360天眼：利用大数据 防御越来越聪明的APT攻击

　　说到APT这个概念，从2011年开始就一直持续火爆，历经三年，攻防方式都在不断进化。赛门铁克、趋势科技等大型安全厂商纷纷在产品中加入APT防御功能，也诞生了FireEye、Cyphort这样以APT防御为核心业务的新公司。

　　而今年APT最大热点，不仅是防护方案更加成熟，更迎来了一个APT防护的新玩家—360。之所以称呼360为“新”，是因为360推出的全新APT解决方案—360天眼。360天眼不但使用沙箱技术防范APT攻击，还使用大数据分析技术对APT攻击进行了更有效的检测。在美国将FireEye列为对华禁售的高科技安全产品同时，360天眼不但填补了中国自有APT防护产品的空白，更向全球宣告了中国网络安全力量的崛起。

　　越来越聪明的APT攻击

　　众所周知，APT攻击会长久隐藏在网络中，普通的特征检测法极难发现。于是，一些APT防护厂商采用在网络中部署设备，通过自动化方法测试虚拟环境中的可执行文件，一旦发现可疑文件被激活，可以迅速预警。但是，这样的方案也有其缺陷。

　　就好像是火车站的X光安检。如果直接一把冲锋枪放进去，系统马上会识别;而把枪拆成一个一个零件后，安检仪器则只显示一堆金属零件。单个零件看上去并没有什么威胁，于是安检很容易就放过了。

　　最新的进化APT攻击也是一样。由于文件是通过网络检测的，攻击者可以将一个木马程序拆成好几部分，和其他文件打乱放在一起，这样APT防护设备往往无法识别其真面目。这些被拆散的攻击代码，一旦进入内部系统，即恢复成可执行文件，对目标系统发动恶意攻击。

　　结合大数据的防御方案

　　360董事长周鸿祎曾经有这样一句话经典名言：在APT和0DAY漏洞的威胁下，未来企业安全的发展趋势更多的是依靠云安全与“边界”来实现。不错。面对越来越聪明的APT攻击，360天眼开始利用大数据分析来增强APT攻击的检测率。

　　作为中国最大的互联网安全公司，360的安全产品部署在数十亿终端和WEB源上，拥有庞大黑白名单和恶意威胁特征代码等大数据。这些云端大数据，为360安全产品及时快速辨别恶意代码和行为提供了有效支撑，大大增强甄别未知攻击和恶意代码的准确率。

　　360天眼将终端、WEB、网络信息等系统中的通信进行整合分析，及时输入到防护系统中。同时，接入360云端大数据系统，从而形成本地系统和云端网络多重认证体系。在360天眼这个多层雷达+大数据的联合扫描下，不但及时发现未知病毒代码、0day漏洞等恶意攻击，更让各种隐蔽攻击无所遁形。