作为对抗网络病毒的核心技术, 反病毒引擎的迭代升级一直备受行业关注, 如何显著提升反病毒引擎的拦截效率也成为所有安全厂商不停探索的问题昨天 (2 月 8 日), 基于腾讯安全联合实验室旗下反诈骗实验室的研究, 腾讯安全正式对外发布腾讯 TRP-AI 反病毒引擎白皮书 (下简称白皮书), 指出 Android 病毒在当下的传播态势正在加剧传统对抗方式的挑战, 而由于传统对抗方式的运行机制, 导致其在当下病毒对抗中陷入困局白皮书还指出, AI 技术成为破局关键, 其具备的实时响应抗免杀等技术特点, 将成为下一代反病毒引擎的对抗核心能力
安卓病毒横行 传统对抗方式面临重重挑战
当下的安卓病毒效能不断增大成为行业共识, 传统的反病毒引擎首先面临无法提供实时保护这一痛点根据白皮书显示, 2017 年, 安卓平台新增病毒风险包样本数达 1494 万, 感染用户数 1.88 亿受感染的终端用户中有近 10% 的用户遭受 0Day 甚至 NDay 病毒威胁, 导致隐私泄漏财产受损
而在对抗的另一方, 黑产从业者的技术能力正在不断提升白皮书指出, 黑产不断提升恶意代码免杀技术, 通过自动化免杀工具动态下发加载 playload 云控指令触发恶意行为等手段, 制造大量 0Day 病毒绕过反病毒引擎查杀, 给传统杀毒引擎带来了不小挑战与此同时, 黑产逐步完成自身产业洗牌升级, 作案越来越企业化高技术化 2017 年, 腾讯安全反诈骗实验室就曾发现 GhostFrameworkMagiclamp 广告病毒家族后门病毒家族 TigerEyeing 等云控推广事件, 感染用户数超百万
而为了攫取高更的收益, 制作并传播威胁企业甚至国家政府部门安全的间谍软件也成为了不法分子的重要手段在 2017 年间, 国外安全厂商卡巴斯基和趋势科技均披露过大型间谍软件事件, 其中涉及的商业间谍软件可实现对目标全天候全信息的监控
同样值得一提的是, 安卓病毒传播引发的畸形黑客文化, 正在带来严重的社会负面价值观引导白皮书指出, 当前市面在传播中的移动终端勒索病毒, 其开发免杀技术虽然十分稚嫩, 感染人群也十分有限; 但其形成的黑客亚文化对青少年的价值观道德观有严重的误导能力, 引诱一批批青少年成为以勒索他人炫耀黑客技术为荣的黑产下线, 带来了极其恶劣的社会影响
响应窗口期成阿喀琉斯之踵 传统反病毒引擎深陷困局
从保护用户这一核心目的出发, 衡量一款反病毒引擎的优劣在于其是否能有效保护用户网络安全, 然而这也成为了传统反病毒引擎不适应当下病毒形势的判定标准之一白皮书指出, 传统反病毒引擎虽然可以及时响应并查杀病毒, 配合现有成熟的云查技术更是可以将响应时间降低至一天甚至数小时内, 但响应再及时依然无法阻止已感染用户遭受病毒威胁, 阻断用户隐私泄漏财产损失在白皮书梳理的传统反病毒引擎对抗机制可以发现, 传统反病毒引擎的运行机制较为滞后
传统反病毒引擎运行机制滞后
然而, 当前大部分反病毒引擎通过引入云查模式来优化流程, 降低响应时长, 但依然是传统反病毒引擎的应对模式, 仅能做到尽量降低响应时长, 而未能跳出传统反病毒引擎固有模式
攻击者可通过各种手段, 从各个入口, 只要找到一个薄弱点对其进行攻击即可达到目的, 而防守方则需要考虑到方方面面, 稍有疏忽则会被攻击者抓住漏洞传统反病毒引擎在与当前病毒对抗中, 从人力终端权限攻防战术站位上均处于劣势, 这也是安全厂商亟需解决的反病毒引擎困局
白皮书还指出, 随着当前病毒攻防技术的提高, 自动化免杀工具 payload 动态下发加载技术的使用, 使得 0Day 病毒越来越多, 样本捕获难度高逆向 / 动态分析对抗严重, 造成当前传统反病毒引擎捕获难分析成本较高传统反病毒引擎应对方案逐渐捉襟见肘, 越来越多响应不及时难以及时止损 0Day 病毒发现难等问题摆在反病毒引擎运营人员面前安全厂商亟需利用新的技术或解决方案突破当前反病毒困局
AI 技术实现智能化病毒对抗 或将破解传统反病毒引擎困局
对于传统杀软引擎面临的一系列问题, 白皮书也提出了极具建设性的解决方案将 AI 技术应用在终端安全场景, 利用 AI 技术实现更加智能化的病毒对抗; 通过机器深度学习, 下一代引擎将保持持续的自学习自适应能力, 自动化智能化跟进病毒的行为演进, 并快病毒一步的进行病毒行为预测和识别阻断
这在移动互联网终端上并非是空穴来风 2017 至 2018 年, 安卓高通华为三星等全球大型厂商均推出或即将推出深度应用 AI 的产品, 甚至 AI 在黑产领域也得到了有效应用国内最大打码平台快啊答题利用 AI 破解登录验证码
腾讯安全团队为应对未来严峻的安全挑战, 配合腾讯高度成熟的 AI 技术, 基于 AI 芯片的独立计算能力, 自主研发了 AI 反病毒引擎腾讯 TRP-AI 反病毒引擎, 通过成熟的 AI 技术对应用行为的深度学习, 配合系统层的行为监控能力, 基于 AI 芯片的独立高效的计算能力, 配合传统安全引擎, 有效解决未知应用所带来的安全风险, 实时识别并阻断恶意行为, 做到低功耗高智能的实时终端安全防护
通过简单的集成, 腾讯 TRP-AI 反病毒引擎即可通过 framework 层监控桩点对应用敏感行为进行监控, 并将行为数据脱敏构造成行为序列; 利用腾讯先进的 AI 反病毒模型, 基于 AI 芯片的计算能力进行独立安全的反病毒检测, 判断应用行为是否恶意; 前端通过安全应用进行结果展示和用户授权交互, 可及时阻断恶意行为, 卸载恶意应用, 为用户提供实时安全防护
经过实践检验, 腾讯 TRP-AI 反病毒引擎可实现病毒检测的覆盖率 90% 病毒检测准确率 98% 病毒发现能力提升 8% 病毒发现速度提升 12% 病毒发现快于病毒传播的占比提升到 92% 检测耗时 30ms, 远低于传统引擎的 100~200ms 平均性能消耗保障对设备使用体验零影响
传统反病毒引擎与 AI 反病毒引擎能力对比
2018 年我国将正式启动网络强国建设三年行动, 作为中国最大的互联网综合服务提供商之一, 腾讯也将积极响应国家号召, 将 AI 技术更多的应用在终端安全建设, 网络黑产打击等方面, 以更为积极开放式的心态, 同企业银行政府部门合作, 共同建设健康安全的互联网生态, 为建设网络强国贡献力量
来源: http://geek.csdn.net/news/detail/254209