360公布網盾網址雲查詢技術原理說明

2023-09-17 01:01:23

    2010年12月31日，金山公司召開新聞發布會，指責360「收集3億用戶密碼等隱私」、「上傳內網文件地址」、「追蹤用戶上網行為」等，並通過彈窗發布所謂「一級安全預警」，宣稱「上億用戶密碼遭洩漏」，並公開建議用戶卸載360。

    金山公布的所謂「360收集用戶隱私」，實為360網盾上傳的不在360惡意網址庫中的未知掛馬網被木馬毒病攻擊的網址樣本。金山公司在內的國內外安全軟體廠商都採用的是相同的技術機制，金山公司明知自己的網址上傳功能雲查詢是與360採取相同的技術機制，反而用虛構誇大事實的方式，甚至不惜損害用戶利益，製造恐慌來達到其詆毀360公司的目的，這是一種對用戶極不負責任的種做法。

    為了以證視聽，360公布網盾攔截未知惡意網頁的工作原理。

    一、360網盾攔截未知掛馬惡意網頁的過程

    360網盾對未知掛馬網頁的攔截工作原理如下圖所示：

    360網盾攔截未知掛馬惡意網址的工作原理

    當用戶瀏覽未知掛馬網頁時，由於未知掛馬網頁不在360惡意網址庫中，360網盾無法立即加以攔截。但是瀏覽器加載該未知掛馬網頁後，網頁中的惡意代碼會運行，攻擊瀏覽器，並通過瀏覽器進一步攻擊和感染用戶系統。這時，360網盾的行為檢測就會發現瀏覽器的行為異常，確定用戶在瀏覽未知掛馬網頁，從而攔截該攻擊行為並向用戶報警。同時，為了使其他用戶在瀏覽此未知掛馬網頁時可以立即加以攔截，360網盾需要將攻擊的惡意代碼樣本，尤其是觸發360網盾報警的網址（URL）上報給伺服器，由伺服器進行進一步的甄別後加入到惡意網址庫中。

    需要說明的是：當未知掛馬網頁觸發360網盾報警時，用戶可能會同時瀏覽多個網頁，360網盾是對瀏覽器程序的整體行為進行監控，只能發現瀏覽器有行為異常，目前技術上無法準確判斷是哪個網頁觸發了報警，為了確保能夠採集到未知掛馬網頁，360網盾會將觸發報警時用戶同時打開的網址（URL）一起上報至伺服器，存儲在可疑惡意網址日誌文件中，由伺服器進一步甄別出其中的惡意網頁。這也是為什麼可疑惡意網址日誌文件中會包含一些知名網站和內網網址（URL）的原因。

    上報至伺服器的可疑網址日誌文件全部由360雲安全中心的惡意網頁自動分析系統進行實時自動的分析處理，以鑑別出其中真正的惡意網址，並將其加入到惡意網址庫中，從而使所有用戶今後瀏覽該網頁時即可立即攔截。對於鑑別出的正常的網頁，其URL網址記錄會自動從日誌文件中刪除。

    根據上述原理，對可疑惡意網址日誌文件有如下進一步說明：

    ①當用戶瀏覽未知掛馬網頁時，可能亦在同時瀏覽不符合安全編程規範的一些網站，其網址（URL）中帶有用戶名和密碼，因此這些網址（URL）也被上報到伺服器，出現在可疑惡意網址日誌文件中，但是經分析這類網址（URL）數量比例極低，不到萬分之一。

    ②可疑惡意網址日誌文件中有較多黃色網站的網址（URL），這是因為掛馬網頁通過是利用黃色網站進行傳播，吸引用戶瀏覽；

    ③由以上工作原理可知，360網盾僅是在未知掛馬網頁攻擊並觸發報警的瞬間，將用戶同時正在瀏覽器網址（URL）上報給伺服器，而不是持續地上報用戶訪問的網址（URL），因此不可能記錄用戶的上網行為，跟蹤用戶的上網習慣。

    ④在可疑惡意網址日誌中記錄有機器MID，這是為了更好的分析未知掛馬網頁的感染量和傳播趨勢，該MID是通過不可逆的散列算法生成的隨機字符串，不可能反向推導出用戶電腦的任何信息。

    二、360網盾攔截及上報未知掛馬惡意網頁為什麼是安全的

    360網盾上報的可疑網址URL中包含用戶名和密碼信息的機率是極低的。根據上述工作原理，360網盾只有在滿足下述三個條件時才會上報可疑惡意網址：

    ①用戶正在瀏覽未知掛馬網頁並受到攻擊時；

    ②用戶同時打開了多個網頁進行瀏覽；

    ③在同時打開的多個網頁中，恰好又登錄了那些存在編程安全漏洞的網站，其網址（URL）中加入了用戶名和密碼信息。

    分析即可發現要全部滿足這三個條件的機率是極低的：

    ①用戶在日常網頁瀏覽時訪問到掛馬網頁的機率是非常低的。雖然360每天能夠攔截到大量未知掛馬網頁的訪問，但分攤到3億用戶身上每個用戶發生的機率是很低的。

    ②在用戶瀏覽未知掛馬網頁時又同時打開了多個網站的情況也是比較少見的。

    ③通常情況下，只有極少數不符合安全編程規範的網站，才會將用戶名和密碼信息編寫在網址URL中。

    事實上，經過我們對可疑惡意網址日誌文件的進一步統計分析，也確認了其中帶有用戶名和密碼信息的網址URL數量極少，而且其中只有少數可以被利用來登錄用戶帳號（從而有機會竊取用戶隱私信息），其數量不到萬分之一。

    更進一步，可疑惡意網址日誌文件由360惡意網頁自動分析系統實時自動處理，人工無法接觸，自動分析後判定為正常的網址URL會立即從日誌文件中刪除。同時存儲可疑惡意網址日誌文件的伺服器均配置為不對外開放，搜尋引擎是無法抓取到日誌文件數據的。因此，可疑惡意網址日誌文件在伺服器端的存儲、處理方式是安全的。

    最後，360網盾的可疑惡意網址上報已在360的《用戶隱私保護白皮書》中公開說明，用戶也可以方便地關閉可疑惡意網址上報的功能。

    綜上所述，360網盾在實現未知掛馬網頁的攔截、上報及雲端自動分析的整個過程，其技術方案設計是合理、安全的。之所以發生此次事件，經我們調查是因為一臺存儲可疑惡意網頁日誌的伺服器遭受攻擊，被黑客篡改了伺服器的配置，打開了此伺服器上日誌文件的目錄索引，從而導致Google蜘蛛程序抓取到了尚未被自動分析處理的少量日誌文件數據。

    360網盾通過終端檢測、攔截未知的掛馬惡意網頁，並將可疑惡意網址上到雲安全中心伺服器進行自動化分析甄別，並更新到惡意網址庫，從而讓所有用戶可以對其立即攔截。這是雲安全技術監測、攔截和採集惡意網頁最有效的方式，諾頓、趨勢、金山等雲安全廠商也均採用相同的方式來實現惡意網頁攔截。

    綜上所述，360網盾的功能是安全的，這是包括金山自己在內的國內外安全軟體對惡意網址攔截採用的通用機制，並不會侵犯用戶隱私，用戶可以放心使用。■