效的方式,诺顿、趋势、金山等云安全厂商也均采用相同的方式来实现恶意网页拦截。

  综上所述,360网盾的功能是安全的,这是包括金山自己在内的国内外安全软件对恶意网址拦截采用的通用机制,并不会侵犯用户隐私,用户可以放心使用。

0
相关文章