2010年12月31日，金山公司召開新聞發(fā)布會，指責(zé)360"收集3億用戶密碼等隱私"、"上傳內(nèi)網(wǎng)文件地址"、"追蹤用戶上網(wǎng)行為"等，并通過彈窗發(fā)布所謂"一級安全預(yù)警"，宣稱"上億用戶密碼遭泄漏"，并公開建議用戶卸載360。

金山公布的所謂"360收集用戶隱私"，實為360網(wǎng)盾上傳的不在360惡意網(wǎng)址庫中的未知掛馬網(wǎng)被木馬毒病攻擊的網(wǎng)址樣本。金山公司在內(nèi)的國內(nèi)外安全軟件廠商都采用的是相同的技術(shù)機制，金山公司明知自己的網(wǎng)址上傳功能云查詢是與360采取相同的技術(shù)機制，反而用虛構(gòu)夸大事實的方式，甚至不惜損害用戶利益，制造恐慌來達(dá)到其詆毀360公司的目的，這是一種對用戶極不負(fù)責(zé)任的種做法。

為了以證視聽，360公布網(wǎng)盾攔截未知惡意網(wǎng)頁的工作原理。

一、360網(wǎng)盾攔截未知掛馬惡意網(wǎng)頁的過程

360網(wǎng)盾對未知掛馬網(wǎng)頁的攔截工作原理如下圖所示：

360網(wǎng)盾攔截未知掛馬惡意網(wǎng)址的工作原理

當(dāng)用戶瀏覽未知掛馬網(wǎng)頁時，由于未知掛馬網(wǎng)頁不在360惡意網(wǎng)址庫中，360網(wǎng)盾無法立即加以攔截。但是瀏覽器加載該未知掛馬網(wǎng)頁后，網(wǎng)頁中的惡意代碼會運行，攻擊瀏覽器，并通過瀏覽器進(jìn)一步攻擊和感染用戶系統(tǒng)。這時，360網(wǎng)盾的行為檢測就會發(fā)現(xiàn)瀏覽器的行為異常，確定用戶在瀏覽未知掛馬網(wǎng)頁，從而攔截該攻擊行為并向用戶報警。同時，為了使其他用戶在瀏覽此未知掛馬網(wǎng)頁時可以立即加以攔截，360網(wǎng)盾需要將攻擊的惡意代碼樣本，尤其是觸發(fā)360網(wǎng)盾報警的網(wǎng)址（URL）上報給服務(wù)器，由服務(wù)器進(jìn)行進(jìn)一步的甄別后加入到惡意網(wǎng)址庫中。

需要說明的是：當(dāng)未知掛馬網(wǎng)頁觸發(fā)360網(wǎng)盾報警時，用戶可能會同時瀏覽多個網(wǎng)頁，360網(wǎng)盾是對瀏覽器程序的整體行為進(jìn)行監(jiān)控，只能發(fā)現(xiàn)瀏覽器有行為異常，目前技術(shù)上無法準(zhǔn)確判斷是哪個網(wǎng)頁觸發(fā)了報警，為了確保能夠采集到未知掛馬網(wǎng)頁，360網(wǎng)盾會將觸發(fā)報警時用戶同時打開的網(wǎng)址（URL）一起上報至服務(wù)器，存儲在可疑惡意網(wǎng)址日志文件中，由服務(wù)器進(jìn)一步甄別出其中的惡意網(wǎng)頁。這也是為什么可疑惡意網(wǎng)址日志文件中會包含一些知名網(wǎng)站和內(nèi)網(wǎng)網(wǎng)址（URL）的原因。

上報至服務(wù)器的可疑網(wǎng)址日志文件全部由360云安全中心的惡意網(wǎng)頁自動分析系統(tǒng)進(jìn)行實時自動的分析處理，以鑒別出其中真正的惡意網(wǎng)址，并將其加入到惡意網(wǎng)址庫中，從而使所有用戶今后瀏覽該網(wǎng)頁時即可立即攔截。對于鑒別出的正常的網(wǎng)頁，其URL網(wǎng)址記錄會自動從日志文件中刪除。

根據(jù)上述原理，對可疑惡意網(wǎng)址日志文件有如下進(jìn)一步說明：

①當(dāng)用戶瀏覽未知掛馬網(wǎng)頁時，可能亦在同時瀏覽不符合安全編程規(guī)范的一些網(wǎng)站，其網(wǎng)址（URL）中帶有用戶名和密碼，因此這些網(wǎng)址（URL）也被上報到服務(wù)器，出現(xiàn)在可疑惡意網(wǎng)址日志文件中，但是經(jīng)分析這類網(wǎng)址（URL）數(shù)量比例極低，不到萬分之一。

②可疑惡意網(wǎng)址日志文件中有較多黃色網(wǎng)站的網(wǎng)址（URL），這是因為掛馬網(wǎng)頁通過是利用黃色網(wǎng)站進(jìn)行傳播，吸引用戶瀏覽；

③由以上工作原理可知，360網(wǎng)盾僅是在未知掛馬網(wǎng)頁攻擊并觸發(fā)報警的瞬間，將用戶同時正在瀏覽器網(wǎng)址（URL）上報給服務(wù)器，而不是持續(xù)地上報用戶訪問的網(wǎng)址（URL），因此不可能記錄用戶的上網(wǎng)行為，跟蹤用戶的上網(wǎng)習(xí)慣。

④在可疑惡意網(wǎng)址日志中記錄有機器MID，這是為了更好的分析未知掛馬網(wǎng)頁的感染量和傳播趨勢，該MID是通過不可逆的散列算法生成的隨機字符串，不可能反向推導(dǎo)出用戶電腦的任何信息。#p#

二、360網(wǎng)盾攔截及上報未知掛馬惡意網(wǎng)頁為什么是安全的

360網(wǎng)盾上報的可疑網(wǎng)址URL中包含用戶名和密碼信息的幾率是極低的。根據(jù)上述工作原理，360網(wǎng)盾只有在滿足下述三個條件時才會上報可疑惡意網(wǎng)址：

①用戶正在瀏覽未知掛馬網(wǎng)頁并受到攻擊時；

②用戶同時打開了多個網(wǎng)頁進(jìn)行瀏覽；

③在同時打開的多個網(wǎng)頁中，恰好又登錄了那些存在編程安全漏洞的網(wǎng)站，其網(wǎng)址（URL）中加入了用戶名和密碼信息。

分析即可發(fā)現(xiàn)要全部滿足這三個條件的幾率是極低的：

①用戶在日常網(wǎng)頁瀏覽時訪問到掛馬網(wǎng)頁的幾率是非常低的。雖然360每天能夠攔截到大量未知掛馬網(wǎng)頁的訪問，但分?jǐn)偟?億用戶身上每個用戶發(fā)生的幾率是很低的。

②在用戶瀏覽未知掛馬網(wǎng)頁時又同時打開了多個網(wǎng)站的情況也是比較少見的。

③通常情況下，只有極少數(shù)不符合安全編程規(guī)范的網(wǎng)站，才會將用戶名和密碼信息編寫在網(wǎng)址URL中。

事實上，經(jīng)過我們對可疑惡意網(wǎng)址日志文件的進(jìn)一步統(tǒng)計分析，也確認(rèn)了其中帶有用戶名和密碼信息的網(wǎng)址URL數(shù)量極少，而且其中只有少數(shù)可以被利用來登錄用戶賬號（從而有機會竊取用戶隱私信息），其數(shù)量不到萬分之一。

更進(jìn)一步，可疑惡意網(wǎng)址日志文件由360惡意網(wǎng)頁自動分析系統(tǒng)實時自動處理，人工無法接觸，自動分析后判定為正常的網(wǎng)址URL會立即從日志文件中刪除。同時存儲可疑惡意網(wǎng)址日志文件的服務(wù)器均配置為不對外開放，搜索引擎是無法抓取到日志文件數(shù)據(jù)的。因此，可疑惡意網(wǎng)址日志文件在服務(wù)器端的存儲、處理方式是安全的。

最后，360網(wǎng)盾的可疑惡意網(wǎng)址上報已在360的《用戶隱私保護(hù)白皮書》中公開說明，用戶也可以方便地關(guān)閉可疑惡意網(wǎng)址上報的功能。

綜上所述，360網(wǎng)盾在實現(xiàn)未知掛馬網(wǎng)頁的攔截、上報及云端自動分析的整個過程，其技術(shù)方案設(shè)計是合理、安全的。之所以發(fā)生此次事件，經(jīng)我們調(diào)查是因為一臺存儲可疑惡意網(wǎng)頁日志的服務(wù)器遭受攻擊，被黑客篡改了服務(wù)器的配置，打開了此服務(wù)器上日志文件的目錄索引，從而導(dǎo)致Google蜘蛛程序抓取到了尚未被自動分析處理的少量日志文件數(shù)據(jù)。

360網(wǎng)盾通過終端檢測、攔截未知的掛馬惡意網(wǎng)頁，并將可疑惡意網(wǎng)址上到云安全中心服務(wù)器進(jìn)行自動化分析甄別，并更新到惡意網(wǎng)址庫，從而讓所有用戶可以對其立即攔截。這是云安全技術(shù)監(jiān)測、攔截和采集惡意網(wǎng)頁最有效的方式，諾頓、趨勢、金山等云安全廠商也均采用相同的方式來實現(xiàn)惡意網(wǎng)頁攔截。

綜上所述，360網(wǎng)盾的功能是安全的，這是包括金山自己在內(nèi)的國內(nèi)外安全軟件對惡意網(wǎng)址攔截采用的通用機制，并不會侵犯用戶隱私，用戶可以放心使用。