360天眼APT侦测网关

用户手册■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属360企业安全集团所有，受到有关产权及版权法保护。

任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。

1.1产品概述 .................................................. 1.2设计理念 .................................................. 1.3 产品架构 ..................................................二、安装部署 .....................................................2.1环境准备 .................................................. 2.1.1服务器准备 ............................................. 2.1.2终端环境准备 ........................................... 2.1.3网络环境准备 ........................................... 2.2 控制中心安装 ..............................................360终端安全管理系统 360企业安全集团2.3.1客户端功能定制和下载...................................2.3.2客户端在线安装.........................................2.3.3客户端离线安装.........................................2.3.4客户端域安装...........................................三.功能使用说明................................................3.1登录 ......................................................3.2界面说明 ..................................................3.2.1Banner区................................................3.2.2主功展示区域.............................................3.3首页 ......................................................3.3.1安全概况..................................................3.3.2待处理任务.............................................3.3.3服务器性能监控.........................................3.3.4安全动态...............................................3.3.5文件鉴定...............................................3.3.6病毒查杀趋势...........................................3.3.7病毒分类...............................................3.3.8高危漏洞修复趋势.......................................3.3.9XP盾甲趋势.............................................常用功能...............................................授权信息...............................................3.4.2地址资源管理...........................................3.4.3病毒查杀...............................................3.4.4插件管理...............................................3.4.5系统修复...............................................3.4.6漏洞管理...............................................3.4.7XP盾甲.................................................3.4.8升级管理...............................................3.5移动存储管理 ..............................................3.5.1设备注册...............................................3.5.2设备授权...............................................3.5.3挂失管理...............................................3.5.4外出管理...............................................3.5.5终端申请...............................................3.5.6设备例外...............................................3.6日志报表 ..................................................3.6.1终端日志...............................................3.6.2资产汇总...............................................3.6.3系统日志...............................................3.6.4报表订阅...............................................3.6.5订阅管理...............................................3.7策略中心 ..................................................3.7.3样本鉴定...............................................3.8系统管理 ..................................................3.8.1系统设置...............................................3.8.2系统工具...............................................3.8.3多级中心...............................................3.8.4账号管理...............................................四.场景参考手册................................................4.1准备使用360天擎 ..........................................4.1.1部署终端...............................................4.1.2设置安全策略...........................................4.1.3设置定时杀毒...........................................4.1.4每天日常工作...........................................一、产品简介产品概述360天擎终端安全管系统是360面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。

网神SecGate 3600 安全网关（UTM）技术文档目 录1产品概述 (3)2产品特点 (3)3产品功能 (5)4产品型号与指标 (13)5产品形态 (14)6产品资质 (15)1产品概述网神SecGate 3600安全网关（UTM）（简称：“网神UTM”）是基于完全自主研发、经受市场检验的成熟稳定SecOS II操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗DDoS攻击、VPN、内容过滤、邮件过滤、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合安全网关系统。

网神UTM可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界，为用户同时提供多种、多层次安全防御，保护用户网络免受病毒、蠕虫、木马、邮件威胁以及未知的攻击等混合威胁的侵害，同时为用户节省了购买多种设备的高昂费用，可简便地统一管理各种安全模块及相关日志、报告，大大降低了设备的部署、管理和维护成本。

2产品特点领先的SecOS II安全协议栈完全自主知识产权的SecOS II实现安全网关的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对安全网关功能的影响。

同时也减少了因为硬件平台的更换带来的重复开发问题。

由于采用先进的设计理念，使该SecOS II 具有更高的安全性、开放性、扩展性和可移植性。

●深度的网络行为关联分析采用独立的安全协议栈，可以自由处理通过协议栈的网络数据。

多核间相互分工协作，一部分核进行高速数据转发，并对常见HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另外一部分核实现快速重组数据包还原内容，进行深度安全检测。

同时基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，并能对P2P和即时通讯软件进行控制、支持URL库、支持Web内容过滤，支持FTP内容过滤，为细粒度的网络安全管理提供了有利的技术保障。

范未知威胁企业APT攻击防护产品选型1.典型APT攻击回顾首先，我们来看业界几个比较典型的APT攻击案例，从这些案例中我们可以找到APT攻击的一些特点和攻击的方式：1、Google极光攻击：2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。

Google内部终端被未知恶意程序渗入数月，攻击者持续监听并最终成功参透进入了Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息，并且造成各种系统的数据被窃取。

2、夜龙攻击：夜龙攻击是在2011年2月份发现并命名。

该攻击的攻击过程是：利用SQL注入攻击和密码暴力破解目标机器并植入未知恶意代码，并被安装远端控制工具(RAT)，最终传回大量机密文档。

3、RSA SecurID窃取攻击：2011年3月，RSA公司遭受入侵，公司关键技术及客户资料被窃取。

而此次APT攻击就是利用了Adobe的0day漏洞植入臭名昭著的Poison Ivy远端控制工具在受感染客户端，并开始自僵尸网络的命令控制服务器下载指令进行任务。

4、超级工厂病毒攻击(震网攻击)：这个病毒早在2007年被发现，超级工厂病毒的攻击者并没有广泛的去传播病毒，通过特别定制的未知恶意程序感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。

病毒很有耐心的逐步扩散，利用多种0day一点一点的进行破坏。

5、Shady RAT攻击：2011年8月份，Symantec发现并报告了该攻击。

该攻击在长达数年的持续攻击过程中，通过植入未知木马程序渗透并攻击了全球多达70个公司和组织的网络。

通过以上这些典型的APT攻击案例，我们不难看出，APT攻击都存在一些共同的特点，就是隐蔽性强，有明确的攻击目标，并通过不计成本挖掘/购买0day 漏洞以及多种方式组合渗透、定向扩散，对目标机器进行长期持续性的攻击。

那么，对APT攻击的防护业界又做到了怎样的水平呢?接下来，我们将对APT攻击防护进行深入的探讨。

天擎能监控到什么程度
奇安信天擎能监控网络病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等。

奇安信天擎管理系统是面向政企单位推出的一体化终端安全产品解决方案，兼容不同操作系统和计算平台，帮助客户实现平台、功能和数据一体化的终端安全立体防护。

天擎系统有如下功能：
1、已知/未知病毒有效查杀
全球最大云安全系统、国际领先多引擎技术、QVM人工智能引擎技术、隔离沙箱虚拟化技术、主动防御技术相结合、有效查杀已知和未知病毒。

2、有效抵御APT攻击
非白即黑的安全策略，及时发现和抵御未知威胁，并通过与360天眼系统进行联动，有效抵御APT攻击。

3、集成360私有云安全系统
360私有云依托超过4亿终端用户构建立体云安全防护体系，通过多引擎和多策略协同运作，为企业打造高度可控的云安全解决方案。

4、智能，可视化管理
全网一键体检，病毒、木马、漏洞情况统一呈现；全网软件、硬件、流量状况实时展现，实现智能可视化管理。

5、强大的审计、管控能力
网络、软件、外设严格准入控制，全网文件安全审计，外设使用审计，多级管理，多种报警方式，让管理员及时高效的对全网进行管控。

6、可靠服务
拥有最高水平的互联网安全专家，最快速的产品响应能力，最专业的产品培训以及安全咨询服务。

360态势感知与安全运营平台产品技术白皮书█文档编号█密级█版本编号█日期1引言 (2)2产品设计目标 (4)2.1产品价值 (5)3产品关键技术 (6)3.1万兆网络及IPv4/IPv6网络环境下数据还原技术 (6)3.2数据处理与计算分析的自动化关联技术 (8)3.3规模化沙箱动态检测技术 (9)3.4基于大数据挖掘的恶意代码智能检测技术 (10)3.5基于搜索引擎技术的大流量行为检索与存储 (13)3.6云端基于大数据的APT发现与跟踪技术 (13)3.7可视化技术 (16)4产品组成与架构 (17)4.1产品组成 (17)4.2产品功能架构 (19)5产品功能 (20)6产品部署 (22)7产品优势与特点 (23)1引言近年来，关于APT（Advanced Persistent Threats，高级持续性威胁）攻击的报道日益增多，例如：2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪、卡巴斯基在 2014 年揭露的 Darkhotel 组织和 2015 曝光的方程式组织（Equation Group）等等。

2016年初，360天眼实验室发布了《2015年中国APT研究报告》。

报告中指出，截至2015 年 11 月底，360威胁情报中心监测到的针对中国境内科研教育、政府机构等组织单位发动APT攻击的境内外黑客组织累计29个，其中15个APT 组织曾经被国外安全厂商披露过，另外14个为360威胁情报中心首先发现并监测到的APT组织。

中国是 APT攻击的受害国，国内多个省、市受到不同程度的影响，其中北京、广东是重灾区，行业上教育科研、政府机构是APT攻击的重点关注领域。

图1 APT组织主要攻击行业分布根据调研，我们发现这些APT攻击的受害者中几乎都是具备一定规模的企事业单位，而且都已经部署了大量的安全设备或系统，也有明确的安全管理规范和制度。

宝界360安全网关与360企业版（网络版）结合解决方案一、应用背景中小企业网络管理面临如下问题：∙网络版杀毒软件太贵，每年还要升级费，单机版又不能集中监控∙不能保证所有局域网中的电脑都装了统一的杀毒软件∙员工电脑虽然装了统一的单机版杀毒软件，但并不了解他们的电脑目前的安全状态∙外来的笔记本电脑，随意接入局域网，带入病毒，在局域网中传播∙内外网是隔离的，内网电脑无法统一升级病毒库，打补丁∙暴发ARP病毒时无法准确定位病毒源∙各类安全软件堆挤电脑桌面，缺乏一站式的安全管理软件∙企业信息安全管理不完善，缺乏软硬件资产管理∙网络视频、P2P下载占用大部份网络出口带宽∙上网实名认证与审计∙需要集成上网行为管理、流量控制、SSL VPN、实名认证、安全准入、防火墙多功能于一体的低价安全网关产品二、宝界360安全网关解决方案360单机版已广泛被用户认可，用户量突破3亿。

近期360又发布了一款终身免费、不限点数的360企业版（网络版），终端用户量已突破760万，它为中小企业提供一站式安全桌面解决方案、全网木马查杀、内网打补丁、软硬件资产管理、软件分发、流量监控等功能。

由于企业内网主机较多，重装系统、外带笔记本现象时有发生，手工安装360客户端并不能保证全网主机均安装360企业版客户端，宝界360安全网关应运而生，它以透明网桥方式部署在互联网出口，内网PC只要一上网就自动检测其是否安装了360客户端，如果没安装则通过网页跳转方式，友好的引导安装，这样不仅大大减轻了网管人员的工作量，而且保证了所有入网电脑纳入企业的安全管理之下。

宝界360安全网关除了上述功能，还有上网实名认证、网站域名封堵、QQ,MSN,EMAIL帐号管理、智能流量控制、SSL VPN 等功能模块，有效的弥补了360企业版的不足之外，同时把企业网络安全从边界延伸至桌面，为企业提供了一个性价比极高网络管理方案。

2.1、方案部署拓朴图交换机二层交换交换机核心交换机……INTERNET核心业务服务器群无线AP数据库服务器WEB 服务器路由器EMAIL 服务器宝界360安全网关远程SSL VPN1实名认证360企业版服务器阻断视频、P2P 下载禁止浏览非法网站QQ,MSN 管理保护服务器群全网安装360客户端网络拓朴结构网络拓朴说明：① 宝界360安全网关以透明桥接方式部署在核心交换机与路由器之间，它支持BYPASS ，断电可直通。