压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：Android病毒在當下的傳播態勢正在加劇傳統對抗方式的挑戰，而由于傳統對抗方式的運行機制，導致其在當下病毒對抗中陷入困局。AI技術成為破局關鍵，其具備的實時響應、抗免殺等技術特點，將成為下一代反病毒引擎的對抗核心能力。

騰訊安全團隊為應對未來嚴峻的安全挑戰，配合騰訊高度成熟的AI技術，基于AI芯片的獨立計算能力，自主研發了AI反病毒引擎——騰訊TRP-AI反病毒引擎，通過成熟的AI技術對應用行為的深度學習，配合系統層的行為監控能力，基于AI芯片的獨立、高效的計算能力，配合傳統安全引擎，有效解決未知應用所帶來的安全風險，實時識別并阻斷惡意行為，做到低功耗、高智能的實時終端安全防護。

羅元海????騰訊高級安全研究員

第一個挑戰，現在新的病毒從出現到被檢出的時間周期已經變的越來越長。比如在2017年騰訊安全團隊發現的地下暗流的病毒偽裝成系統應用，想推廣惡意應用，然后刷廣告，刷流量等等流量變現的方式，他背后的黑產團伙就可以通過這種流量變現的方式謀取巨額的利益。我們通過這各病毒進行追根溯源我們發現一個很有意思的現象，感染的區域有很高的具體行，大部分用戶集中在浙江省境內。我們再綜合多個線索，我們可以推斷這個病毒進入手機用戶的渠道是通過線下的營業廳預裝的方式，因此，隱蔽性可以說是非常強的。

這個病毒給我們傳統的反病毒技術，尤其對反病毒技術的感知能力帶來了很大的挑戰，傳統的反病毒能力急需提升對新病毒的感知和快速響應能力。

第二個挑戰，現在黑產團伙已經逐步完成自己的產業升級，已經從個人小團伙形式往企業級分工合作的形式發展。比如說我們分析的色情詐騙團伙，它其實通過公司級的方式來運作的，有非常多的公司來緊密配合，覆蓋了像病毒軟件的開發、流量分發、流量變現，所有的環節都有覆蓋到，可以說是一個非常專業的黑產團伙。

隨著這種黑產企業化的分工協作的方式發展，這些黑產在病毒的開發和傳播技術方面都有很大的提升。他們就可以更快速大量地傳播相對于傳統反病毒來講是未知的病毒，而且他們會利用很多的免殺手段對抗傳統反病毒的查殺。比如色情詐騙團伙就是用一些實時打包更新惡意代碼等方式產生海量的病毒變種。

第三個挑戰，現在移動端的病毒很多都是通過云端控制惡意代碼的投放。這種類型的病毒用戶剛下載下來這個APP可能功能上都是沒有問題的，不包含惡意代碼的，但它會在后臺云端拉取一些配置參數，這些配置參數就包括我這個病毒延遲做的時間，我這個病毒在什么地域才開始做或者在什么網絡運營商的環境下才真正的做，通過這種動態的方式來控制自己的做惡邏輯。這樣的話可以避免被殺毒軟件捕獲大范圍的通殺。

從前面幾個例子可以看到移動端病毒發展的趨勢對手機安全能力帶來了很大的挑戰。我們反病毒技術如何及時發現病毒，如何快速查殺那些海量的病毒變種以及如何應對惡意代碼的云控加載，這些都是我們反病毒技術面臨的問題。

傳統的反病毒技術雖然新的技術非常多，但是總體上可以分成兩個技術，一個是本地引擎，一個是云查殺?？傮w這是兩大類技術。對于本地特征碼引擎原理是我要查殺一個病毒首先我要捕獲到一個病毒樣本，通過安全運營團隊或者是一些機器來對病毒樣本進行靜態的代碼分析或者動態的行為分析，理解了這個代碼的原理或者機制之后再將特征下到特征碼病毒庫了，特征碼引擎就可以查殺病毒了。

流程從樣本收集分析到特征再到下發，整個流程是非常長的，周期是非常長的，相對于現在的移動端可以快速和大范圍傳播的速度，本地引擎天然有滯后性，本地引擎基于靜態特征的方式很容易被動態加載，深度混淆，很容易就把靜態特征免殺掉。另外，因為特征碼引擎是基于文件的內容進行一個特征匹配，因此相對來說它的性能上會有比較大的一些問題。因此，現在很多反病毒軟件都引入了云查殺的方式，想解決我們特征碼引擎面臨的一些問題，提升反病毒體系的響應速度。

云查殺也有一些他自己的缺陷，它非常依賴樣本的收集，但是現在移動端的病毒變種產生非?？欤瑯颖臼占乃俣仁遣豢赡苴s上病毒變化速度的。云查殺引擎的第二個問題，它云端沙箱或者蜜罐病毒在這里的惡意行為很難全面的觸發，很多病毒通過動態配置的方式來控制自己的惡意行為。比如發現自己在某種網絡環境下可能就不運行，并且也有很多病毒有專門的反查殺手段，都給我們云查殺的模式帶來很大的挑戰。

從前面我們看到的惡濁病毒的趨勢，以及它帶來的挑戰，我們推斷未來移動端病毒和反病毒對抗將會更加激烈。我們傳統的反病毒技術急需升級換代才能應對終端出現的位置病毒。

在這樣的背景下，我們為了應對終端未來比較嚴峻的安全威脅，騰訊安全團隊提出我們新一代的反病毒解決方案。我們叫TRP，這是一個真正在手機上落地的AI反病毒產品。

新一代的反病毒引擎就需要克服傳統反病毒引擎的特點，比如抗免殺、高性能、實時保護，很強的未知病毒檢測能力，這是新一代反病毒引擎必須具備的特性。

新一代TRP引擎數據原理就是在安卓系統的重要API插裝，通過收集APK運行過程中所觸發的API，通過收集裝點序列，再滿足我們預設的那種觸發策略的時候將這些行為序列送入我們的AI的模塊里，對這個序列進行一個惡意研判，從而判斷APK是否包含惡意行為。從技術原理我們可以看到這個引擎有兩個大的技術特性，第一個技術特性，它是基于APP端側的真實行為實時監控的方案。第二，它的惡意研判是通過深度學習的方式進行的，這是和傳統反病毒產品相比比較大的技術特性。接下來我們就來詳細看一下這兩個技術特性是怎么解決我們傳統反病毒引擎所面臨的那些問題的。

第一個技術特性是基于APP端側行為事件序列的實時監控，病毒的免殺技術要么基于病毒進行靜態的特征變化或者加入一些反沙箱技術檢測沙箱環境，我們是基于終端真實的行為這些免殺的技術直接就會不生效。這是基于端側行為帶來的好處。基于端側行為是可以做到實時防護的，也是和我們傳統病毒技術相比帶來的好處。

另外，這種基于行為的特征，它檢測的淡化能力非常強，對未知病毒有非常好的檢出效果，這是第一個技術特性所帶來的一些好處。

第二個技術特性是它的惡意研判是基于AI算法的，相對于傳統引擎基于數據規則或者經典算法的惡意研判使用深度學習的算法會有什么樣的好處呢？我們總結了兩點優勢。第一點優勢，基于深度學習算法的方式它的整個流程是完全自動化的，可以完全自動化的挖掘病毒的特征和規則。因此，對我們整個反病毒體系的響應能力、響應速度會有非常大的提升，它不需要人工的介入，只需要輸入標簽數據。這是第一個優勢。第二個優勢，因為我們的深度神經網絡參數規模還是非常大的，它對病毒特征的描述和刻劃能力是非常強的。因此，他對未知病毒等等惡性病毒會有非常好的檢出效果。它的泛化檢測能力更加強大。從兩個數據來看引擎的效果，一個是抗免殺能力的實驗背景，我們使用了一個安卓平臺自動化的免除殺人工具，這個工具是去年出現的?？梢詫Π沧康牟《具M行自動化的處理。我們選擇一批已知的病毒使用這個工具對這批病毒樣本進行自動化的變形，再選取幾個傳統的反病毒引擎分別對變形前后的樣本都做一個掃描，從掃描的結果也可以看到變形之前的病毒，已知病毒，所有的反病毒軟件都能做到很高的檢查出去率，但是對于變形之后，只有×引擎，它是基于病毒的真實行為，不依賴病毒樣本的靜態特色，這種原殺的手段是沒有效果的。

病毒發現能力上使用了新一代的引擎之后也有很大的提升。在病毒發現上我們使用的指標，病毒檢出的速度快于病毒傳播速度的占比，百分比，這個指標含義是什么？這個指標含義是病毒在終端剛出現，還沒有大范圍的傳播開，這樣的一個比例，很明顯這個比例越高說明我們整個反病毒體系響應的速度越快，我們也可以看到加上我們TRB引擎之后響應速度大概提升了12%的樣子。對整個體系的響應速度有很大的提升。這就是TRB的技術原理和所解決的問題。

最后給大家分享一下我們對AI反病毒能力未來的展望。近兩年系統終端不管從芯片到系統AI計算的能力都在快速普及，高通、華為都推出了自己的AI芯片或者神經網絡引擎SDK，谷歌也推出了自己的神經網絡，并且在8.1內置到安卓系統里，這個神經網絡可以為端側深度學習的框架提供一個很高效的計算能力。

隨著移動終端AI的發展，中斷的AI能力越來越強，它可以做的事情也越來越多，因此，在未來AI的推理部分可能更多的會終端來進行，AI的一部分能力會逐步的下沉到終端來，這種智能邊緣設備會逐步崛起。這是我們的一個判斷。

隨著終端AI能力的快速普及，終端也給我們反病毒引擎提供了很好的一個獨立高效的運算能力。因此，我們反病毒引擎，尤其他AI的推理部分完全可以放到終端進行，云端有海量的存儲能力和強大的計算能力，因此AI的模型訓練部分可以放到云端進行。端和云結合起來可以形成我們新一代的AI反病毒體系。AI反病毒體系是基于特征碼引擎云查殺引擎之后的下一代的引擎。可以給我們的移動終端帶來更強的安全保護，使我們手機更加安全。

隨著終端AI能力的發展，圖象識別和云處理取得了前所未有的成功，并且也推動了相關產業的快速發展，像人臉識別、語音助手這些功能已經成為AI涉及的標配了，未來AI反病毒能力也會成為AI手機的標配功能，就像我們語音助手一樣。這樣就可以讓我們手機更加智能，更加安全，我們下一步引擎我們是真正在終端落地，今年4月份國內一家手機廠商和我們合作，他們推出的新的安卓系統里集成了我們的AI反病毒引擎。我們也希望國內外更多的手機廠商可以找到我們和我們一起合作，讓AI反病毒能力可以在更多的手機上落地，使我們的手機更安全、更智能。