用什么样的姿势能拿到国际“AV”大赛的冠军?

    xiaoxiao2021-04-17  209

    乱世方显英雄,如若生在“太平盛世”?那就找一个“坏人成堆”的试炼场。

    腾讯安全反病毒实验室负责人马劲松告诉雷锋网(公众号:雷锋网),7、8个月前,腾讯电脑管家接受了国际权威评测机构 AV-Comparatives (以下简称 AV-C )在特殊极端环境下的测试。最近,检测报告显示,国产杀毒软件腾讯电脑管家(英文版)累计获得了 AV-C 五项评测的“A+”最高评级。

    参加这一测试的还有杀软界鼎鼎大名的卡巴斯基、AVG 等,在老牌杀软面前,这一成绩究竟意味着什么?背后还有什么故事?雷锋网宅客频道第一时间采访到了马劲松。

    【图:腾讯安全反病毒实验室负责人 马劲松】

    一场“恶人堆里”的较量

    杀软能力究竟怎么样?到底能不能让用户满意?

    参与国外权威的第三方评测机构进行测试,让它和国际老牌的厂商同场竞技,这是当前国内安全厂家打造自己杀软公信力的第一选择。

    AV-C 是一个国际独立测试机构,因提供针对计算机安全产品的综合性与客观性评测结果而闻名。AV-C 的测评特点是,强调杀软的全面性,对检出和清除能力都要求很高。

    其实,以前腾讯电脑管家也参与过 AV-C 的测试,战果逐年递加。相应而言,2016年的测试强度更大了,难度也比较高。

    我们永远都要铭记一点:你在成长的同时,病毒也在不断成长。

    例如,在 AV-C 恶意软件清除能力测试中,要在最新的 Win10 64 位系统下进行测试,腾讯电脑管家英文版、卡巴斯基、小红伞、BD等18款全球知名杀毒产品参与,测试时间历时 7 个月。

    长时间的测试意味着,你不仅要优秀,还要持续优秀。

    这项测试采用“先染毒,再装杀软”的方式进行,选取当前流行的恶意软件样本,最大限度地考察本地引擎针对染毒机器的清除修复能力(极端情况,甚至需要使用“TAV启动盘”)。

    这意味着,AV-C 的测试环境比普通用户面对的病毒环境更极端,如果说普通用户偶尔只会遇到一两个病毒、木马,被测试的杀软就是掉进了最极端的“坏人”环境中,考验它的作战能力。

    这种测试方法相比于以往的“先装杀软,再防御”有本质的区别,测试难度属于最难级别。传统的测试方法是杀软“守阵地”,但此次测试是阵地已经被病毒拿下,杀软要攻进去把阵地夺回来,难度可想而知。

    道高一尺,魔高一丈。病毒世界也在不断地推陈出新,AV-C 会同步外部世界的变化,将最厉害的对手请到测试机器上来。

    前后方配合默契的攻防之战

    在几个月的持续厮杀后,马劲松和同事等到了 AV-C 2016 年度的评测结果。这是腾讯电脑管家参加 AV-C 年度评测以来获得的最好成绩。马劲松说:“这个奖项很客观地反映了团队的努力,在对与木马病毒的对抗中,为了保护用户的安全,再多的付出也是值得的”。

    数字不带丝毫温度,背后却是灵活的策略与艰辛的努力。腾讯电脑管家为了应对用户的反病毒需求,以自主研发的 TAV 杀毒引擎在前方冲锋陷阵,而哈勃分析系统在后方不断“补充弹药”。

    这是一场十分完美的配合。

    为了更少占用内存,以最快速度发现“可疑分子”,成功找出“犯罪嫌疑人”,腾讯电脑管家的策略是,以 TAV 在前方战场不断“嗅探”,寻找潜在的威胁。为了打消敌方的顾虑,故意暴露一部分“武器”在前台,后台却是强悍的哈勃分析系统在不断计算、分析,剥下敌人伪装的外衣。

    前台将“可疑分子”诱骗到一个虚拟机中,开始拆解、分析、战斗。马劲松说:

    为什么要将样本虚拟地跑起来?因为有些可疑样本存在变形,我们要把这种变形绕过去,把它展开。相当于一个犯罪分子可能在用户机器上穿上不同外层的衣服,你只能看到他的外表,或者只能扒掉一层衣服。但是在扒衣服的过程中,每扒一层衣服,它内含的“炸弹”就可能会暴露出来,引爆自己,即恶意循环实际已经运行起来了。

    把它关到防爆钟里,即使爆炸了,也是在防爆钟里,回头把钟移走,整个安全就没有任何问题了。

    在前台的 TAV 有两个作用,一是感应器,犯罪分子一般会伪装成正常人,让警察看不出来,但是它多多少少会有一些习惯,暴露出可疑行踪,这时 TAV 就会把这种可疑点找到,能解决的先解决,不能解决的把犯罪嫌疑人拽到后台,做深入审问,由后台来定义可疑分子究竟是不是犯罪嫌疑人,后台判定后交由前台执行,这就是前台的第二个作用。

    后方的哈勃分析系统会进行两类“拷问”:静态检测和动态检测。

    后台的动态检测较多,这并非意味着静态比较简单,而是在后台可用多台机器同时对样本进行计算。如果大量处理放在前台,可能会占用大量内存,影响用户体验。

    比如,同样一个样本,如果放到前台进行虚拟执行,可能需要10分钟,此时用户的机器会卡死,如果放到后台,甚至可以拿出 20 台机器同时处理这个样本。

    后台所应用的动态检测则对整个系统都进行了监控,可疑分子在运行期间所做的任何动作都被后台一一记录。这些监控与记录并非这么容易,而是存在大量攻防对抗。马劲松告诉雷锋网:

    一些样本可能会尽可能复杂地隐藏自己,把作恶触发机率设置得特别晚。它不会在开始运行时就立刻干坏事,可能需要后方(模拟用户)进行一些操作,才会触发行为,这些需要后台模拟进行。

    比如,简单的帐号盗取,实际上只有在伪装的 QQ 输入框里输入密码后发送,才会触发所谓的帐号密码传输到指定邮箱的行为。

    马劲松说,

    这是一个很简单的案例,但很有效。因为我们通过这样的模拟执行和后台数据抓取,可轻松拿到作恶者的 QQ 号所发往的邮箱地址,并且顺藤摸瓜找到更多受害者的信息,尽量帮助受害者用户恢复损失。

    后台还会不断反馈作恶者的新特点,同步给置于前端的 TAV ,这意味着如果小明家抓到了一个作案手段新颖的小偷,远在千里外的小红、小黄都能同步了解这种作案手段,防范这类小偷。

    “天下无贼”的梦想

    马劲松表示,实际上打击和检测分开这个逻辑自始就有,但是前端打击和后端检测整个能力却在不断完善。

    一开始时我们也只有静态,发现它的效率不高,后来才逐步完善,寻找更高效的方式,哈勃在不断摸索过程中变得效率更高,打击更精准。

    在这个能力提升的过程中,最关键的一点是,腾讯安全舍得花钱了!

    思路从来不是问题,后台需要大量服务器投入,在安全领域的大量投入才让我们有机会不计成本地来做这件事。

    除了有钱买设备,还靠安全人才的投入。马劲松说,这个领域的人才要有跨平台能力,安全人才本来就特别少,要懂安全又懂大规模并行计算处理等领域的就更少了。

    在当前安全人才也不是特别充足的情况下,面对万千样本的来袭,只能依靠人工智能。马劲松表示,在后台领域,腾讯已经开始使用深度学习技术。

    腾讯反病毒实验室最近还发布了一个消息:哈勃分析系统已经入选世界级黑客大会 BlackHat 的兵器谱。这意味着,世界顶级的技术人员也看上了他们引以为豪的“武器”。

    马劲松认为,腾讯电脑管家已经处在一个非常高的梯队上,如果再往上做一些提升,当然也会遭遇重重困难。就像一个顶尖的运动员再次向更高、更快、更强发起冲击时所面临的困境一样,不过腾讯电脑管家不能通过多次机械“锻炼”来提升,它只能不断试错,尝试此前从来没有试过的方法。

    因此,今年他们将在杀软的深度学习方向加大研发力度,做出进一步尝试。

    道高一尺,魔高一丈,防御方比攻击方更被动。

    马劲松说,他们能做的就是将对抗的门槛提到越高越好。不断地去垒保护用户的墙,尽可能让能够跃过墙的人越来越少,当攻击者所花的成本足够高时,也许他们就会放弃这件事情。

    在马劲松及他的同事心中,也许,也藏着一个“天下无贼”的梦想。

       本文作者: 李勤 本文转自雷锋网禁止二次转载, 原文链接

    最新回复(0)