作為對抗網(wǎng)絡(luò)病毒的核心技術(shù)，反病毒引擎的迭代升級一直備受行業(yè)關(guān)注，如何顯著提升反病毒引擎的攔截效率也成為所有安全廠商不停探索的問題。2月8日，基于騰訊安全聯(lián)合實驗室旗下反詐騙實驗室的研究，騰訊安全正式對外發(fā)布《騰訊TRP-AI反病毒引擎白皮書》(下簡稱《白皮書》)，指出Android病毒在當下的傳播態(tài)勢正在加劇傳統(tǒng)對抗方式的挑戰(zhàn)，而由于傳統(tǒng)對抗方式的運行機制，導(dǎo)致其在當下病毒對抗中陷入困局?！栋灼愤€指出，AI技術(shù)成為破局關(guān)鍵，其具備的實時響應(yīng)、抗免殺等技術(shù)特點，將成為下一代反病毒引擎的對抗核心能力。

　　安卓病毒橫行傳統(tǒng)對抗方式面臨重重挑戰(zhàn)

　　當下的安卓病毒“效能”不斷增大成為行業(yè)共識，傳統(tǒng)的反病毒引擎首先面臨無法提供實時保護這一痛點。根據(jù)《白皮書》顯示，2017年，安卓平臺新增病毒、風(fēng)險包樣本數(shù)達1494萬，感染用戶數(shù)1.88億。受感染的終端用戶中有近10%的用戶遭受0Day甚至NDay病毒威脅，導(dǎo)致隱私泄漏、財產(chǎn)受損。

　　而在對抗的另一方，黑產(chǎn)從業(yè)者的技術(shù)能力正在不斷提升。《白皮書》指出，黑產(chǎn)不斷提升惡意代碼免殺技術(shù)，通過自動化免殺工具、動態(tài)下發(fā)加載playload、云控指令觸發(fā)惡意行為等手段，制造大量0Day病毒繞過反病毒引擎查殺，給傳統(tǒng)殺毒引擎帶來了不小挑戰(zhàn)。與此同時，黑產(chǎn)逐步完成自身產(chǎn)業(yè)洗牌、升級，作案越來越企業(yè)化、高技術(shù)化。2017年，騰訊安全反詐騙實驗室就曾發(fā)現(xiàn)“GhostFramework”、“Magiclamp廣告病毒家族”、“后門病毒家族TigerEyeing”等云控推廣事件，感染用戶數(shù)超百萬。

　　而為了攫取高更的收益，制作并傳播威脅企業(yè)甚至國家政府部門安全的“間諜軟件”也成為了不法分子的重要手段。在2017年間，國外安全廠商卡巴斯基和趨勢科技均披露過大型間諜軟件事件，其中涉及的商業(yè)間諜軟件可實現(xiàn)對目標全天候全信息的監(jiān)控。

　　同樣值得一提的是，安卓病毒傳播引發(fā)的畸形黑客文化，正在帶來嚴重的社會負面價值觀引導(dǎo)。《白皮書》指出，當前市面在傳播中的移動終端勒索病毒，其開發(fā)、免殺技術(shù)雖然十分稚嫩，感染人群也十分有限;但其形成的“黑客”亞文化對青少年的價值觀、道德觀有嚴重的誤導(dǎo)能力，引誘一批批青少年成為以勒索他人、炫耀“黑客”技術(shù)為榮的黑產(chǎn)下線，帶來了極其惡劣的社會影響。

　　響應(yīng)窗口期成“阿喀琉斯之踵”傳統(tǒng)反病毒引擎深陷困局

　　從保護用戶這一核心目的出發(fā)，衡量一款反病毒引擎的優(yōu)劣在于其是否能有效保護用戶網(wǎng)絡(luò)安全，然而這也成為了傳統(tǒng)反病毒引擎不適應(yīng)當下病毒形勢的判定標準之一?！栋灼分赋?，傳統(tǒng)反病毒引擎雖然可以及時響應(yīng)并查殺病毒，配合現(xiàn)有成熟的云查技術(shù)更是可以將響應(yīng)時間降低至一天甚至數(shù)小時內(nèi)，但響應(yīng)再及時依然無法阻止已感染用戶遭受病毒威脅，阻斷用戶隱私泄漏、財產(chǎn)損失。在《白皮書》梳理的傳統(tǒng)反病毒引擎對抗機制可以發(fā)現(xiàn)，傳統(tǒng)反病毒引擎的運行機制較為滯后。

　　(傳統(tǒng)反病毒引擎運行機制滯后)

　　然而，當前大部分反病毒引擎通過引入云查模式來優(yōu)化流程，降低響應(yīng)時長，但依然是傳統(tǒng)反病毒引擎的應(yīng)對模式，僅能做到盡量降低響應(yīng)時長，而未能跳出傳統(tǒng)反病毒引擎固有模式。

　　“攻擊者可通過各種手段，從各個入口，只要找到一個薄弱點對其進行攻擊即可達到目的，而防守方則需要考慮到方方面面，稍有疏忽則會被攻擊者抓住漏洞。”傳統(tǒng)反病毒引擎在與當前病毒對抗中，從人力、終端權(quán)限、攻防戰(zhàn)術(shù)站位上均處于劣勢，這也是安全廠商亟需解決的反病毒引擎困局。

　　《白皮書》還指出，隨著當前病毒攻防技術(shù)的提高，自動化免殺工具、payload動態(tài)下發(fā)、加載技術(shù)的使用，使得“0Day”病毒越來越多，樣本捕獲難度高、逆向/動態(tài)分析對抗嚴重，造成當前傳統(tǒng)反病毒引擎捕獲難、分析成本較高。傳統(tǒng)反病毒引擎應(yīng)對方案逐漸捉襟見肘，越來越多響應(yīng)不及時、難以及時止損、0Day病毒發(fā)現(xiàn)難等問題擺在反病毒引擎運營人員面前。安全廠商亟需利用新的技術(shù)或解決方案突破當前反病毒困局。

　　AI技術(shù)實現(xiàn)智能化病毒對抗或?qū)⑵平鈧鹘y(tǒng)反病毒引擎困局

　　對于傳統(tǒng)殺軟引擎面臨的一系列問題，《白皮書》也提出了極具建設(shè)性的解決方案——將AI技術(shù)應(yīng)用在終端安全場景，利用AI技術(shù)實現(xiàn)更加智能化的病毒對抗;通過機器深度學(xué)習(xí)，下一代引擎將保持持續(xù)的自學(xué)習(xí)自適應(yīng)能力，自動化、智能化跟進病毒的行為演進，并快病毒一步的進行病毒行為預(yù)測和識別、阻斷。

　　這在移動互聯(lián)網(wǎng)終端上并非是“空穴來風(fēng)”。2017至2018年，安卓、高通、華為、三星等全球大型廠商均推出或即將推出深度應(yīng)用AI的產(chǎn)品，甚至AI在黑產(chǎn)領(lǐng)域也得到了“有效”應(yīng)用——國內(nèi)最大打碼平臺“快啊答題”利用AI破解登錄驗證碼。

　　騰訊安全團隊為應(yīng)對未來嚴峻的安全挑戰(zhàn)，配合騰訊高度成熟的AI技術(shù)，基于AI芯片的獨立計算能力，自主研發(fā)了AI反病毒引擎——騰訊TRP-AI反病毒引擎，通過成熟的AI技術(shù)對應(yīng)用行為的深度學(xué)習(xí)，配合系統(tǒng)層的行為監(jiān)控能力，基于AI芯片的獨立、高效的計算能力，配合傳統(tǒng)安全引擎，有效解決未知應(yīng)用所帶來的安全風(fēng)險，實時識別并阻斷惡意行為，做到低功耗、高智能的實時終端安全防護。

　　通過簡單的集成，騰訊TRP-AI反病毒引擎即可通過framework層監(jiān)控樁點對應(yīng)用敏感行為進行監(jiān)控，并將行為數(shù)據(jù)脫敏構(gòu)造成行為序列;利用騰訊先進的AI反病毒模型，基于AI芯片的計算能力進行獨立、安全的反病毒檢測，判斷應(yīng)用行為是否惡意;前端通過安全應(yīng)用進行結(jié)果展示和用戶授權(quán)交互，可及時阻斷惡意行為，卸載惡意應(yīng)用，為用戶提供實時安全防護。

　　經(jīng)過實踐檢驗，騰訊TRP-AI反病毒引擎可實現(xiàn)、病毒檢測的覆蓋率90%、病毒檢測準確率98%、病毒發(fā)現(xiàn)能力提升8%、病毒發(fā)現(xiàn)速度提升12%、病毒發(fā)現(xiàn)快于病毒傳播的占比提升到92%、檢測耗時30ms，遠低于傳統(tǒng)引擎的100~200ms、平均性能消耗保障對設(shè)備使用體驗零影響。

　　(傳統(tǒng)反病毒引擎與AI反病毒引擎能力對比)

　　2018年我國將正式啟動網(wǎng)絡(luò)強國建設(shè)三年行動，作為中國最大的互聯(lián)網(wǎng)綜合服務(wù)提供商之一，騰訊也將積極響應(yīng)國家號召，將AI技術(shù)更多的應(yīng)用在終端安全建設(shè)，網(wǎng)絡(luò)黑產(chǎn)打擊等方面，以更為積極、開放式的心態(tài)，同企業(yè)、銀行、政府部門合作，共同建設(shè)健康、安全的互聯(lián)網(wǎng)生態(tài)，為建設(shè)網(wǎng)絡(luò)強國貢獻力量。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。