《騰訊TRP-AI反病毒引擎白皮書》:安卓病毒對抗難
- 2018-02-15 02:08:57
-
作為對抗網絡病毒的核心技術,反病毒引擎的迭代升級一直備受行業關注,如何顯著提升反病毒引擎的攔截效率也成為所有安全廠商不停探索的問題。2月8日,基于騰訊安全聯合實驗室旗下反詐騙實驗室的研究,騰訊安全正式對外發布《騰訊TRP-AI反病毒引擎白皮書》(下簡稱《白皮書》),指出Android病毒在當下的傳播態勢正在加劇傳統對抗方式的挑戰,而由于傳統對抗方式的運行機制,導致其在當下病毒對抗中陷入困局。《白皮書》還指出,AI技術成為破局關鍵,其具備的實時響應、抗免殺等技術特點,將成為下一代反病毒引擎的對抗核心能力。
安卓病毒橫行傳統對抗方式面臨重重挑戰
當下的安卓病毒效能不斷增大成為行業共識,傳統的反病毒引擎首先面臨無法提供實時保護這一痛點。根據《白皮書》顯示,2017年,安卓平臺新增病毒、風險包樣本數達1494萬,感染用戶數1.88億。受感染的終端用戶中有近10%的用戶遭受0Day甚至NDay病毒威脅,導致隱私泄漏、財產受損。
而在對抗的另一方,黑產從業者的技術能力正在不斷提升。《白皮書》指出,黑產不斷提升惡意代碼免殺技術,通過自動化免殺工具、動態下發加載playload、云控指令觸發惡意行為等手段,制造大量0Day病毒繞過反病毒引擎查殺,給傳統殺毒引擎帶來了不小挑戰。與此同時,黑產逐步完成自身產業洗牌、升級,作案越來越企業化、高技術化。2017年,騰訊安全反詐騙實驗室就曾發現GhostFramework、Magiclamp廣告病毒家族、后門病毒家族TigerEyeing等云控推廣事件,感染用戶數超百萬。
而為了攫取高更的收益,制作并傳播威脅企業甚至國家政府部門安全的間諜軟件也成為了不法分子的重要手段。在2017年間,國外安全廠商卡巴斯基和趨勢科技均披露過大型間諜軟件事件,其中涉及的商業間諜軟件可實現對目標全天候全信息的監控。
同樣值得一提的是,安卓病毒傳播引發的畸形黑客文化,正在帶來嚴重的社會負面價值觀引導。《白皮書》指出,當前市面在傳播中的移動終端勒索病毒,其開發、免殺技術雖然十分稚嫩,感染人群也十分有限;但其形成的黑客亞文化對青少年的價值觀、道德觀有嚴重的誤導能力,引誘一批批青少年成為以勒索他人、炫耀黑客技術為榮的黑產下線,帶來了極其惡劣的社會影響。
響應窗口期成阿喀琉斯之踵傳統反病毒引擎深陷困局
從保護用戶這一核心目的出發,衡量一款反病毒引擎的優劣在于其是否能有效保護用戶網絡安全,然而這也成為了傳統反病毒引擎不適應當下病毒形勢的判定標準之一。《白皮書》指出,傳統反病毒引擎雖然可以及時響應并查殺病毒,配合現有成熟的云查技術更是可以將響應時間降低至一天甚至數小時內,但響應再及時依然無法阻止已感染用戶遭受病毒威脅,阻斷用戶隱私泄漏、財產損失。在《白皮書》梳理的傳統反病毒引擎對抗機制可以發現,傳統反病毒引擎的運行機制較為滯后。#p#分頁標題#e#
(傳統反病毒引擎運行機制滯后)
然而,當前大部分反病毒引擎通過引入云查模式來優化流程,降低響應時長,但依然是傳統反病毒引擎的應對模式,僅能做到盡量降低響應時長,而未能跳出傳統反病毒引擎固有模式。
攻擊者可通過各種手段,從各個入口,只要找到一個薄弱點對其進行攻擊即可達到目的,而防守方則需要考慮到方方面面,稍有疏忽則會被攻擊者抓住漏洞。傳統反病毒引擎在與當前病毒對抗中,從人力、終端權限、攻防戰術站位上均處于劣勢,這也是安全廠商亟需解決的反病毒引擎困局。
《白皮書》還指出,隨著當前病毒攻防技術的提高,自動化免殺工具、payload動態下發、加載技術的使用,使得0Day病毒越來越多,樣本捕獲難度高、逆向/動態分析對抗嚴重,造成當前傳統反病毒引擎捕獲難、分析成本較高。傳統反病毒引擎應對方案逐漸捉襟見肘,越來越多響應不及時、難以及時止損、0Day病毒發現難等問題擺在反病毒引擎運營人員面前。安全廠商亟需利用新的技術或解決方案突破當前反病毒困局。
AI技術實現智能化病毒對抗或將破解傳統反病毒引擎困局
對于傳統殺軟引擎面臨的一系列問題,《白皮書》也提出了極具建設性的解決方案將AI技術應用在終端安全場景,利用AI技術實現更加智能化的病毒對抗;通過機器深度學習,下一代引擎將保持持續的自學習自適應能力,自動化、智能化跟進病毒的行為演進,并快病毒一步的進行病毒行為預測和識別、阻斷。
這在移動互聯網終端上并非是空穴來風。2017至2018年,安卓、高通、華為、三星等全球大型廠商均推出或即將推出深度應用AI的產品,甚至AI在黑產領域也得到了有效應用國內最大打碼平臺快啊答題利用AI破解登錄驗證碼。
騰訊安全團隊為應對未來嚴峻的安全挑戰,配合騰訊高度成熟的AI技術,基于AI芯片的獨立計算能力,自主研發了AI反病毒引擎騰訊TRP-AI反病毒引擎,通過成熟的AI技術對應用行為的深度學習,配合系統層的行為監控能力,基于AI芯片的獨立、高效的計算能力,配合傳統安全引擎,有效解決未知應用所帶來的安全風險,實時識別并阻斷惡意行為,做到低功耗、高智能的實時終端安全防護。
通過簡單的集成,騰訊TRP-AI反病毒引擎即可通過framework層監控樁點對應用敏感行為進行監控,并將行為數據脫敏構造成行為序列;利用騰訊先進的AI反病毒模型,基于AI芯片的計算能力進行獨立、安全的反病毒檢測,判斷應用行為是否惡意;前端通過安全應用進行結果展示和用戶授權交互,可及時阻斷惡意行為,卸載惡意應用,為用戶提供實時安全防護。#p#分頁標題#e#
經過實踐檢驗,騰訊TRP-AI反病毒引擎可實現、病毒檢測的覆蓋率90%、病毒檢測準確率98%、病毒發現能力提升8%、病毒發現速度提升12%、病毒發現快于病毒傳播的占比提升到92%、檢測耗時30ms,遠低于傳統引擎的100~200ms、平均性能消耗保障對設備使用體驗零影響。
(傳統反病毒引擎與AI反病毒引擎能力對比)
2018年我國將正式啟動網絡強國建設三年行動,作為中國最大的互聯網綜合服務提供商之一,騰訊也將積極響應國家號召,將AI技術更多的應用在終端安全建設,網絡黑產打擊等方面,以更為積極、開放式的心態,同企業、銀行、政府部門合作,共同建設健康、安全的互聯網生態,為建設網絡強國貢獻力量。
- [ 返回首頁] [ 打印] [ 返回上頁] 上一篇:視頻模式下你想要的功能都有了--WAHE OS新春賀歲 下一篇:跨越2400公里 新華社聯合快手助力大涼山留守兒童