電視劇里最激烈的打斗,要么是遇上同樣遇神殺神的頂尖高手,要么是一堆勁敵圍過來,卻依然輕松斬殺,片葉不沾身。
亂世方顯英雄,如若生在“太平盛世”?那就找一個“壞人成堆”的試煉場。
騰訊安全反病毒實驗室負責人馬勁松告訴雷鋒網(公眾號:雷鋒網),7、8個月前,騰訊電腦管家接受了國際權威評測機構 AV-Comparatives (以下簡稱 AV-C )在特殊極端環境下的測試。最近,檢測報告顯示,國產殺毒軟件騰訊電腦管家(英文版)累計獲得了 AV-C 五項評測的“A+”最高評級。
參加這一測試的還有殺軟界鼎鼎大名的卡巴斯基、AVG 等,在老牌殺軟面前,這一成績究竟意味著什么?背后還有什么故事?雷鋒網宅客頻道第一時間采訪到了馬勁松。
騰訊安全反病毒實驗室負責人 馬勁松
一場“惡人堆里”的較量
殺軟能力究竟怎么樣?到底能不能讓用戶滿意?
參與國外權威的第三方評測機構進行測試,讓它和國際老牌的廠商同場競技,這是當前國內安全廠家打造自己殺軟公信力的第一選擇。
AV-C 是一個國際獨立測試機構,因提供針對計算機安全產品的綜合性與客觀性評測結果而聞名。AV-C 的測評特點是,強調殺軟的全面性,對檢出和清除能力都要求很高。
其實,以前騰訊電腦管家也參與過 AV-C 的測試,戰果逐年遞加。相應而言,2016年的測試強度更大了,難度也比較高。
我們永遠都要銘記一點:你在成長的同時,病毒也在不斷成長。
例如,在 AV-C 惡意軟件清除能力測試中,要在最新的 Win10 64 位系統下進行測試,騰訊電腦管家英文版、卡巴斯基、小紅傘、BD等18款全球知名殺毒產品參與,測試時間歷時 7 個月。
長時間的測試意味著,你不僅要優秀,還要持續優秀。
這項測試采用“先染毒,再裝殺軟”的方式進行,選取當前流行的惡意軟件樣本,最大限度地考察本地引擎針對染毒機器的清除修復能力(極端情況,甚至需要使用“TAV啟動盤”)。
這意味著,AV-C 的測試環境比普通用戶面對的病毒環境更極端,如果說普通用戶偶爾只會遇到一兩個病毒、木馬,被測試的殺軟就是掉進了最極端的”壞人”環境中,考驗它的作戰能力。
這種測試方法相比于以往的“先裝殺軟,再防御”有本質的區別,測試難度屬于最難級別。傳統的測試方法是殺軟“守陣地”,但此次測試是陣地已經被病毒拿下,殺軟要攻進去把陣地奪回來,難度可想而知。
道高一尺,魔高一丈。病毒世界也在不斷地推陳出新,AV-C 會同步外部世界的變化,將最厲害的對手請到測試機器上來。
前后方配合默契的攻防之戰
在幾個月的持續廝殺后,馬勁松和同事等到了 AV-C 2016 年度的評測結果。這是騰訊電腦管家參加 AV-C 年度評測以來獲得的最好成績。“為了這一刻,背后的所有努力和堅持都值得。”馬勁松說。
數字不帶絲毫溫度,背后卻是靈活的策略與艱辛的努力。騰訊電腦管家為了應對用戶的反病毒需求,以自主研發的 TAV 殺毒引擎在前方沖鋒陷陣,而哈勃分析系統在后方不斷 “補充彈藥”。
這是一場十分完美的配合。
為了更少占用內存,以最快速度發現“可疑分子”,成功找出“犯罪嫌疑人”,騰訊電腦管家的策略是,以 TAV 在前方戰場不斷“嗅探”,尋找潛在的威脅。為了打消敵方的顧慮,故意暴露一部分“武器”在前臺,后臺卻是強悍的哈勃分析系統在不斷計算、分析,剝下敵人偽裝的外衣。
前臺將“可疑分子”誘騙到一個虛擬機中,開始拆解、分析、戰斗。馬勁松說:
為什么要將樣本虛擬地跑起來?因為有些可疑樣本存在變形,我們要把這種變形繞過去,把它展開。相當于一個犯罪分子可能在用戶機器上穿上不同外層的衣服,你只能看到他的外表,或者只能扒掉一層衣服。但是在扒衣服的過程中,每扒一層衣服,它內含的“炸彈”就可能會暴露出來,引爆自己,即惡意循環實際已經運行起來了。
把它關到防爆鐘里,即使爆炸了,也是在防爆鐘里,回頭把鐘移走,整個安全就沒有任何問題了。
在前臺的 TAV 有兩個作用,一是感應器,犯罪分子一般會偽裝成正常人,讓警察看不出來,但是它多多少少會有一些習慣,暴露出可疑行蹤,這時 TAV 就會把這種可疑點找到,能解決的先解決,不能解決的把犯罪嫌疑人拽到后臺,做深入審問,由后臺來定義可疑分子究竟是不是犯罪嫌疑人,后臺判定后交由前臺執行,這就是前臺的第二個作用。
后方的哈勃分析系統會進行兩類“拷問”:靜態檢測和動態檢測。
后臺的動態檢測較多,這并非意味著靜態比較簡單,而是在后臺可用多臺機器同時對樣本進行計算。如果大量處理放在前臺,可能會占用大量內存,影響用戶體驗。
比如,同樣一個樣本,如果放到前臺進行虛擬執行,可能需要10分鐘,此時用戶的機器會卡死,如果放到后臺,甚至可以拿出 20 臺機器同時處理這個樣本。
后臺所應用的動態檢測則對整個系統都進行了監控,可疑分子在運行期間所做的任何動作都被后臺一一記錄。這些監控與記錄并非這么容易,而是存在大量攻防對抗。馬勁松告訴雷鋒網:
一些樣本可能會盡可能復雜地隱藏自己,把作惡觸發機率設置得特別晚。它不會在開始運行時就立刻干壞事,可能需要后方(模擬用戶)進行一些操作,才會觸發行為,這些需要后臺模擬進行。
比如,簡單的帳號盜取,實際上只有在偽裝的 QQ 輸入框里輸入密碼后發送,才會觸發所謂的帳號密碼傳輸到指定郵箱的行為。
馬勁松說,這是一個很簡單的案例,但很有效。因為我們通過這樣的模擬執行和后臺數據抓取,可輕松拿到作惡者的 QQ 號所發往的郵箱地址,并且順藤摸瓜找到更多受害者的信息,盡量幫助受害者用戶恢復損失。
后臺還會不斷反饋作惡者的新特點,同步給置于前端的 TAV ,這意味著如果小明家抓到了一個作案手段新穎的小偷,遠在千里外的小紅、小黃都能同步了解這種作案手段,防范這類小偷。
“天下無賊”的夢想
馬勁松表示,實際上打擊和檢測分開這個邏輯自始就有,但是前端打擊和后端檢測整個能力卻在不斷完善。
一開始時我們也只有靜態,發現它的效率不高,后來才逐步完善,尋找更高效的方式,哈勃在不斷摸索過程中變得效率更高,打擊更精準。
在這個能力提升的過程中,最關鍵的一點是,騰訊安全舍得花錢了!
思路從來不是問題,后臺需要大量服務器投入,在安全領域的大量投入才讓我們有機會不計成本地來做這件事。
除了有錢買設備,還靠安全人才的投入。馬勁松說,這個領域的人才要有跨平臺能力,安全人才本來就特別少,要懂安全又懂大規模并行計算處理等領域的就更少了。
在當前安全人才也不是特別充足的情況下,面對萬千樣本的來襲,只能依靠人工智能。馬勁松表示,在后臺領域,騰訊已經開始使用深度學習技術。
騰訊反病毒實驗室最近還發布了一個消息:哈勃分析系統已經入選世界級黑客大會 BlackHat 的兵器譜。這意味著,世界頂級的技術人員也看上了他們引以為豪的“武器”。
馬勁松認為,騰訊電腦管家已經處在一個非常高的梯隊上,如果再往上做一些提升,當然也會遭遇重重困難。就像一個頂尖的運動員再次向更高、更快、更強發起沖擊時所面臨的困境一樣,不過騰訊電腦管家不能通過多次機械“鍛煉”來提升,它只能不斷試錯,嘗試此前從來沒有試過的方法。
因此,今年他們將在殺軟的深度學習方向加大研發力度,做出進一步嘗試。
道高一尺,魔高一丈,防御方比攻擊方更被動。
馬勁松說,他們能做的就是將對抗的門檻提到越高越好。不斷地去壘保護用戶的墻,盡可能讓能夠躍過墻的人越來越少,當攻擊者所花的成本足夠高時,也許他們就會放棄這件事情。
在馬勁松及他的同事心中,也許,也藏著一個“天下無賊”的夢想。(李勤)