用什么样的姿势能拿到国际“AV”大赛的冠军?

    乱世方显英雄,如若生在“太平盛世”?那就找一个“坏人成堆”的试炼场。

腾讯安全反病毒实验室负责人马劲松告诉雷锋网(公众号:雷锋网),7、8个月前,腾讯电脑管家接受了国际权威评测机构 AV-Comparatives (以下简称 AV-C )在特殊极端环境下的测试。最近,检测报告显示,国产杀毒软件腾讯电脑管家(英文版)累计获得了 AV-C 五项评测的“A+”最高评级。

参加这一测试的还有杀软界鼎鼎大名的卡巴斯基、AVG 等,在老牌杀软面前,这一成绩究竟意味着什么?背后还有什么故事?雷锋网宅客频道第一时间采访到了马劲松。

【图:腾讯安全反病毒实验室负责人 马劲松】

一场“恶人堆里”的较量

杀软能力究竟怎么样?到底能不能让用户满意?

参与国外权威的第三方评测机构进行测试,让它和国际老牌的厂商同场竞技,这是当前国内安全厂家打造自己杀软公信力的第一选择。

AV-C 是一个国际独立测试机构,因提供针对计算机安全产品的综合性与客观性评测结果而闻名。AV-C 的测评特点是,强调杀软的全面性,对检出和清除能力都要求很高。

其实,以前腾讯电脑管家也参与过 AV-C 的测试,战果逐年递加。相应而言,2016年的测试强度更大了,难度也比较高。

我们永远都要铭记一点:你在成长的同时,病毒也在不断成长。

例如,在 AV-C 恶意软件清除能力测试中,要在最新的 Win10 64 位系统下进行测试,腾讯电脑管家英文版、卡巴斯基、小红伞、BD等18款全球知名杀毒产品参与,测试时间历时 7 个月。

长时间的测试意味着,你不仅要优秀,还要持续优秀。

这项测试采用“先染毒,再装杀软”的方式进行,选取当前流行的恶意软件样本,最大限度地考察本地引擎针对染毒机器的清除修复能力(极端情况,甚至需要使用“TAV启动盘”)。

这意味着,AV-C 的测试环境比普通用户面对的病毒环境更极端,如果说普通用户偶尔只会遇到一两个病毒、木马,被测试的杀软就是掉进了最极端的“坏人”环境中,考验它的作战能力。

这种测试方法相比于以往的“先装杀软,再防御”有本质的区别,测试难度属于最难级别。传统的测试方法是杀软“守阵地”,但此次测试是阵地已经被病毒拿下,杀软要攻进去把阵地夺回来,难度可想而知。

道高一尺,魔高一丈。病毒世界也在不断地推陈出新,AV-C 会同步外部世界的变化,将最厉害的对手请到测试机器上来。

前后方配合默契的攻防之战

在几个月的持续厮杀后,马劲松和同事等到了 AV-C 2016 年度的评测结果。这是腾讯电脑管家参加 AV-C 年度评测以来获得的最好成绩。马劲松说:“这个奖项很客观地反映了团队的努力,在对与木马病毒的对抗中,为了保护用户的安全,再多的付出也是值得的”。

数字不带丝毫温度,背后却是灵活的策略与艰辛的努力。腾讯电脑管家为了应对用户的反病毒需求,以自主研发的 TAV 杀毒引擎在前方冲锋陷阵,而哈勃分析系统在后方不断“补充弹药”。

这是一场十分完美的配合。

为了更少占用内存,以最快速度发现“可疑分子”,成功找出“犯罪嫌疑人”,腾讯电脑管家的策略是,以 TAV 在前方战场不断“嗅探”,寻找潜在的威胁。为了打消敌方的顾虑,故意暴露一部分“武器”在前台,后台却是强悍的哈勃分析系统在不断计算、分析,剥下敌人伪装的外衣。

前台将“可疑分子”诱骗到一个虚拟机中,开始拆解、分析、战斗。马劲松说:

为什么要将样本虚拟地跑起来?因为有些可疑样本存在变形,我们要把这种变形绕过去,把它展开。相当于一个犯罪分子可能在用户机器上穿上不同外层的衣服,你只能看到他的外表,或者只能扒掉一层衣服。但是在扒衣服的过程中,每扒一层衣服,它内含的“炸弹”就可能会暴露出来,引爆自己,即恶意循环实际已经运行起来了。

把它关到防爆钟里,即使爆炸了,也是在防爆钟里,回头把钟移走,整个安全就没有任何问题了。

在前台的 TAV 有两个作用,一是感应器,犯罪分子一般会伪装成正常人,让警察看不出来,但是它多多少少会有一些习惯,暴露出可疑行踪,这时 TAV 就会把这种可疑点找到,能解决的先解决,不能解决的把犯罪嫌疑人拽到后台,做深入审问,由后台来定义可疑分子究竟是不是犯罪嫌疑人,后台判定后交由前台执行,这就是前台的第二个作用。

后方的哈勃分析系统会进行两类“拷问”:静态检测和动态检测。

后台的动态检测较多,这并非意味着静态比较简单,而是在后台可用多台机器同时对样本进行计算。如果大量处理放在前台,可能会占用大量内存,影响用户体验。

比如,同样一个样本,如果放到前台进行虚拟执行,可能需要10分钟,此时用户的机器会卡死,如果放到后台,甚至可以拿出 20 台机器同时处理这个样本。

后台所应用的动态检测则对整个系统都进行了监控,可疑分子在运行期间所做的任何动作都被后台一一记录。这些监控与记录并非这么容易,而是存在大量攻防对抗。马劲松告诉雷锋网:

一些样本可能会尽可能复杂地隐藏自己,把作恶触发机率设置得特别晚。它不会在开始运行时就立刻干坏事,可能需要后方(模拟用户)进行一些操作,才会触发行为,这些需要后台模拟进行。

比如,简单的帐号盗取,实际上只有在伪装的 QQ 输入框里输入密码后发送,才会触发所谓的帐号密码传输到指定邮箱的行为。

马劲松说,

这是一个很简单的案例,但很有效。因为我们通过这样的模拟执行和后台数据抓取,可轻松拿到作恶者的 QQ 号所发往的邮箱地址,并且顺藤摸瓜找到更多受害者的信息,尽量帮助受害者用户恢复损失。

后台还会不断反馈作恶者的新特点,同步给置于前端的 TAV ,这意味着如果小明家抓到了一个作案手段新颖的小偷,远在千里外的小红、小黄都能同步了解这种作案手段,防范这类小偷。

“天下无贼”的梦想

马劲松表示,实际上打击和检测分开这个逻辑自始就有,但是前端打击和后端检测整个能力却在不断完善。

一开始时我们也只有静态,发现它的效率不高,后来才逐步完善,寻找更高效的方式,哈勃在不断摸索过程中变得效率更高,打击更精准。

在这个能力提升的过程中,最关键的一点是,腾讯安全舍得花钱了!

思路从来不是问题,后台需要大量服务器投入,在安全领域的大量投入才让我们有机会不计成本地来做这件事。

除了有钱买设备,还靠安全人才的投入。马劲松说,这个领域的人才要有跨平台能力,安全人才本来就特别少,要懂安全又懂大规模并行计算处理等领域的就更少了。

在当前安全人才也不是特别充足的情况下,面对万千样本的来袭,只能依靠人工智能。马劲松表示,在后台领域,腾讯已经开始使用深度学习技术。

腾讯反病毒实验室最近还发布了一个消息:哈勃分析系统已经入选世界级黑客大会 BlackHat 的兵器谱。这意味着,世界顶级的技术人员也看上了他们引以为豪的“武器”。

马劲松认为,腾讯电脑管家已经处在一个非常高的梯队上,如果再往上做一些提升,当然也会遭遇重重困难。就像一个顶尖的运动员再次向更高、更快、更强发起冲击时所面临的困境一样,不过腾讯电脑管家不能通过多次机械“锻炼”来提升,它只能不断试错,尝试此前从来没有试过的方法。

因此,今年他们将在杀软的深度学习方向加大研发力度,做出进一步尝试。

道高一尺,魔高一丈,防御方比攻击方更被动。

马劲松说,他们能做的就是将对抗的门槛提到越高越好。不断地去垒保护用户的墙,尽可能让能够跃过墙的人越来越少,当攻击者所花的成本足够高时,也许他们就会放弃这件事情。

在马劲松及他的同事心中,也许,也藏着一个“天下无贼”的梦想。

  

本文作者:李勤

本文转自雷锋网禁止二次转载,原文链接

时间: 2024-09-12 13:17:46

用什么样的姿势能拿到国际“AV”大赛的冠军?的相关文章

韩国黑客获得国际黑客大赛冠军

据韩国媒体报道,在韩国知识经济部赞助举行的国际黑客大赛"2009年Code Gate"上,韩国黑客队"Cpark"获得了冠军. 据主办方Soft Forum称,"Cpark"由安哲秀研究所研究员赵柱峰(音)和西江大学.仁荷大学计算机工程系在校生金宇贤(音).朴灿岩(音)3人组成,他们在从本 月7日开始在首尔三成洞COEX进行的24小时的黑客大赛决赛中,力压国内外7支队伍,以最高分数夺得冠军. 当天在距离比赛结束只有5分钟时,"Cpark

中国首次在国际顶级黑客大赛攻破Linux系统

当地时间3月15日,世界著名黑客大赛Pwn2Own在加拿大温哥华如期举行,来自中国的安全研究团队长亭科技在这项国际顶级大赛上攻破linux系统.据悉,这也是中国首次在顶级国际黑客大赛上攻破linux系统,引发业界震惊和关注. Pwn2Own由Trend Micro主办,是公认级别最高的黑客大赛,参与者都是全球范围内的顶尖黑客.赞助商包括微软.谷歌.苹果.Adobe.Intel.火狐等巨头.而比赛项目,就是寻找这些厂商产品的漏洞,Pwn it("Pwn"是一个黑客语法的俚语词,是指攻破设

中外巅峰对决——0CTF暨XCTF联赛上海站国际赛汹涌来袭

4月22日--4月24日聚焦上海零号湾--全球创新创业集聚区 0CTF国际信息安全技术挑战赛暨XCTF联赛上海站国际赛 大赛介绍 0CTF2016是0ops团队主办的第三届信息安全技术挑战赛,是中国大陆首次成为DEF CON CTF资格赛的世界顶级信息安全竞赛,是国际网络安全技术对抗联赛(XCTF)上海站比赛. 来自71个国家和地区的2649支团队参加了3月的0CTF暨XCTF联赛上海站线上资格赛,经过激烈的选拔,12支世界最强安全战队将在4月底争霸上海滩,进行国际顶级的网络安全攻防对抗竞赛!现

DT科技评论第13期:阿里搜索团队亮相数据挖掘国际大赛,勇夺冠军

DT科技评论 Data Technology Review 第 13 期           人民网研究院,阿里云研究中心 本期目录 美国白宫推荐六种资金资助方式 扶植VR教育 英国未来5年投入19亿英镑加强网络安全 美国国家标准与技术研究院发布网络安全猎捕人才工具 亚马逊财报逊市场预期 但AWS业务营收大涨55% 阿里搜索团队亮相数据挖掘国际大赛 勇夺冠军 微软将开源下一代云硬件项目 物联网安全Startup Idea-通过网关模式来保护连接到家庭无线局域网上的物联网设备远离恶意软件 首台搭载

国际大学生程序设计竞赛即将展开角逐

ACM大赛每年都在国际上引起极大反响.记者获悉,本月26日,来自全国百所院校,共120支参赛队伍将在哈尔滨展开第一轮竞赛.据了解,有着程序界重量级"拳王争霸赛"之称的ACM大赛每年都在国际上引起极大反响,获得赛事冠军的学生每年都是全球顶尖技术公司招聘的目标,获得冠军人数的多与少,已经成为了业界企业对技术及技术人才重视程度的风向标. 早在2008年,阿里巴巴集团就曾经携手国际程序大赛组织ACM在中国展开过"擂台赛",目前已有3位ACM世界冠军在阿里巴巴集团工作. 此前

国际网络安全攻防盛宴——SSCTF线上赛顺利收官

第二届XCTF联赛西安站国际赛暨2016·西安SSCTF线上赛于2月29日8点准时结束,在包括2015年度CTFTIME战队积分前六名的美国超神战队PPP.波兰战队Dragon Sector.美国另外一支强队Shellphish.乌克兰战队dcua.以及台湾地区.韩国.日本.捷克.瑞典等CTF强队参与的情况之下,大陆战队发挥出色,福州站线下赛冠军Flappypig战队凭借最后一晚的爆发,勇夺第一名,首届XCTF联赛总决赛冠军台湾大学217战队屈居第二,多校联合战队 Nu1L位列第三(最终成绩将在

世界上最奇葩的黑客都做了什么?

       315晚会上,全国大爷大妈面前的电视机里,出现了一个"怪人",他坐在一个硕大无朋的赌桌前,如先知布道一般,对"愚蠢的人类"陈述他的安全忧思.讲真,还从没有一个黑客以这种姿势降临人间. 也许从这个时点开始,王琦成为中国黑客在大众心中的吉祥物.这张顶配的黑客脸,配以不急不缓的语气,神秘而略带邪恶的神态.让人不得不对他接下来要说的话抱以期待. 一个技术范儿大叔,生生玩成了<我是歌手>的评委,也算是黑客界的一个突破吧. [王琦和<我是歌手&g

科大讯飞年度发布会:讯飞超脑摘取认知智能桂冠,输入法领衔AI+ (刘庆峰、胡郁演讲实录)

纵观整场发布会,可以看到,讯飞以语音为切入口的.从感知智能到认知智能的人工智能革命正在稳步推进:战略上,讯飞专注人工智能的决心非常坚定,认为本次人工智能的爆发是真正的行业浪潮,其中蕴含巨大的机会:技术研发上,讯飞利用多年在人工智能上积累,拿下多项国际比赛的冠军,不仅语音,还有知识图谱.自然语言理解等:产品应用上,科大讯飞在车载和家居上扩展布局,推出相关产品.行业竞争上,讯飞人工智能生态建设取得初步进展,多个领域的市场与技术上都有布局,与3000多家机器人公司达成合作,拥有20万开发者.市场上,在

什么是demonstration

DEMO的概述 DEMO是demonstration的缩写,在电脑上的DEMO简单的说就是展示电脑图形与音乐的程式,所以游戏开始的动画展示也是DEMO的一种.在电脑公司,可以看到电脑上展示介绍电脑软硬件的程式,这些属于商业性质的DEMO:这些DEMO是凭借图形与音乐来吸引顾客,达到宣传的目的. 但如果只是一般DEMO那就没有什么好看的了.这里主要介绍的DEMO并非指的商业性的DEMO,而是在国际比赛,有个参赛团体专门为DEMO比赛而制作的DEMO.这些DEMO主要目的是:带给欣赏者趣味并且发挥电