游客

用什么样的姿势能拿到国际“AV”大赛冠军?

游客 2017-03-07 15:28:03    200894 次浏览

电视剧里最激烈的打斗,要么是遇上同样遇神杀神的顶尖高手,要么是一堆劲敌围过来,却依然轻松斩杀,片叶不沾身。

乱世方显英雄,如若生在“太平盛世”?那就找一个“坏人成堆”的试炼场。

腾讯安全反病毒实验室负责人马劲松告诉雷锋网,七八个个月前,腾讯电脑管家接受了国际权威评测机构AV-Comparatives(以下简称AV-C)在特殊极端环境下的测试。最近,检测报告显示,国产杀毒软件腾讯电脑管家(英文版)累计获得了 AV-C 五项评测的“A ”最高评级。

参加这一测试的还有杀软界鼎鼎大名的卡巴斯基、AVG等,在老牌杀软面前,这一成绩究竟意味着什么?背后还有什么故事?雷锋网宅客频道第一时间采访到了马劲松。

用什么样的姿势能拿到国际“AV”大赛冠军?
腾讯安全反病毒实验室负责人马劲松

【一场“恶人堆里”的较量】

杀软能力究竟怎么样?到底能不能让用户满意?

参与国外权威的第三方评测机构进行测试,让它和国际老牌的厂商同场竞技,这是当前国内安全厂家打造自己杀软公信力的第一选择。

AV-C是一个国际独立测试机构,因提供针对计算机安全产品的综合性与客观性评测结果而闻名。AV-C的测评特点是,强调杀软的全面性,对检出和清除能力都要求很高。

其实,以前腾讯电脑管家也参与过 AV-C的测试,战果逐年递加。相应而言,2016年的测试强度更大了,难度也比较高。

我们永远都要铭记一点:你在成长的同时,病毒也在不断成长。

例如,在 AV-C 恶意软件清除能力测试中,要在最新的Win10 64位系统下进行测试,腾讯电脑管家英文版、卡巴斯基、小红伞、BD等18款全球知名杀毒产品参与,测试时间历时7个月。

长时间的测试意味着,你不仅要优秀,还要持续优秀。

这项测试采用“先染毒,再装杀软”的方式进行,选取当前流行的恶意软件样本,最大限度地考察本地引擎针对染毒机器的清除修复能力(极端情况,甚至需要使用“TAV启动盘”)。

这意味着,AV-C的测试环境比普通用户面对的病毒环境更极端,如果说普通用户偶尔只会遇到一两个病毒、木马,被测试的杀软就是掉进了最极端的“坏人”环境中,考验它的作战能力。

这种测试方法相比于以往的“先装杀软,再防御”有本质的区别,测试难度属于最难级别。传统的测试方法是杀软“守阵地”,但此次测试是阵地已经被病毒拿下,杀软要攻进去把阵地夺回来,难度可想而知。

道高一尺,魔高一丈。病毒世界也在不断地推陈出新,AV-C会同步外部世界的变化,将最厉害的对手请到测试机器上来。

【前后方配合默契的攻防之战】

在几个月的持续厮杀后,马劲松和同事等到了AV-C2016年度的评测结果。这是腾讯电脑管家参加AV-C年度评测以来获得的最好成绩。马劲松说:“这个奖项很客观地反映了团队的努力,在对与木马病毒的对抗中,为了保护用户的安全,再多的付出也是值得的”。

数字不带丝毫温度,背后却是灵活的策略与艰辛的努力。腾讯电脑管家为了应对用户的反病毒需求,以自主研发的TAV杀毒引擎在前方冲锋陷阵,而哈勃分析系统在后方不断“补充弹药”。

这是一场十分完美的配合。

为了更少占用内存,以最快速度发现“可疑分子”,成功找出“犯罪嫌疑人”,腾讯电脑管家的策略是,以 TAV在前方战场不断“嗅探”,寻找潜在的威胁。为了打消敌方的顾虑,故意暴露一部分“武器”在前台,后台却是强悍的哈勃分析系统在不断计算、分析,剥下敌人伪装的外衣。

前台将“可疑分子”诱骗到一个虚拟机中,开始拆解、分析、战斗。马劲松说:

为什么要将样本虚拟地跑起来?因为有些可疑样本存在变形,我们要把这种变形绕过去,把它展开。相当于一个犯罪分子可能在用户机器上穿上不同外层的衣服,你只能看到他的外表,或者只能扒掉一层衣服。但是在扒衣服的过程中,每扒一层衣服,它内含的“炸弹”就可能会暴露出来,引爆自己,即恶意循环实际已经运行起来了。

把它关到防爆钟里,即使爆炸了,也是在防爆钟里,回头把钟移走,整个安全就没有任何问题了。

在前台的TAV有两个作用,一是感应器,犯罪分子一般会伪装成正常人,让警察看不出来,但是它多多少少会有一些习惯,暴露出可疑行踪,这时TAV就会把这种可疑点找到,能解决的先解决,不能解决的把犯罪嫌疑人拽到后台,做深入审问,由后台来定义可疑分子究竟是不是犯罪嫌疑人,后台判定后交由前台执行,这就是前台的第二个作用。

后方的哈勃分析系统会进行两类“拷问”:静态检测和动态检测。

后台的动态检测较多,这并非意味着静态比较简单,而是在后台可用多台机器同时对样本进行计算。如果大量处理放在前台,可能会占用大量内存,影响用户体验。

比如,同样一个样本,如果放到前台进行虚拟执行,可能需要10分钟,此时用户的机器会卡死,如果放到后台,甚至可以拿出20台机器同时处理这个样本。

后台所应用的动态检测则对整个系统都进行了监控,可疑分子在运行期间所做的任何动作都被后台一一记录。这些监控与记录并非这么容易,而是存在大量攻防对抗。马劲松告诉雷锋网(公众号:雷锋网):

一些样本可能会尽可能复杂地隐藏自己,把作恶触发机率设置得特别晚。它不会在开始运行时就立刻干坏事,可能需要后方(模拟用户)进行一些操作,才会触发行为,这些需要后台模拟进行。

比如,简单的帐号盗取,实际上只有在伪装的QQ输入框里输入密码后发送,才会触发所谓的帐号密码传输到指定邮箱的行为。

马劲松说,这是一个很简单的案例,但很有效。因为我们通过这样的模拟执行和后台数据抓取,可轻松拿到作恶者的QQ号所发往的邮箱地址,并且顺藤摸瓜找到更多受害者的信息,尽量帮助受害者用户恢复损失。

后台还会不断反馈作恶者的新特点,同步给置于前端的TAV,这意味着如果小明家抓到了一个作案手段新颖的小偷,远在千里外的小红、小黄都能同步了解这种作案手段,防范这类小偷。

【“天下无贼”的梦想】

马劲松表示,实际上打击和检测分开这个逻辑自始就有,但是前端打击和后端检测整个能力却在不断完善。

一开始时我们也只有静态,发现它的效率不高,后来才逐步完善,寻找更高效的方式,哈勃在不断摸索过程中变得效率更高,打击更精准。

在这个能力提升的过程中,最关键的一点是,腾讯安全舍得花钱了!

思路从来不是问题,后台需要大量服务器投入,在安全领域的大量投入才让我们有机会不计成本地来做这件事。

除了有钱买设备,还靠安全人才的投入。马劲松说,这个领域的人才要有跨平台能力,安全人才本来就特别少,要懂安全又懂大规模并行计算处理等领域的就更少了。

在当前安全人才也不是特别充足的情况下,面对万千样本的来袭,只能依靠人工智能。马劲松表示,在后台领域,腾讯已经开始使用深度学习技术。

腾讯反病毒实验室最近还发布了一个消息:哈勃分析系统已经入选世界级黑客大会BlackHat的兵器谱。这意味着,世界顶级的技术人员也看上了他们引以为豪的“武器”。

马劲松认为,腾讯电脑管家已经处在一个非常高的梯队上,如果再往上做一些提升,当然也会遭遇重重困难。就像一个顶尖的运动员再次向更高、更快、更强发起冲击时所面临的困境一样,不过腾讯电脑管家不能通过多次机械“锻炼”来提升,它只能不断试错,尝试此前从来没有试过的方法。

因此,今年他们将在杀软的深度学习方向加大研发力度,做出进一步尝试。

道高一尺,魔高一丈,防御方比攻击方更被动。

马劲松说,他们能做的就是将对抗的门槛提到越高越好。不断地去垒保护用户的墙,尽可能让能够跃过墙的人越来越少,当攻击者所花的成本足够高时,也许他们就会放弃这件事情。

用什么样的姿势能拿到国际“AV”大赛冠军?

在马劲松及他的同事心中,也许,也藏着一个“天下无贼”的梦想。

内容加载中