• <sub id="oo950"><tr id="oo950"></tr></sub>
  • <u id="oo950"></u>

    1. <u id="oo950"></u>

      <track id="oo950"></track>
      央廣網

      騰訊馬勁松:登頂“AVC”背后的反病毒攻堅戰

      2017-03-08 14:50:00來源:央廣網

          電視劇里最激烈的打斗,要么是遇上同樣遇神殺神的頂尖高手,要么是一堆勁敵圍過來,卻依然輕松斬殺,片葉不沾身。

        亂世方顯英雄,如若生在太平盛世?那就找一個壞人成堆的試煉場。

        騰訊安全反病毒實驗室負責人馬勁松告訴雷鋒網(公眾號:雷鋒網),7、8個月前,騰訊電腦管家接受了國際權威評測機構 AV-Comparatives (以下簡稱 AV-C )在特殊極端環境下的測試。最近,檢測報告顯示,國產殺毒軟件騰訊電腦管家(英文版)累計獲得了 AV-C 五項評測的A+最高評級。

        參加這一測試的還有殺軟界鼎鼎大名的卡巴斯基、AVG 等,在老牌殺軟面前,這一成績究竟意味著什么?背后還有什么故事?雷鋒網宅客頻道第一時間采訪到了馬勁松。

      騰訊安全反病毒實驗室負責人 馬勁松

        一場惡人堆里的較量

        殺軟能力究竟怎么樣?到底能不能讓用戶滿意?

        參與國外權威的第三方評測機構進行測試,讓它和國際老牌的廠商同場競技,這是當前國內安全廠家打造自己殺軟公信力的第一選擇。

        AV-C 是一個國際獨立測試機構,因提供針對計算機安全產品的綜合性與客觀性評測結果而聞名。AV-C 的測評特點是,強調殺軟的全面性,對檢出和清除能力都要求很高。

        其實,以前騰訊電腦管家也參與過 AV-C 的測試,戰果逐年遞加。相應而言,2016年的測試強度更大了,難度也比較高。

        我們永遠都要銘記一點:你在成長的同時,病毒也在不斷成長。

        例如,在 AV-C 惡意軟件清除能力測試中,要在最新的 Win10 64 位系統下進行測試,騰訊電腦管家英文版、卡巴斯基、小紅傘、BD等18款全球知名殺毒產品參與,測試時間歷時 7 個月。

        長時間的測試意味著,你不僅要優秀,還要持續優秀。

        這項測試采用先染毒,再裝殺軟的方式進行,選取當前流行的惡意軟件樣本,最大限度地考察本地引擎針對染毒機器的清除修復能力(極端情況,甚至需要使用TAV啟動盤)。

      這意味著,AV-C 的測試環境比普通用戶面對的病毒環境更極端,如果說普通用戶偶爾只會遇到一兩個病毒、木馬,被測試的殺軟就是掉進了最極端的”壞人”環境中,考驗它的作戰能力。

        這種測試方法相比于以往的先裝殺軟,再防御有本質的區別,測試難度屬于最難級別。傳統的測試方法是殺軟守陣地,但此次測試是陣地已經被病毒拿下,殺軟要攻進去把陣地奪回來,難度可想而知。

        道高一尺,魔高一丈。病毒世界也在不斷地推陳出新,AV-C 會同步外部世界的變化,將最厲害的對手請到測試機器上來。

        前后方配合默契的攻防之戰

        在幾個月的持續廝殺后,馬勁松和同事等到了 AV-C 2016 年度的評測結果。這是騰訊電腦管家參加 AV-C 年度評測以來獲得的最好成績。為了這一刻,背后的所有努力和堅持都值得。馬勁松說。

        數字不帶絲毫溫度,背后卻是靈活的策略與艱辛的努力。騰訊電腦管家為了應對用戶的反病毒需求,以自主研發的 TAV 殺毒引擎在前方沖鋒陷陣,而哈勃分析系統在后方不斷 “補充彈藥。

        這是一場十分完美的配合。

        為了更少占用內存,以最快速度發現可疑分子,成功找出犯罪嫌疑人,騰訊電腦管家的策略是,以 TAV 在前方戰場不斷嗅探,尋找潛在的威脅。為了打消敵方的顧慮,故意暴露一部分武器在前臺,后臺卻是強悍的哈勃分析系統在不斷計算、分析,剝下敵人偽裝的外衣。

        前臺將可疑分子誘騙到一個虛擬機中,開始拆解、分析、戰斗。馬勁松說:

        為什么要將樣本虛擬地跑起來?因為有些可疑樣本存在變形,我們要把這種變形繞過去,把它展開。相當于一個犯罪分子可能在用戶機器上穿上不同外層的衣服,你只能看到他的外表,或者只能扒掉一層衣服。但是在扒衣服的過程中,每扒一層衣服,它內含的炸彈就可能會暴露出來,引爆自己,即惡意循環實際已經運行起來了。

        把它關到防爆鐘里,即使爆炸了,也是在防爆鐘里,回頭把鐘移走,整個安全就沒有任何問題了。

        在前臺的 TAV 有兩個作用,一是感應器,犯罪分子一般會偽裝成正常人,讓警察看不出來,但是它多多少少會有一些習慣,暴露出可疑行蹤,這時 TAV 就會把這種可疑點找到,能解決的先解決,不能解決的把犯罪嫌疑人拽到后臺,做深入審問,由后臺來定義可疑分子究竟是不是犯罪嫌疑人,后臺判定后交由前臺執行,這就是前臺的第二個作用。


        后方的哈勃分析系統會進行兩類拷問:靜態檢測和動態檢測。

        后臺的動態檢測較多,這并非意味著靜態比較簡單,而是在后臺可用多臺機器同時對樣本進行計算。如果大量處理放在前臺,可能會占用大量內存,影響用戶體驗。

        比如,同樣一個樣本,如果放到前臺進行虛擬執行,可能需要10分鐘,此時用戶的機器會卡死,如果放到后臺,甚至可以拿出 20 臺機器同時處理這個樣本。

        后臺所應用的動態檢測則對整個系統都進行了監控,可疑分子在運行期間所做的任何動作都被后臺一一記錄。這些監控與記錄并非這么容易,而是存在大量攻防對抗。馬勁松告訴雷鋒網:

        一些樣本可能會盡可能復雜地隱藏自己,把作惡觸發機率設置得特別晚。它不會在開始運行時就立刻干壞事,可能需要后方(模擬用戶)進行一些操作,才會觸發行為,這些需要后臺模擬進行。

        比如,簡單的帳號盜取,實際上只有在偽裝的 QQ 輸入框里輸入密碼后發送,才會觸發所謂的帳號密碼傳輸到指定郵箱的行為。

        馬勁松說,這是一個很簡單的案例,但很有效。因為我們通過這樣的模擬執行和后臺數據抓取,可輕松拿到作惡者的 QQ 號所發往的郵箱地址,并且順藤摸瓜找到更多受害者的信息,盡量幫助受害者用戶恢復損失。

        后臺還會不斷反饋作惡者的新特點,同步給置于前端的 TAV ,這意味著如果小明家抓到了一個作案手段新穎的小偷,遠在千里外的小紅、小黃都能同步了解這種作案手段,防范這類小偷。

        天下無賊的夢想

        馬勁松表示,實際上打擊和檢測分開這個邏輯自始就有,但是前端打擊和后端檢測整個能力卻在不斷完善。

        一開始時我們也只有靜態,發現它的效率不高,后來才逐步完善,尋找更高效的方式,哈勃在不斷摸索過程中變得效率更高,打擊更精準。

        在這個能力提升的過程中,最關鍵的一點是,騰訊安全舍得花錢了!

        思路從來不是問題,后臺需要大量服務器投入,在安全領域的大量投入才讓我們有機會不計成本地來做這件事。

        除了有錢買設備,還靠安全人才的投入。馬勁松說,這個領域的人才要有跨平臺能力,安全人才本來就特別少,要懂安全又懂大規模并行計算處理等領域的就更少了。

        在當前安全人才也不是特別充足的情況下,面對萬千樣本的來襲,只能依靠人工智能。馬勁松表示,在后臺領域,騰訊已經開始使用深度學習技術。

        騰訊反病毒實驗室最近還發布了一個消息:哈勃分析系統已經入選世界級黑客大會 BlackHat 的兵器譜。這意味著,世界頂級的技術人員也看上了他們引以為豪的武器。

        馬勁松認為,騰訊電腦管家已經處在一個非常高的梯隊上,如果再往上做一些提升,當然也會遭遇重重困難。就像一個頂尖的運動員再次向更高、更快、更強發起沖擊時所面臨的困境一樣,不過騰訊電腦管家不能通過多次機械鍛煉來提升,它只能不斷試錯,嘗試此前從來沒有試過的方法。

        因此,今年他們將在殺軟的深度學習方向加大研發力度,做出進一步嘗試。

        道高一尺,魔高一丈,防御方比攻擊方更被動。

        馬勁松說,他們能做的就是將對抗的門檻提到越高越好。不斷地去壘保護用戶的墻,盡可能讓能夠躍過墻的人越來越少,當攻擊者所花的成本足夠高時,也許他們就會放棄這件事情。

        在馬勁松及他的同事心中,也許,也藏著一個天下無賊的夢想。(李勤)

      編輯: 賈斯曼
      關鍵詞: 騰訊;馬勁松;電腦管家
      欧美日韩国产中文字幕韩国理论_国产午夜福利片在线播放老_久久男女性高爱潮免费网站色欲_99re6在线观看国产精品
    2. <sub id="oo950"><tr id="oo950"></tr></sub>
    3. <u id="oo950"></u>

      1. <u id="oo950"></u>

        <track id="oo950"></track>
        一级欧美字幕一级 | 亚洲中文字幕乱码免费播放 | 亚洲午夜成人不卡在线 | 亚洲日本中文字幕一区精品 | 日韩欧美精品国产一区二区 | 亚洲欧美精品精品aⅴ |