文档介绍：?终端安全威胁?老病毒,新病毒,宏病毒?恶意 URL ,未知病毒?特种木马, APT 攻击?传统杀软难以应对?特征提取难?病毒库过大?未知病毒防不住?终端行为管理?安全接入、非法外联?流量、审计、应用?终端资产管理?登记、变更、状态?终端运维管理?补丁、软件、协助终端安全管理面临的问题终端安全终端管控终端安全管理– 360 天擎强大的终端管理功能?终端安全防御- 病毒查杀,木马查杀,漏洞修复,恶意网址拦截?终端运维管理- 补丁升级,插件清理,优化加速,流量管理?终端准入控制- 网络准入, USB 读写控制,无线热点、打印机控制?企业软件管理- 企业自定义应用软件集合,统一分发,自动安装?硬件资产管理- 全网硬件统计,硬件变更跟踪,硬件故障监控全球领先的病毒查杀技术?基于最先进搜索引擎技术的云查杀?颠覆性的“非白即黑”鉴别策略? 20 亿+黑名单,全面覆盖已知病毒?1亿+ 白名单,全面覆盖合法应用终端防御核心技术-云查杀引擎云端查杀毫秒级,终端用户无感知?已累积病毒存量> 20 亿?已累积白名单库> 1亿?黑白名单库内置在企业内网服务器端?传统杀软病毒库< 1500 万?每日新增病毒量> 30 万?新生病毒平均活跃期< 8小时终端防御核心技术- QVM 引擎 QVM 人工智能引擎是 Qihoo Support Vector Machine 的缩写。是 360 完全自主研发的第三代恶意代码检测引擎(已获得国际 PCT 专利)。检测建模训练切片?基于大数据( 20 亿样本)与人工智能技术?在北美与欧洲针对未知恶意代码的测评中屡获第一?已获得多项国际 PCT 专利终端防御核心技术-“非白即黑”策略白名单文件?内置近 1亿高纯度白名单库?涵盖绝大多数已知主流应用?通过文件 MD5 识别白文件?非白名单文件均视为不安全的黑文件?禁止运行非白名单文件黑白策略自由区:无白名单,黑文件禁止运行,未知文件提示后选择运行办公区:白名单= 360 系统白名单+ 用户自定义白名单, 涉密网:白名单= 用户自定义白名单美国的主要信息安全防护措施终端安全防护黑白名单机制 360 自主创新安全机制终端防御核心技术-应用级 SandBox 传统技术: 1、终端安全基线管理(应用与配置白名单) 2、终端主机防火墙(网络访问白名单) 优点: 技术简单,针对违规情况比较有效缺点: 简单机械,如果白名单中的应用存在漏洞,则系统依然存在被攻击的风险危险应用隔离在沙盒之中打开漏高危应用( IE 、 Office ),即使这些应用遭到攻击, 也无法危及到所宿主的 Windows 系统。 I/O 重定向所有操作都重定向到虚拟内存区域, 攻击陷入沙盒之中而无计可施。 Office 沙箱 IE沙箱终端防御核心技术-QEX QEX :对变种、新生宏病毒的虚拟执行?宏格式判定?宏提取?宏格式解析?宏虚拟执行可查杀的非 PE 文件病毒展示: ? Office 文件: word 、 execle 、 rtf 、 ole ……? Windows :非 PE 格式文件? Java : Jar 、 class ……? AutoCAD :工程图纸文件? Adobe : pdf 、 photoshop ……? Web 文件: html 、 xml 、 php 、 asp 、 jsp 、 crx ……?脚本文件: Javascrips 、 VBE 、 VBS ……?非 PE 可执行文件: bootsector 、 coff 、 mz 、 elf ……?多媒体文件: bpm 、 tif、 gif ……?安装文件: nsis_bin ……?苹果操作系统文件: mach -o 、 mach-o-64 、 mach -o-fat ……?结构性文件: mime 、 unicode ……终端防御核心技术-主动防御( HIPS ) 进程行为?进程创建?进程加载?进程销毁?进程注入?……系统行为?系统调用?注册表修改?用户权限提升? Shell 命令调用?……. 文件行为?文件打开、加载?文件网络 I/O ?可疑文件释放?…….网络行为?文件网络行为?邮件发送行为?进程网络行为?…….驱动行为?驱动加载?驱动 hook 行为?驱动网络行为?…….病毒查杀全景云查杀引擎双 AV 引擎 QVM HIPS 沙箱 QEX 白名单恶意 URL 库老病毒—云查杀+双 AV 引擎新病毒—云查杀+QVM+HIPS 宏病毒—云查杀+QEX 未知病毒—沙箱+QVM+HIPS 特种木马&APT —云白名单( “非白即黑“策略) 网页木马—云查杀+QVM 管控功能简介-终端管理可视智能可控?安全管理?终端升级、漏洞修复、插件清理、外设及进程管控、软件分发?远程协助?管理员对授权终端进行远程协助,一对一远程