压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：Android病毒在當(dāng)下的傳播態(tài)勢(shì)正在加劇傳統(tǒng)對(duì)抗方式的挑戰(zhàn)，而由于傳統(tǒng)對(duì)抗方式的運(yùn)行機(jī)制，導(dǎo)致其在當(dāng)下病毒對(duì)抗中陷入困局。AI技術(shù)成為破局關(guān)鍵，其具備的實(shí)時(shí)響應(yīng)、抗免殺等技術(shù)特點(diǎn)，將成為下一代反病毒引擎的對(duì)抗核心能力。

騰訊安全團(tuán)隊(duì)為應(yīng)對(duì)未來嚴(yán)峻的安全挑戰(zhàn)，配合騰訊高度成熟的AI技術(shù)，基于AI芯片的獨(dú)立計(jì)算能力，自主研發(fā)了AI反病毒引擎——騰訊TRP-AI反病毒引擎，通過成熟的AI技術(shù)對(duì)應(yīng)用行為的深度學(xué)習(xí)，配合系統(tǒng)層的行為監(jiān)控能力，基于AI芯片的獨(dú)立、高效的計(jì)算能力，配合傳統(tǒng)安全引擎，有效解決未知應(yīng)用所帶來的安全風(fēng)險(xiǎn)，實(shí)時(shí)識(shí)別并阻斷惡意行為，做到低功耗、高智能的實(shí)時(shí)終端安全防護(hù)。

羅元海????騰訊高級(jí)安全研究員

第一個(gè)挑戰(zhàn)，現(xiàn)在新的病毒從出現(xiàn)到被檢出的時(shí)間周期已經(jīng)變的越來越長(zhǎng)。比如在2017年騰訊安全團(tuán)隊(duì)發(fā)現(xiàn)的地下暗流的病毒偽裝成系統(tǒng)應(yīng)用，想推廣惡意應(yīng)用，然后刷廣告，刷流量等等流量變現(xiàn)的方式，他背后的黑產(chǎn)團(tuán)伙就可以通過這種流量變現(xiàn)的方式謀取巨額的利益。我們通過這各病毒進(jìn)行追根溯源我們發(fā)現(xiàn)一個(gè)很有意思的現(xiàn)象，感染的區(qū)域有很高的具體行，大部分用戶集中在浙江省境內(nèi)。我們?cè)倬C合多個(gè)線索，我們可以推斷這個(gè)病毒進(jìn)入手機(jī)用戶的渠道是通過線下的營(yíng)業(yè)廳預(yù)裝的方式，因此，隱蔽性可以說是非常強(qiáng)的。

這個(gè)病毒給我們傳統(tǒng)的反病毒技術(shù)，尤其對(duì)反病毒技術(shù)的感知能力帶來了很大的挑戰(zhàn)，傳統(tǒng)的反病毒能力急需提升對(duì)新病毒的感知和快速響應(yīng)能力。

第二個(gè)挑戰(zhàn)，現(xiàn)在黑產(chǎn)團(tuán)伙已經(jīng)逐步完成自己的產(chǎn)業(yè)升級(jí)，已經(jīng)從個(gè)人小團(tuán)伙形式往企業(yè)級(jí)分工合作的形式發(fā)展。比如說我們分析的色情詐騙團(tuán)伙，它其實(shí)通過公司級(jí)的方式來運(yùn)作的，有非常多的公司來緊密配合，覆蓋了像病毒軟件的開發(fā)、流量分發(fā)、流量變現(xiàn)，所有的環(huán)節(jié)都有覆蓋到，可以說是一個(gè)非常專業(yè)的黑產(chǎn)團(tuán)伙。

隨著這種黑產(chǎn)企業(yè)化的分工協(xié)作的方式發(fā)展，這些黑產(chǎn)在病毒的開發(fā)和傳播技術(shù)方面都有很大的提升。他們就可以更快速大量地傳播相對(duì)于傳統(tǒng)反病毒來講是未知的病毒，而且他們會(huì)利用很多的免殺手段對(duì)抗傳統(tǒng)反病毒的查殺。比如色情詐騙團(tuán)伙就是用一些實(shí)時(shí)打包更新惡意代碼等方式產(chǎn)生海量的病毒變種。

第三個(gè)挑戰(zhàn)，現(xiàn)在移動(dòng)端的病毒很多都是通過云端控制惡意代碼的投放。這種類型的病毒用戶剛下載下來這個(gè)APP可能功能上都是沒有問題的，不包含惡意代碼的，但它會(huì)在后臺(tái)云端拉取一些配置參數(shù)，這些配置參數(shù)就包括我這個(gè)病毒延遲做的時(shí)間，我這個(gè)病毒在什么地域才開始做或者在什么網(wǎng)絡(luò)運(yùn)營(yíng)商的環(huán)境下才真正的做，通過這種動(dòng)態(tài)的方式來控制自己的做惡邏輯。這樣的話可以避免被殺毒軟件捕獲大范圍的通殺。

從前面幾個(gè)例子可以看到移動(dòng)端病毒發(fā)展的趨勢(shì)對(duì)手機(jī)安全能力帶來了很大的挑戰(zhàn)。我們反病毒技術(shù)如何及時(shí)發(fā)現(xiàn)病毒，如何快速查殺那些海量的病毒變種以及如何應(yīng)對(duì)惡意代碼的云控加載，這些都是我們反病毒技術(shù)面臨的問題。

傳統(tǒng)的反病毒技術(shù)雖然新的技術(shù)非常多，但是總體上可以分成兩個(gè)技術(shù)，一個(gè)是本地引擎，一個(gè)是云查殺。總體這是兩大類技術(shù)。對(duì)于本地特征碼引擎原理是我要查殺一個(gè)病毒首先我要捕獲到一個(gè)病毒樣本，通過安全運(yùn)營(yíng)團(tuán)隊(duì)或者是一些機(jī)器來對(duì)病毒樣本進(jìn)行靜態(tài)的代碼分析或者動(dòng)態(tài)的行為分析，理解了這個(gè)代碼的原理或者機(jī)制之后再將特征下到特征碼病毒庫了，特征碼引擎就可以查殺病毒了。

流程從樣本收集分析到特征再到下發(fā)，整個(gè)流程是非常長(zhǎng)的，周期是非常長(zhǎng)的，相對(duì)于現(xiàn)在的移動(dòng)端可以快速和大范圍傳播的速度，本地引擎天然有滯后性，本地引擎基于靜態(tài)特征的方式很容易被動(dòng)態(tài)加載，深度混淆，很容易就把靜態(tài)特征免殺掉。另外，因?yàn)樘卣鞔a引擎是基于文件的內(nèi)容進(jìn)行一個(gè)特征匹配，因此相對(duì)來說它的性能上會(huì)有比較大的一些問題。因此，現(xiàn)在很多反病毒軟件都引入了云查殺的方式，想解決我們特征碼引擎面臨的一些問題，提升反病毒體系的響應(yīng)速度。

云查殺也有一些他自己的缺陷，它非常依賴樣本的收集，但是現(xiàn)在移動(dòng)端的病毒變種產(chǎn)生非常快，樣本收集的速度是不可能趕上病毒變化速度的。云查殺引擎的第二個(gè)問題，它云端沙箱或者蜜罐病毒在這里的惡意行為很難全面的觸發(fā)，很多病毒通過動(dòng)態(tài)配置的方式來控制自己的惡意行為。比如發(fā)現(xiàn)自己在某種網(wǎng)絡(luò)環(huán)境下可能就不運(yùn)行，并且也有很多病毒有專門的反查殺手段，都給我們?cè)撇闅⒌哪Ｊ綆砗艽蟮奶魬?zhàn)。

從前面我們看到的惡濁病毒的趨勢(shì)，以及它帶來的挑戰(zhàn)，我們推斷未來移動(dòng)端病毒和反病毒對(duì)抗將會(huì)更加激烈。我們傳統(tǒng)的反病毒技術(shù)急需升級(jí)換代才能應(yīng)對(duì)終端出現(xiàn)的位置病毒。

在這樣的背景下，我們?yōu)榱藨?yīng)對(duì)終端未來比較嚴(yán)峻的安全威脅，騰訊安全團(tuán)隊(duì)提出我們新一代的反病毒解決方案。我們叫TRP，這是一個(gè)真正在手機(jī)上落地的AI反病毒產(chǎn)品。

新一代的反病毒引擎就需要克服傳統(tǒng)反病毒引擎的特點(diǎn)，比如抗免殺、高性能、實(shí)時(shí)保護(hù)，很強(qiáng)的未知病毒檢測(cè)能力，這是新一代反病毒引擎必須具備的特性。

新一代TRP引擎數(shù)據(jù)原理就是在安卓系統(tǒng)的重要API插裝，通過收集APK運(yùn)行過程中所觸發(fā)的API，通過收集裝點(diǎn)序列，再滿足我們預(yù)設(shè)的那種觸發(fā)策略的時(shí)候?qū)⑦@些行為序列送入我們的AI的模塊里，對(duì)這個(gè)序列進(jìn)行一個(gè)惡意研判，從而判斷APK是否包含惡意行為。從技術(shù)原理我們可以看到這個(gè)引擎有兩個(gè)大的技術(shù)特性，第一個(gè)技術(shù)特性，它是基于APP端側(cè)的真實(shí)行為實(shí)時(shí)監(jiān)控的方案。第二，它的惡意研判是通過深度學(xué)習(xí)的方式進(jìn)行的，這是和傳統(tǒng)反病毒產(chǎn)品相比比較大的技術(shù)特性。接下來我們就來詳細(xì)看一下這兩個(gè)技術(shù)特性是怎么解決我們傳統(tǒng)反病毒引擎所面臨的那些問題的。

第一個(gè)技術(shù)特性是基于APP端側(cè)行為事件序列的實(shí)時(shí)監(jiān)控，病毒的免殺技術(shù)要么基于病毒進(jìn)行靜態(tài)的特征變化或者加入一些反沙箱技術(shù)檢測(cè)沙箱環(huán)境，我們是基于終端真實(shí)的行為這些免殺的技術(shù)直接就會(huì)不生效。這是基于端側(cè)行為帶來的好處。基于端側(cè)行為是可以做到實(shí)時(shí)防護(hù)的，也是和我們傳統(tǒng)病毒技術(shù)相比帶來的好處。

另外，這種基于行為的特征，它檢測(cè)的淡化能力非常強(qiáng)，對(duì)未知病毒有非常好的檢出效果，這是第一個(gè)技術(shù)特性所帶來的一些好處。

第二個(gè)技術(shù)特性是它的惡意研判是基于AI算法的，相對(duì)于傳統(tǒng)引擎基于數(shù)據(jù)規(guī)則或者經(jīng)典算法的惡意研判使用深度學(xué)習(xí)的算法會(huì)有什么樣的好處呢？我們總結(jié)了兩點(diǎn)優(yōu)勢(shì)。第一點(diǎn)優(yōu)勢(shì)，基于深度學(xué)習(xí)算法的方式它的整個(gè)流程是完全自動(dòng)化的，可以完全自動(dòng)化的挖掘病毒的特征和規(guī)則。因此，對(duì)我們整個(gè)反病毒體系的響應(yīng)能力、響應(yīng)速度會(huì)有非常大的提升，它不需要人工的介入，只需要輸入標(biāo)簽數(shù)據(jù)。這是第一個(gè)優(yōu)勢(shì)。第二個(gè)優(yōu)勢(shì)，因?yàn)槲覀兊纳疃壬窠?jīng)網(wǎng)絡(luò)參數(shù)規(guī)模還是非常大的，它對(duì)病毒特征的描述和刻劃能力是非常強(qiáng)的。因此，他對(duì)未知病毒等等惡性病毒會(huì)有非常好的檢出效果。它的泛化檢測(cè)能力更加強(qiáng)大。從兩個(gè)數(shù)據(jù)來看引擎的效果，一個(gè)是抗免殺能力的實(shí)驗(yàn)背景，我們使用了一個(gè)安卓平臺(tái)自動(dòng)化的免除殺人工具，這個(gè)工具是去年出現(xiàn)的。可以對(duì)安卓的病毒進(jìn)行自動(dòng)化的處理。我們選擇一批已知的病毒使用這個(gè)工具對(duì)這批病毒樣本進(jìn)行自動(dòng)化的變形，再選取幾個(gè)傳統(tǒng)的反病毒引擎分別對(duì)變形前后的樣本都做一個(gè)掃描，從掃描的結(jié)果也可以看到變形之前的病毒，已知病毒，所有的反病毒軟件都能做到很高的檢查出去率，但是對(duì)于變形之后，只有×引擎，它是基于病毒的真實(shí)行為，不依賴病毒樣本的靜態(tài)特色，這種原殺的手段是沒有效果的。

病毒發(fā)現(xiàn)能力上使用了新一代的引擎之后也有很大的提升。在病毒發(fā)現(xiàn)上我們使用的指標(biāo)，病毒檢出的速度快于病毒傳播速度的占比，百分比，這個(gè)指標(biāo)含義是什么？這個(gè)指標(biāo)含義是病毒在終端剛出現(xiàn)，還沒有大范圍的傳播開，這樣的一個(gè)比例，很明顯這個(gè)比例越高說明我們整個(gè)反病毒體系響應(yīng)的速度越快，我們也可以看到加上我們TRB引擎之后響應(yīng)速度大概提升了12%的樣子。對(duì)整個(gè)體系的響應(yīng)速度有很大的提升。這就是TRB的技術(shù)原理和所解決的問題。

最后給大家分享一下我們對(duì)AI反病毒能力未來的展望。近兩年系統(tǒng)終端不管從芯片到系統(tǒng)AI計(jì)算的能力都在快速普及，高通、華為都推出了自己的AI芯片或者神經(jīng)網(wǎng)絡(luò)引擎SDK，谷歌也推出了自己的神經(jīng)網(wǎng)絡(luò)，并且在8.1內(nèi)置到安卓系統(tǒng)里，這個(gè)神經(jīng)網(wǎng)絡(luò)可以為端側(cè)深度學(xué)習(xí)的框架提供一個(gè)很高效的計(jì)算能力。

隨著移動(dòng)終端AI的發(fā)展，中斷的AI能力越來越強(qiáng)，它可以做的事情也越來越多，因此，在未來AI的推理部分可能更多的會(huì)終端來進(jìn)行，AI的一部分能力會(huì)逐步的下沉到終端來，這種智能邊緣設(shè)備會(huì)逐步崛起。這是我們的一個(gè)判斷。

隨著終端AI能力的快速普及，終端也給我們反病毒引擎提供了很好的一個(gè)獨(dú)立高效的運(yùn)算能力。因此，我們反病毒引擎，尤其他AI的推理部分完全可以放到終端進(jìn)行，云端有海量的存儲(chǔ)能力和強(qiáng)大的計(jì)算能力，因此AI的模型訓(xùn)練部分可以放到云端進(jìn)行。端和云結(jié)合起來可以形成我們新一代的AI反病毒體系。AI反病毒體系是基于特征碼引擎云查殺引擎之后的下一代的引擎。可以給我們的移動(dòng)終端帶來更強(qiáng)的安全保護(hù)，使我們手機(jī)更加安全。

隨著終端AI能力的發(fā)展，圖象識(shí)別和云處理取得了前所未有的成功，并且也推動(dòng)了相關(guān)產(chǎn)業(yè)的快速發(fā)展，像人臉識(shí)別、語音助手這些功能已經(jīng)成為AI涉及的標(biāo)配了，未來AI反病毒能力也會(huì)成為AI手機(jī)的標(biāo)配功能，就像我們語音助手一樣。這樣就可以讓我們手機(jī)更加智能，更加安全，我們下一步引擎我們是真正在終端落地，今年4月份國(guó)內(nèi)一家手機(jī)廠商和我們合作，他們推出的新的安卓系統(tǒng)里集成了我們的AI反病毒引擎。我們也希望國(guó)內(nèi)外更多的手機(jī)廠商可以找到我們和我們一起合作，讓AI反病毒能力可以在更多的手機(jī)上落地，使我們的手機(jī)更安全、更智能。