近些日子以来,腾讯安全的一系列动作颇吸引人的眼球,除了在品牌营销上邀请了韩国知名艺人金秀贤代言腾讯手机管家,在安全圈生态系统建设方面联合国内浦发等银行发起移动支付安全守护计划、携手数十家商用WiFi服务商打造安全WiFi联盟外,在背后的技术研发层面更是深炼内功,取得了一系列不俗的成绩,例如,安全团队资源整合正式成立反病毒实验室、对外发布哈勃文件分析系统、凭借自主研发的反病毒引擎TAV获全球两大权威(VB100和西海岸实验室)认证、将TAV整合到电脑管家等腾讯一系列产品中......
日前,腾讯反病毒实验室高级工程师于涛和CSDN记者就移动安全等热点话题做了交流,于涛对腾讯成立反病毒实验室、TAV杀毒引擎核心技术、哈勃文件分析系统、病毒样本处理流程、钓鱼网站诈骗新手段等话题分享了自己的看法。
“中国芯”杀毒技术获国际权威认证
据于涛介绍,早在3Q大战开始之前,腾讯内部就已成立了专门团队研发反病毒引擎,力求在核心技术上牢牢把握住“自主知识产权”。为进一步优化资源配合和研发效率,在今年八月的时候,腾讯安全对旗下三大核心资源进行重新整合,正式成立了腾讯反病毒实验室。腾讯反病毒实验室集产品和服务于一身,创造性的打造了一体化、产品化的安全特别行动队,通过自研引擎能力、安全事件运营、哈勃分析平台的“三剑合璧”,进一步对“安全查杀能力、漏洞监测能力及病毒样本分析”提供了全面、系统、一体化的产品运营式的标准化防护,为腾讯安全实力进一步提供了强大技术支撑。
尤其值得一提的是,与其他国内用户熟知的杀毒软件产品所走的路线不同,他们大多是通过OEM的方式使用国外的(例如采用小红伞、BitDefender等)杀毒引擎(以此通过各项国际安全认证),缺乏核心的安全技术,难免在某些特殊情况下出现不可预知的情况。
而腾讯安全凭借着自主研发的TAV引擎,依靠领先的特征码匹配、复合类文档拆解、脱壳、模拟执行、机器学习等技术,目前已成为互联网时代国内唯一通过自主技术获得西海岸Check Mark和VB100两大国际著名第三方测评认证机构认证、病毒检出率高达100%的杀毒引擎,真正实现了“中国芯”走向世界的旅程。
此外,“腾讯反病毒实验室”还提供了诸如“安全快讯”、“安全热点分析”等专区,尽可能对当下安全热点进行专业、详尽的分析。
于涛透露,腾讯安全团队除了为腾讯内部各条产品线提供安全技术支持,还积极对外输出研究成果,不仅将TAV反病毒引擎贡献到了VirusTotal等国际知名病毒扫描站;哈勃文件分析系统也将接入到VirusScan(一款世界领先的杀毒软件),为它们提供动态样本信息。为促进国内安全事业发展,腾讯电脑管家已将自己的恶意网站数据先后共享给百度、天猫、康盛、搜狗、Discuz等合作伙伴,提供网站安全查询服务,为全网用户在各大上网入口提供安全保障。
哈勃文件分析系统——构建样本处理流程的核心环节
哈勃(动态)文件分析系统,取名自哈勃空间望远镜,能绕过大气湍流的扰动,透过黑夜清澈观察到太阳系以外的星空现象。作为腾讯安全团队的重要研发成果之一,哈勃动态文件分析系统提供了很强的监测能力,寓意着要把样本行为中隐藏最深的病毒木马抓出来。
传统的纯静态文件分析系统几乎已成为了挡在黑客前面的马其诺防线,而采用动态分析的方式,首先能够通过动态行为快速鉴定样本黑白,即使不能采用完全自动化的方式去判定,也可以在很大程度上辅助分析人员快速得出结论。
如今,腾讯反病毒实验室每天能拿到的病毒样本数量在百万以上的级别,单纯靠人工早就无法完成海量的数据分析任务,必须建立起一种动静结合的机制。在静态中启发高可疑,动态做定性,相当于一个漏斗模型,这也是哈勃文件分析系统研发的初衷。
哈勃动态文件分析系统和TAV反病毒引擎结合起来,提供的防范效果将加倍。对于一些样本处理场景,通过哈勃系统判断手机上的病毒样本后就会生成病毒库,提供给TAV引擎,TAV引擎再将病毒库升级到前端去做防卫。这样形成一个前后呼应的处理机制就能事半功倍。
目前,腾讯正在建立起一整套完整的(病毒)样本处理流程,而哈勃动态文件分析系统就是其中一个不可或缺的核心环节。
鹰眼——TAV反病毒引擎
TAV反病毒引擎是腾讯安全团队的另一款重要研发成果,它结合了当前火爆的大数据、机器学习、数据挖掘技术,TAV创造性的将他们结合到木马病毒查杀中。利用腾讯的海量数据运算平台,针对海量病毒木马,腾讯安全团队采取了类似DND提取的手段来处理病毒样本。将病毒样本最本质的信息逐步剥离提取,在将这些数据存储到海量平台中,利用机器学习的方式,自动找到病毒的恶意片段,并将其处理为病毒库发送到用户机器上。这种具有自学习,抗变形,难对抗的杀毒方式正逐渐变为TAV的核心杀毒方法。
如果把TAV技术比喻成一个具有鹰眼,且经验丰富的病毒猎手。当其面对木马病毒时,通过其脱壳拆包等手段,将其外表层剥离干净。再利用其鹰眼看清其内在本质,甚至看清到DNA层级。最后再利用丰富的经验来判断这个样本是否有危害,而且这个丰富的经验是具备强大的自学习能力的。
同时也可以把TAV理解为一个时间猎手。在尼古拉斯凯奇主演的电影《预见未来》中,他具备一项可以预先看见未来的能力。TAV的虚拟执行技术同样可以这么理解,TAV可以将一个样本在自己的体内快速的虚拟执行起来,并且判断其行为。那么相当于在病毒样本尚未来及做坏事之前,TAV就已经知道它要干什么了,这么强大的预见未来的能力也是TAV强大查杀能力的根本。
如何防范新的黑客咋骗手段
随着移动互联网和智能终端设备的普及,用户面临的新安全威胁基本都和利益相关,黑客行为不再像以前那样恶作剧或以破坏电脑本身为乐。
于涛谈到了时下最常见的几种黑客诈骗的例子:(1)黑客通过各种手段误导用户手机上安装一款应用,会锁死用户的QQ号或某些常用账号,需要向黑客转账才能解锁;(2)用户网购后,诈骗方打来电话欺骗说因为支付宝升级,钱被退回来,并发网址让用户登录信息,而这个网站就是钓鱼网站;(3)诈骗者将诈骗链接发送到QQ群和论坛,常用的方式有“5元刷1000Q币”等,通过撒网捕鱼诱惑用户上钩,让用户使用订单激活木马获得银行卡信息,实施诈骗,一个盗号木马能赚几百万元。
为此,腾讯在移动支付解决方案上首创了支付“前、中、后”闭环保护和安全入口“微信支付加密”等一系列功能,可为用户防钓鱼诈骗网站、防虚假二维码、防虚假Wi-Fi网络、防账号与密码被盗、防伪造支付软件。用户还可登陆哈勃文件分析系统查看病毒样本热点报告,了解黑客的最新欺诈手段。