2010年12月31日，金山公司召開(kāi)新聞發(fā)布會(huì)，指責(zé)360"收集3億用戶密碼等隱私"、"上傳內(nèi)網(wǎng)文件地址"、"追蹤用戶上網(wǎng)行為"等，并通過(guò)彈窗發(fā)布所謂"一級(jí)安全預(yù)警"，宣稱(chēng)"上億用戶密碼遭泄漏"，并公開(kāi)建議用戶卸載360。

金山公布的所謂"360收集用戶隱私"，實(shí)為360網(wǎng)盾上傳的不在360惡意網(wǎng)址庫(kù)中的未知掛馬網(wǎng)被木馬毒病攻擊的網(wǎng)址樣本。金山公司在內(nèi)的國(guó)內(nèi)外安全軟件廠商都采用的是相同的技術(shù)機(jī)制，金山公司明知自己的網(wǎng)址上傳功能云查詢是與360采取相同的技術(shù)機(jī)制，反而用虛構(gòu)夸大事實(shí)的方式，甚至不惜損害用戶利益，制造恐慌來(lái)達(dá)到其詆毀360公司的目的，這是一種對(duì)用戶極不負(fù)責(zé)任的種做法。

為了以證視聽(tīng)，360公布網(wǎng)盾攔截未知惡意網(wǎng)頁(yè)的工作原理。

一、360網(wǎng)盾攔截未知掛馬惡意網(wǎng)頁(yè)的過(guò)程

360網(wǎng)盾對(duì)未知掛馬網(wǎng)頁(yè)的攔截工作原理如下圖所示：

360網(wǎng)盾攔截未知掛馬惡意網(wǎng)址的工作原理

當(dāng)用戶瀏覽未知掛馬網(wǎng)頁(yè)時(shí)，由于未知掛馬網(wǎng)頁(yè)不在360惡意網(wǎng)址庫(kù)中，360網(wǎng)盾無(wú)法立即加以攔截。但是瀏覽器加載該未知掛馬網(wǎng)頁(yè)后，網(wǎng)頁(yè)中的惡意代碼會(huì)運(yùn)行，攻擊瀏覽器，并通過(guò)瀏覽器進(jìn)一步攻擊和感染用戶系統(tǒng)。這時(shí)，360網(wǎng)盾的行為檢測(cè)就會(huì)發(fā)現(xiàn)瀏覽器的行為異常，確定用戶在瀏覽未知掛馬網(wǎng)頁(yè)，從而攔截該攻擊行為并向用戶報(bào)警。同時(shí)，為了使其他用戶在瀏覽此未知掛馬網(wǎng)頁(yè)時(shí)可以立即加以攔截，360網(wǎng)盾需要將攻擊的惡意代碼樣本，尤其是觸發(fā)360網(wǎng)盾報(bào)警的網(wǎng)址（URL）上報(bào)給服務(wù)器，由服務(wù)器進(jìn)行進(jìn)一步的甄別后加入到惡意網(wǎng)址庫(kù)中。

需要說(shuō)明的是：當(dāng)未知掛馬網(wǎng)頁(yè)觸發(fā)360網(wǎng)盾報(bào)警時(shí)，用戶可能會(huì)同時(shí)瀏覽多個(gè)網(wǎng)頁(yè)，360網(wǎng)盾是對(duì)瀏覽器程序的整體行為進(jìn)行監(jiān)控，只能發(fā)現(xiàn)瀏覽器有行為異常，目前技術(shù)上無(wú)法準(zhǔn)確判斷是哪個(gè)網(wǎng)頁(yè)觸發(fā)了報(bào)警，為了確保能夠采集到未知掛馬網(wǎng)頁(yè)，360網(wǎng)盾會(huì)將觸發(fā)報(bào)警時(shí)用戶同時(shí)打開(kāi)的網(wǎng)址（URL）一起上報(bào)至服務(wù)器，存儲(chǔ)在可疑惡意網(wǎng)址日志文件中，由服務(wù)器進(jìn)一步甄別出其中的惡意網(wǎng)頁(yè)。這也是為什么可疑惡意網(wǎng)址日志文件中會(huì)包含一些知名網(wǎng)站和內(nèi)網(wǎng)網(wǎng)址（URL）的原因。

上報(bào)至服務(wù)器的可疑網(wǎng)址日志文件全部由360云安全中心的惡意網(wǎng)頁(yè)自動(dòng)分析系統(tǒng)進(jìn)行實(shí)時(shí)自動(dòng)的分析處理，以鑒別出其中真正的惡意網(wǎng)址，并將其加入到惡意網(wǎng)址庫(kù)中，從而使所有用戶今后瀏覽該網(wǎng)頁(yè)時(shí)即可立即攔截。對(duì)于鑒別出的正常的網(wǎng)頁(yè)，其URL網(wǎng)址記錄會(huì)自動(dòng)從日志文件中刪除。

根據(jù)上述原理，對(duì)可疑惡意網(wǎng)址日志文件有如下進(jìn)一步說(shuō)明：

①當(dāng)用戶瀏覽未知掛馬網(wǎng)頁(yè)時(shí)，可能亦在同時(shí)瀏覽不符合安全編程規(guī)范的一些網(wǎng)站，其網(wǎng)址（URL）中帶有用戶名和密碼，因此這些網(wǎng)址（URL）也被上報(bào)到服務(wù)器，出現(xiàn)在可疑惡意網(wǎng)址日志文件中，但是經(jīng)分析這類(lèi)網(wǎng)址（URL）數(shù)量比例極低，不到萬(wàn)分之一。

②可疑惡意網(wǎng)址日志文件中有較多黃色網(wǎng)站的網(wǎng)址（URL），這是因?yàn)閽祚R網(wǎng)頁(yè)通過(guò)是利用黃色網(wǎng)站進(jìn)行傳播，吸引用戶瀏覽；

③由以上工作原理可知，360網(wǎng)盾僅是在未知掛馬網(wǎng)頁(yè)攻擊并觸發(fā)報(bào)警的瞬間，將用戶同時(shí)正在瀏覽器網(wǎng)址（URL）上報(bào)給服務(wù)器，而不是持續(xù)地上報(bào)用戶訪問(wèn)的網(wǎng)址（URL），因此不可能記錄用戶的上網(wǎng)行為，跟蹤用戶的上網(wǎng)習(xí)慣。

④在可疑惡意網(wǎng)址日志中記錄有機(jī)器MID，這是為了更好的分析未知掛馬網(wǎng)頁(yè)的感染量和傳播趨勢(shì)，該MID是通過(guò)不可逆的散列算法生成的隨機(jī)字符串，不可能反向推導(dǎo)出用戶電腦的任何信息。#p#

二、360網(wǎng)盾攔截及上報(bào)未知掛馬惡意網(wǎng)頁(yè)為什么是安全的

360網(wǎng)盾上報(bào)的可疑網(wǎng)址URL中包含用戶名和密碼信息的幾率是極低的。根據(jù)上述工作原理，360網(wǎng)盾只有在滿足下述三個(gè)條件時(shí)才會(huì)上報(bào)可疑惡意網(wǎng)址：

①用戶正在瀏覽未知掛馬網(wǎng)頁(yè)并受到攻擊時(shí)；

②用戶同時(shí)打開(kāi)了多個(gè)網(wǎng)頁(yè)進(jìn)行瀏覽；

③在同時(shí)打開(kāi)的多個(gè)網(wǎng)頁(yè)中，恰好又登錄了那些存在編程安全漏洞的網(wǎng)站，其網(wǎng)址（URL）中加入了用戶名和密碼信息。

分析即可發(fā)現(xiàn)要全部滿足這三個(gè)條件的幾率是極低的：

①用戶在日常網(wǎng)頁(yè)瀏覽時(shí)訪問(wèn)到掛馬網(wǎng)頁(yè)的幾率是非常低的。雖然360每天能夠攔截到大量未知掛馬網(wǎng)頁(yè)的訪問(wèn)，但分?jǐn)偟?億用戶身上每個(gè)用戶發(fā)生的幾率是很低的。

②在用戶瀏覽未知掛馬網(wǎng)頁(yè)時(shí)又同時(shí)打開(kāi)了多個(gè)網(wǎng)站的情況也是比較少見(jiàn)的。

③通常情況下，只有極少數(shù)不符合安全編程規(guī)范的網(wǎng)站，才會(huì)將用戶名和密碼信息編寫(xiě)在網(wǎng)址URL中。

事實(shí)上，經(jīng)過(guò)我們對(duì)可疑惡意網(wǎng)址日志文件的進(jìn)一步統(tǒng)計(jì)分析，也確認(rèn)了其中帶有用戶名和密碼信息的網(wǎng)址URL數(shù)量極少，而且其中只有少數(shù)可以被利用來(lái)登錄用戶賬號(hào)（從而有機(jī)會(huì)竊取用戶隱私信息），其數(shù)量不到萬(wàn)分之一。

更進(jìn)一步，可疑惡意網(wǎng)址日志文件由360惡意網(wǎng)頁(yè)自動(dòng)分析系統(tǒng)實(shí)時(shí)自動(dòng)處理，人工無(wú)法接觸，自動(dòng)分析后判定為正常的網(wǎng)址URL會(huì)立即從日志文件中刪除。同時(shí)存儲(chǔ)可疑惡意網(wǎng)址日志文件的服務(wù)器均配置為不對(duì)外開(kāi)放，搜索引擎是無(wú)法抓取到日志文件數(shù)據(jù)的。因此，可疑惡意網(wǎng)址日志文件在服務(wù)器端的存儲(chǔ)、處理方式是安全的。

最后，360網(wǎng)盾的可疑惡意網(wǎng)址上報(bào)已在360的《用戶隱私保護(hù)白皮書(shū)》中公開(kāi)說(shuō)明，用戶也可以方便地關(guān)閉可疑惡意網(wǎng)址上報(bào)的功能。

綜上所述，360網(wǎng)盾在實(shí)現(xiàn)未知掛馬網(wǎng)頁(yè)的攔截、上報(bào)及云端自動(dòng)分析的整個(gè)過(guò)程，其技術(shù)方案設(shè)計(jì)是合理、安全的。之所以發(fā)生此次事件，經(jīng)我們調(diào)查是因?yàn)橐慌_(tái)存儲(chǔ)可疑惡意網(wǎng)頁(yè)日志的服務(wù)器遭受攻擊，被黑客篡改了服務(wù)器的配置，打開(kāi)了此服務(wù)器上日志文件的目錄索引，從而導(dǎo)致Google蜘蛛程序抓取到了尚未被自動(dòng)分析處理的少量日志文件數(shù)據(jù)。

360網(wǎng)盾通過(guò)終端檢測(cè)、攔截未知的掛馬惡意網(wǎng)頁(yè)，并將可疑惡意網(wǎng)址上到云安全中心服務(wù)器進(jìn)行自動(dòng)化分析甄別，并更新到惡意網(wǎng)址庫(kù)，從而讓所有用戶可以對(duì)其立即攔截。這是云安全技術(shù)監(jiān)測(cè)、攔截和采集惡意網(wǎng)頁(yè)最有效的方式，諾頓、趨勢(shì)、金山等云安全廠商也均采用相同的方式來(lái)實(shí)現(xiàn)惡意網(wǎng)頁(yè)攔截。

綜上所述，360網(wǎng)盾的功能是安全的，這是包括金山自己在內(nèi)的國(guó)內(nèi)外安全軟件對(duì)惡意網(wǎng)址攔截采用的通用機(jī)制，并不會(huì)侵犯用戶隱私，用戶可以放心使用。