《360用户隐私保护白皮书》

360安全中心首页>>

360云安全计划

360云安全计划坚持以保护您隐私为第一优先原则,在此基础上为您提供更快速、全面的上网安全服务。关于360云安全保护您隐私的条例,详细说明如下:

一、文件云安全计划

文件云安全计划功能介绍

传统杀毒软件将病毒库放在您电脑,在您电脑进行文件的分析工作,在扫描过程中会反复在本地病毒库中进行比对,占用大量系统资源,让电脑非常慢,并且随着病毒库的不断升级,病毒库的容量越来越大,分析文件时所耗费的时间也越来越长,让电脑越用越慢。

360使用国际最先进云安全技术,在360云安全计算中心(云端)建立了存储数亿个木马病毒样本的黑名单数据库和已经被证明是安全文件的白名单数据库。360系列产品利用互联网,通过连网查询技术,把对您电脑里的文件扫描检测从客户端转到云端(服务器端),能够极大地提高对木马病毒查杀和防护的及时性、有效性。同时,90%以上的安全检测计算由云端服务器承担,从而降低了您电脑的CPU和内存等资源占用,使您电脑变快。

360云安全连网检测技术好比您使用搜索引擎时先在搜索框中输入想要搜索的内容,向服务器提交需要搜索的内容后,服务器返回给您相关的信息。因此,360在检测文件安全信息时,需要连接360云安全计算中心,将待查询的文件信息报给服务器,由服务器返回文件是否安全。

什么情况下会进行文件安全连网检测

当您使用360安全卫士查杀木马以及360杀毒查杀病毒时,会对您电脑中的可执行的程序、可自启动的文件进行连网检测。

当您使用360安全卫士主动防御、360杀毒实时防护以及360游戏保险箱时,会将程序执行过程中,可能给您电脑带来风险的操作,比如加载驱动、安装插件等进行连网检测。以下仅以举例的目的,如果加载的驱动经过服务端查询是危险的,那么360客户端将进行拦截;如果安装的插件经过服务端查询是未知的,那么客户端会提示您注意风险等。

哪些数据会送到云端与木马病毒库、白名单库比对检测

电脑连网与360云安全中心木马病毒库和白名单库比对检测的文件,全部是可执行的程序文件。连网检测的文件不包含您的文档、图表、照片、视频或者其他与您隐私相关的非程序文件和信息(如:姓名、电话、住址、E-mail、帐号信息)。

电脑连网比对检测的文件信息,仅包括文件名、文件路径、文件发行属性包括版本、产品名称、签名者、文件运行参数属性和文件指纹。文件指纹是使用国际公开的MD5文件信息摘要算法算出的一个32位的编码,可以为每一个文件计算一个文件指纹,用于标识文件的唯一性。因此,360云安全计算中心在比对文件安全信息时,仅使用文件指纹就能知道文件是否安全,而不需要将文件本身上报到服务器。另外,由于MD5算法是单向的,即只能通过文件计算得出MD5编码,而不能通过编码还原文件,所以上报文件指纹也不会涉及到您个人信息。

对于可疑的可执行程序(即可以运行的程序和会被其他程序调用的文件)、可疑的SWF文件等,360会在征得您的同意后,上报给360安全中心作为样本进行分析,具体请查看可疑文件样本上报。

可执行程序按功能可分为三种:系统自身程序,您安装的软件和木马病毒。可执行程序只是为产品提供功能支持,本身不包含您的个人信息。即使是一个银行软件的可执行程序(如招商银行专业版)也不会包含您的银行账号和密码。因此上报可疑样本不会涉及到您的个人信息的泄漏。

有了文件名和文件指纹,360云安全中心能够将很多把自己伪装成系统文件或您常用软件进行诱骗您运行的木马检测出来并进行处理,以下仅以举例的目的,如木马将自己更名为“招商银行专业版”,并把图标也换成和招商银行专业版一样。

为什么360云安全防御需要分析文件运行参数属性?

文件运行参数属性:当一个文件开始运行时,程序可以接受参数属性,举例:

%windows%system32Cmd.exe /c abc.bat

绿色部分是文件路径,蓝色部分就是参数属性。

以cmd.exe为例,参数可以接受一个abc.bat的脚本文件进行处理,参数所代表的含意是由该程序所定义的,参数通常用来改变程序的执行行为与状态。

下面列出几个典型白程序的参数功能,蓝色标注部分为参数属性

a) %windows%system32wscript.exe (脚本文件)

b) %windows%system32regedit.exe (注册表配置文件)

c) %windows%system32ftp.exe (下载配置文件)

d) %windows%system32rundll32.exe (Dll 文件名, DLL导出函数)

木马作者可以利用参数属性来控制特定程序的功能与运行逻辑,所以首选的目标即是系统程序或是白名单内的程序。

木马作者利用系统程序和白名单程序的目的:

1) 绕过系统防火墙,可以直接访问网络

2) 绕过过于依赖白名单的安全防御软件

3) 绕过过于依赖黑名单的安全防御软件

木马如何利用白程序和参数属性来进行恶意行为:

1) 木马可以运行一个恶意脚本文件 BAT / VBS 去修改您主页,桌面图标等

2) 利用系统rundll32.exe 程序加载恶意DLL

3) 利用系统或第三方程序来实现下载木马或修改系统配置的功能

木马利用白名单程序或系统程序的典型行为

案例一:带有木马下载器的电子书

运行《中xxxx大全》.exe 这个样本,样本运行下列两个程序

i. cmd.exe /c C:DOCUME~1ADMINI~1LOCALS~1Tempbt7407.bat -> 运行一个BAT脚本, 修改您相关配置如主页。

ii. ftp -s:c:cc3.dat -> 运行ftp 程序,并根据c:cc3.dat 文件内指定的地址下载程序并运行。

案例二:劫持修改桌面IE图标的木马

下列行为是木马利用系统程序+参数属性完成IE图标窜改,并让您无法删除该IE图标。

attrib -s -h -r "C:Documents and SettingsAdministrator桌面Internet Explorer.*"

"C:WINDOWSsystem32cmd.exe" /c del /f/a/q "C:Documents and SettingsAdministrator桌面Internet Explorer.*"

attrib +r "C:Documents and SettingsAdministrator桌面Internet Explorer.lnk"

reg add "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel" /v {871C5380-42A0-1069-A2EA-08002B30309D} /t REG_DWORD /d 1 /F

reg add "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsClassicStartMenu" /v {871C5380-42A0-1069-A2EA-08002B30309D} /t REG_DWORD /d 1 /F

360云安全检测技术会将文件的文件名,文件路径、文件发行属性包括版本、产品名称、签名者、文件运行参数属性和文件指纹送到360云安全计算中心进行查询,而360云安全计算中心将这些信息和数据库进行比对,能够快速准确的识别文件是否安全。

通过文件安全连网检测,您可以获得什么安全服务

通过文件安全连网检测,您在查杀木马病毒时,360把文件信息提交给360云安全中心,通过对比木马病毒库和白名单库后返回文件危险级别的结果,并且不占用本机的资源。以下仅以举例的目的,如果是木马病毒,将予以清除;如果是正常文件,将予以放行;如果是可疑文件,将给出终止运行或隔离的建议以供您选择。因此,360云安全计算中心的文件安全的连网检测,能帮助您在第一时间内拦截或清除恶意程序和木马病毒并且360云安全计算中心的木马病毒库和白名单库是实时更新的,您不需要频繁更新病毒库就能查杀最新的木马病毒。

可疑文件样本上报

可疑文件样本是指:既不在木马病毒库中,又不白名单库中,且具有一定风险的可执行文件样本。可疑文件中,绝大多数是未知的木马和病毒,对您的电脑会造成极大的安全威胁。为了确认这些可疑文件的安全性,如果您选择加入“360云安全计划”则将这些可疑文件样本上报至360云安全计算中心。目前参加“360云安全计划”的用户已经超过3亿。

360上报的每一个文件都是经过您的同意的,并且您可以清楚的看到360什么时间上报了什么样本文件。

1)什么情况下会上报可疑文件样本

i.当您初次安装360安全卫士、360杀毒时,产品安装界面会询问您是否加入“云安全计划”,当您【确认】加入后,360安全卫士、360杀毒会在发现可疑文件样本时上报。您也可以随时通过上述产品的设置按钮选择退出或加入“云安全计划”。

ii.加入“云安全计划”的电脑,在执行扫描和实时防护的过程中发现可疑样本时,会自动将可疑样本上报至360云安全计算中心。

iii.对于同一可疑文件样本,如果有其他用户上报过,360云安全计算中心就不再要求您的电脑进行上报。由于加入“云安全计划”的用户超过3亿,因此,您的电脑上报可疑文件样本的概率非常低,您可以随时在360安全卫士查杀木马界面的“上报文件”中查看上报情况。

2)上报可疑文件样本是否会泄漏您的隐私信息

360会通过文件结构来判断一个文件是否为可执行文件,对于采用非安全网站编程方式制作的包含您信息的URL网址,因为上报前无法识别,需要上报360云安全中心甄别后才可确认,360安全中心甄别后会立刻删除。上报的可疑文件样本仅作为木马分析使用。

3)如何设置和查看可疑文件样本上报

i.360安全卫士和杀毒都提供了非常方便地打开和关闭样本上报的功能。方法是:打开360安全卫士,点击界面右上角设置按钮,再点击【云安全计划】,去掉勾选即可关闭样本上报。360杀毒关闭样本上报同样在产品设置中操作,去掉勾选“自动上传发现的可疑文件”即可。

ii.点击查杀木马界面的“上报文件”标签,即可查看上报历史。

4)为什么会有同一路径下同一文件名的可执行文件被反复上报

360客户端通过文件指纹识别文件的唯一性,同一可执行文件在360的数亿用户中只会上报一次。如果您发现有个别同样文件名的可执行文件被上报了多次,那么说明该可执行文件的文件指纹发生了变化,即该可执行文件的内容或功能发生了变化。在多数情况下,拥有这种不断变换自身内容行为的可执行文件是木马的可能性非常大。通常情况下,木马用这种办法来逃避安全软件的查杀。

软件信息连网查询

360云安全计算中心建立了全面的软件信息数据库,包含软件版本、软件功能简介、软件分类、软件中各文件的作用、用户对软件的评分评论等。

软件和木马文件可以随意命名一样,也可以随意更改自己的名字。很多恶意软件将自己命名为经常使用的软件名(如恶意软件将自己命名为“QQ”),骗取用户的使用,从而达到谋利目的。

而通过360云安全计算中心的软件信息连网查询功能,我们能通过软件名称,软件指纹,判断每个软件的正真作用,并把查询到的软件信息和软件作用显示在相应的软件列表上。这些描述信息能够帮助您升级软件、卸载软件、优化开机自动启动的软件,使软件更好用,电脑启动速度更快。

1)什么时候会连网查询软件信息

您在使用360安全卫士的“插件清理”、“流量防火墙”、“软件升级”、“软件卸载”或“开机加速”等需要显示程序和文件信息的功能时,相应功能会通过文件名、文件指纹到360云安全计算中心连网查询您电脑中进程和软件的安全属性和程序的功能描述,并将信息结果显示在相应的软件列表上。

2)哪些数据会送到云端与软件信息库比对

电脑连网查询软件信息数据库,所需上报的数据仅包括软件的文件名、文件路径及文件指纹。不包含可追踪定位您的信息(如:您ID、电脑名称等),不包含您的文档、图表、照片、视频等与隐私相关的非程序文件和信息(如:姓名、电话、住址、E-mail、帐号、密码等)。

3)通过软件信息查询,您可以获得什么服务

清理插件:通过查询每个插件的作用,360插件清理能够显示出每个插件的作用,并给出相应清理建议,帮助您清理电脑中的插件,提高系统速度。

流量防火墙:通过查询文件的安全属性和功能描述,您可以知道每个正在连网的程序是否安全,是做什么用的,占了多少带宽,从而管理和优化自己的网络。

软件升级:通过连网查询软件评价信息数据库,您可以在第一时间获得软件新版本发布通知并升级。升级后的软件可能会提供新的功能,增强体验;也可能修复了原有的不足和漏洞,避免受到木马攻击而造成损失。

软件卸载:随着电脑安装的软件越来越多,磁盘空间被一些无用的软件占用,造成电脑越来越慢。通过连网查询软件信息数据库,可以获得电脑中已安装软件的简介、功能介绍、分类、评分和评论等信息,帮助您在卸载软件时做出正确的选择。

开机加速:很多软件,包括知名软件包含了非必要的开机自动启动行为,这些行为直接导致了您电脑变慢,性能下降。通过连网查询软件信息数据库,可以获得软件功能的介绍和是否需要开机自动启动的建议。您根据查询结果,禁止一些不必要的软件在开机时自动启动,进而提高电脑的性能,让电脑变快。

二、网址云安全计划

360“网址云安全计划”介绍

360使用国际最先进云安全技术,在360云安全计算中心在服务器端建立了存储数千万个恶意网址的数据库。恶意网址数据库包括挂马网址、恶意网址、钓鱼网站等。360云安全计算中心每天向恶意网址数据库实时添加新的恶意网址。360安全产品利用互联网,通过连网查询技术,把对您访问的网址扫描检测从客户端转到云端(服务器端),能够极大地提高对您上网保护的及时性、有效性。同时,90%以上的安全检测计算由云端服务器承担,从而降低了您电脑的CPU和内存等资源占用,使您电脑变快。

360云安全连网检测技术好比您使用搜索引擎时先在搜索框中输入想要搜索的内容,向服务器提交需要搜索的内容后,服务器返回给您相关的信息。因此,360安全产品在检测网址安全信息时,需要连接360云安全计算中心,将待查询的网址信息报给服务器,由服务器返回网址是否安全的信息。

什么情况下会进行“网址云安全”检测:

如果您开启了360安全卫士的网页防护功能并使用浏览器访问网站或点击网页中的链接时,360会把网址送到360云安全计算中心,进行连网安全检测。

1) 网页安全防护

如果您开启了360安全卫士或360杀毒的网页安全防护功能后使用浏览器访问网站或点击网页中的链接时,360安全产品会把网址送到360云安全计算中心,进行联网安全检测。当检测发现挂马网址、恶意网址、钓鱼网站时,则进行拦截或做相应的风险提示。

2) 下载安全防护

如果您开启了360安全卫士下载保镖功能后使用浏览器访问下载网站或者点击下载链接时,360安全产品会把网站内下载网址送到360云安全计算中心,进行联网安全检测。当检测发现风险、危险文件下载或者木马下载链接时,则进行拦截或做相应的风险提示。

3) 搜索安全防护

如果您开启了360安全卫士搜索保镖功能后使用浏览器访问搜索网站搜索相关关键字时,360安全产品会把网站搜索结果送到360云安全计算中心,进行联网安全检测。当检测发现挂马网址、恶意网址、钓鱼网站时,则进行拦截或做相应的风险提示。

4) 邮件安全防护防护

如果您开启了360安全卫士邮件保镖功能后使用浏览器或者邮件客户端打开邮件时,360安全产品会在用户本地对邮件内容进行分析,将分析出邮件中的网址送到360云安全计算中心,联网安全检测。当检测发现挂马网址、恶意网址、钓鱼网站时,则进行相应的风险提示。

5) 看片安全防护

如果您开启了360安全卫士看片保镖功能后使用浏览器访问网站或者点击网页中的链接时,360会把网址送到360云安全计算中心,进行联网安全检测。当发现存在可疑的网址时,我们会提示用户进入看片模式进行浏览。

6)查杀木马和360系统修复

在您使用查杀木马功能进行系统扫描时,云查杀引擎扫描过程中会调用系统修复来完成系统修复扫描。

在您使用360系统修复检查修复系统时,会检测您的桌面、收藏夹、开始菜单以及快速启动栏等敏感位置的快捷链接,360安全产品会把这些网址送到360云安全计算中心,进行联网安全检测。当检测发现挂马网址、恶意网址、钓鱼网站时,则会提示用户进行相关的处理

哪些数据会送到云端与恶意网址数据库进行比对检测:

电脑连网与恶意网址数据库比对检测,所提交的数据为URL网址。

检测方式是计算网址的MD5值,与网址的主机名一起进行base64编码后上传到360云安全中心,360云安全计算中心进行主机名检测、恶意网址库MD5值黑名单检测等确定该网址的安全性。MD5是国际公开的信息摘要算法,根据该算法可以将网址URL算出的一个16字节的编码,用于标识网址URL的唯一性。由于MD5算法是单向的,即只能通过网址URL计算得出MD5编码。

通过“网址云安全”检测,您可以获得什么安全服务:

通过网页安全检测,您在上网时如果打开了木马网站或者含有木马网站链接的网站时,360安全防护中心或360安全浏览器会及时的拦截网页中的木马或弹出警示窗口,阻止木马进入您的电脑,盗取您的资料或破坏您的电脑。而且360云安全计算中心的恶意网址库是实时更新的,您不需要频繁更新就能拦截最新的恶意网址。

未知可疑网址样本上报:

可疑网址样本是指:该网址不在360云安全计算中心白名单或者恶意网址名单中,但是该网址或者网址页面中的某些特征(网址URL、网页标题、页面内容)比较可疑。可疑或者未知网址中绝大多数是未知的钓鱼或者木马网址。为了确认这些可疑网址的安全性,如果您选择加入“360网址云安全计划”则将这些可疑URL样本、DNS解析记录上报至360云安全计算中心。目前参加“360网址云安全计划”的用户已经超过3亿。

1)什么情况下会上报可疑网址样本

i.当您初次安装360安全卫士产品安装界面会询问您是否加入“网址云安全计划”,当您【确认】加入后,360安全卫士会在发现可疑网址样本时上报。您也可以随时通过上述产品的设置按钮选择退出或加入“网址云安全计划”。

ii.加入“网址云安全计划”的电脑,在浏览网页、使用搜索引擎、下载文件、收发邮件发现可疑网址样本(样本内容仅为URL网址及网页标题,不涉及与您个人身份相关的隐私内容。)时,会自动将可疑网址样本上报至360云安全计算中心。

iii.对于同一可疑网址样本,如果有其他用户上报过,360云安全计算中心就不再要求您的电脑进行上报。由于加入“网址云安全计划”的用户超过3亿,因此,您的电脑上报可疑URL样本的概率非常低。

2)上报可疑网址样本是否会泄漏您的隐私信息

360会通过网址结构来判断是否存在用户隐私信息,对于采用非安全网站编程方式制作的包含您信息的URL网址,我们会在上报360云安全计算中心前过滤掉相关信息后再上报。

3)如何设置和查看可疑网址样本上报

i.360安全卫士提供了非常方便地打开和关闭样本上报的功能。方法是:打开360安全卫士,点击界面右上角设置按钮,再点击【网址云安全计划】,去掉勾选即可关闭样本上报。

联系邮箱:kefu@360.cn 如有更多问题,请点此反馈