日前，一个境外黑客组织OceanLotus（海莲花）被360天眼实验室捕获，该黑客组织发动针对中国的APT攻击长达三年，主要攻击的目标是中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域。

据360天眼实验室发布的报告显示，“海莲花”发动的APT攻击，地域遍布国内29个省，以及境外的36个国家。主要使用的是“鱼叉攻击”、“水坑攻击”两种方式。在其潜伏3年时间里，至少使用了4种不同程序形态、不同编码风格和不同攻击原理的木马程序，恶意服务器遍布全球13个国家，注册的已知域名多达35个。

360天眼利用“大数据安全分析”发现“海莲花”攻击

对于“海莲花”发动的这种范围大、时间长，但目的明确、目标精准的APT攻击。如果单独依靠传统的各种局部检测与防御技术，即便能够发现一些零星的攻击事件和病毒样本，也很难复原整个APT攻击的全貌，那么360天眼是如何做到的？

在捕获“海莲花”的过程中，360天眼利用“大数据安全分析”，将百亿级的恶意程序样本库、数亿级的安全终端的防护数据、PB级的搜索引擎的全网抓取数据、可视化的分析数据，以及其他多个维度的互联网大数据进行了关联分析和历史检索。

而其中“可视化数据分析”可以用来发现，就是帮助做分析的工作人员，在几百亿、几千亿条数据里快速建立关联，进行互动分析的系统也是可视化。此外还有沙箱集群，对海量的数据进行检测。

正是利用多维度“大数据”的分析，才能在每天海量的网络攻击事件中，定位出与“海莲花”相关的各种攻击事件和攻击元素，最终360天眼绘制出“海莲花”组织对我国境内目标发动APT攻击的全貌。

威胁情报采集、分布式搜索找捕获“海莲花”中起重要作用

在威胁情报采集方面，360天眼也有着独特创新，对于海莲花的APT攻击，根据其木马攻击的特点，可以关联发现“海莲花”组织的一些特点。这是因为写木马也不是每次都从零开始，黑客每次还是会复制以前的一些代码，这样就可以做木马的同源性分析。

例如，360天眼对“海莲花”组织所使用的恶意代码、攻击载荷和诱饵数据的分析，该组织内部可能有多个小组，每个小组有自己的分工。组织中各组可能有针对性地收集信息、开发定制的工具，以及对窃取的情报进行集中二次处理挖掘，各个环节紧密配合，并在其内部共享窃取的情报信息和攻击载荷。

类似“海莲花”这潜伏长达3年的APT攻击，每一段时间都有其特定的攻击系统。它的攻击有自己的目的性。360天眼的威胁情报不仅仅包含APT攻击自身的感染指标，还可以输出攻击的覆盖行业，受害数量等攻击背景信息。这也在还原“海莲花”全貌攻击中，起到关键的重用。

此外，360天眼在“企业本地”采用了“分布式搜索”技术，通过搜索引擎打通了数据采集到数据搜索，关联分析等多个环节。即使企业有几百亿、几千亿条数据，360天眼可以做到秒级以下，对数据进行快速的检索和关联。360天眼可以支持千亿级的数据，可以在秒级进行查。也有助于企业进行APT的防御、发现、阻击。