電視劇里最激烈的打斗,要么是遇上同樣遇神殺神的頂尖高手,要么是一堆勁敵圍過來,卻依然輕松斬殺,片葉不沾身。
亂世方顯英雄,如若生在“太平盛世”?那就找一個(gè)“壞人成堆”的試煉場。
騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松告訴雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng)),7、8個(gè)月前,騰訊電腦管家接受了國際權(quán)威評(píng)測機(jī)構(gòu) AV-Comparatives (以下簡稱 AV-C )在特殊極端環(huán)境下的測試。最近,檢測報(bào)告顯示,國產(chǎn)殺毒軟件騰訊電腦管家(英文版)累計(jì)獲得了 AV-C 五項(xiàng)評(píng)測的“A+”最高評(píng)級(jí)。
參加這一測試的還有殺軟界鼎鼎大名的卡巴斯基、AVG 等,在老牌殺軟面前,這一成績究竟意味著什么?背后還有什么故事?雷鋒網(wǎng)宅客頻道第一時(shí)間采訪到了馬勁松。
騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人 馬勁松
一場“惡人堆里”的較量
殺軟能力究竟怎么樣?到底能不能讓用戶滿意?
參與國外權(quán)威的第三方評(píng)測機(jī)構(gòu)進(jìn)行測試,讓它和國際老牌的廠商同場競技,這是當(dāng)前國內(nèi)安全廠家打造自己殺軟公信力的第一選擇。
AV-C 是一個(gè)國際獨(dú)立測試機(jī)構(gòu),因提供針對(duì)計(jì)算機(jī)安全產(chǎn)品的綜合性與客觀性評(píng)測結(jié)果而聞名。AV-C 的測評(píng)特點(diǎn)是,強(qiáng)調(diào)殺軟的全面性,對(duì)檢出和清除能力都要求很高。
其實(shí),以前騰訊電腦管家也參與過 AV-C 的測試,戰(zhàn)果逐年遞加。相應(yīng)而言,2016年的測試強(qiáng)度更大了,難度也比較高。
我們永遠(yuǎn)都要銘記一點(diǎn):你在成長的同時(shí),病毒也在不斷成長。
例如,在 AV-C 惡意軟件清除能力測試中,要在最新的 Win10 64 位系統(tǒng)下進(jìn)行測試,騰訊電腦管家英文版、卡巴斯基、小紅傘、BD等18款全球知名殺毒產(chǎn)品參與,測試時(shí)間歷時(shí) 7 個(gè)月。
長時(shí)間的測試意味著,你不僅要優(yōu)秀,還要持續(xù)優(yōu)秀。
這項(xiàng)測試采用“先染毒,再裝殺軟”的方式進(jìn)行,選取當(dāng)前流行的惡意軟件樣本,最大限度地考察本地引擎針對(duì)染毒機(jī)器的清除修復(fù)能力(極端情況,甚至需要使用“TAV啟動(dòng)盤”)。
這意味著,AV-C 的測試環(huán)境比普通用戶面對(duì)的病毒環(huán)境更極端,如果說普通用戶偶爾只會(huì)遇到一兩個(gè)病毒、木馬,被測試的殺軟就是掉進(jìn)了最極端的”壞人”環(huán)境中,考驗(yàn)它的作戰(zhàn)能力。
這種測試方法相比于以往的“先裝殺軟,再防御”有本質(zhì)的區(qū)別,測試難度屬于最難級(jí)別。傳統(tǒng)的測試方法是殺軟“守陣地”,但此次測試是陣地已經(jīng)被病毒拿下,殺軟要攻進(jìn)去把陣地奪回來,難度可想而知。
道高一尺,魔高一丈。病毒世界也在不斷地推陳出新,AV-C 會(huì)同步外部世界的變化,將最厲害的對(duì)手請(qǐng)到測試機(jī)器上來。
前后方配合默契的攻防之戰(zhàn)
在幾個(gè)月的持續(xù)廝殺后,馬勁松和同事等到了 AV-C 2016 年度的評(píng)測結(jié)果。這是騰訊電腦管家參加 AV-C 年度評(píng)測以來獲得的最好成績。“為了這一刻,背后的所有努力和堅(jiān)持都值得。”馬勁松說。
數(shù)字不帶絲毫溫度,背后卻是靈活的策略與艱辛的努力。騰訊電腦管家為了應(yīng)對(duì)用戶的反病毒需求,以自主研發(fā)的 TAV 殺毒引擎在前方?jīng)_鋒陷陣,而哈勃分析系統(tǒng)在后方不斷 “補(bǔ)充彈藥”。
這是一場十分完美的配合。
為了更少占用內(nèi)存,以最快速度發(fā)現(xiàn)“可疑分子”,成功找出“犯罪嫌疑人”,騰訊電腦管家的策略是,以 TAV 在前方戰(zhàn)場不斷“嗅探”,尋找潛在的威脅。為了打消敵方的顧慮,故意暴露一部分“武器”在前臺(tái),后臺(tái)卻是強(qiáng)悍的哈勃分析系統(tǒng)在不斷計(jì)算、分析,剝下敵人偽裝的外衣。
前臺(tái)將“可疑分子”誘騙到一個(gè)虛擬機(jī)中,開始拆解、分析、戰(zhàn)斗。馬勁松說:
為什么要將樣本虛擬地跑起來?因?yàn)橛行┛梢蓸颖敬嬖谧冃,我們要把這種變形繞過去,把它展開。相當(dāng)于一個(gè)犯罪分子可能在用戶機(jī)器上穿上不同外層的衣服,你只能看到他的外表,或者只能扒掉一層衣服。但是在扒衣服的過程中,每扒一層衣服,它內(nèi)含的“炸彈”就可能會(huì)暴露出來,引爆自己,即惡意循環(huán)實(shí)際已經(jīng)運(yùn)行起來了。
把它關(guān)到防爆鐘里,即使爆炸了,也是在防爆鐘里,回頭把鐘移走,整個(gè)安全就沒有任何問題了。
在前臺(tái)的 TAV 有兩個(gè)作用,一是感應(yīng)器,犯罪分子一般會(huì)偽裝成正常人,讓警察看不出來,但是它多多少少會(huì)有一些習(xí)慣,暴露出可疑行蹤,這時(shí) TAV 就會(huì)把這種可疑點(diǎn)找到,能解決的先解決,不能解決的把犯罪嫌疑人拽到后臺(tái),做深入審問,由后臺(tái)來定義可疑分子究竟是不是犯罪嫌疑人,后臺(tái)判定后交由前臺(tái)執(zhí)行,這就是前臺(tái)的第二個(gè)作用。
后方的哈勃分析系統(tǒng)會(huì)進(jìn)行兩類“拷問”:靜態(tài)檢測和動(dòng)態(tài)檢測。
后臺(tái)的動(dòng)態(tài)檢測較多,這并非意味著靜態(tài)比較簡單,而是在后臺(tái)可用多臺(tái)機(jī)器同時(shí)對(duì)樣本進(jìn)行計(jì)算。如果大量處理放在前臺(tái),可能會(huì)占用大量內(nèi)存,影響用戶體驗(yàn)。
比如,同樣一個(gè)樣本,如果放到前臺(tái)進(jìn)行虛擬執(zhí)行,可能需要10分鐘,此時(shí)用戶的機(jī)器會(huì)卡死,如果放到后臺(tái),甚至可以拿出 20 臺(tái)機(jī)器同時(shí)處理這個(gè)樣本。
后臺(tái)所應(yīng)用的動(dòng)態(tài)檢測則對(duì)整個(gè)系統(tǒng)都進(jìn)行了監(jiān)控,可疑分子在運(yùn)行期間所做的任何動(dòng)作都被后臺(tái)一一記錄。這些監(jiān)控與記錄并非這么容易,而是存在大量攻防對(duì)抗。馬勁松告訴雷鋒網(wǎng):
一些樣本可能會(huì)盡可能復(fù)雜地隱藏自己,把作惡觸發(fā)機(jī)率設(shè)置得特別晚。它不會(huì)在開始運(yùn)行時(shí)就立刻干壞事,可能需要后方(模擬用戶)進(jìn)行一些操作,才會(huì)觸發(fā)行為,這些需要后臺(tái)模擬進(jìn)行。
比如,簡單的帳號(hào)盜取,實(shí)際上只有在偽裝的 QQ 輸入框里輸入密碼后發(fā)送,才會(huì)觸發(fā)所謂的帳號(hào)密碼傳輸?shù)街付ㄠ]箱的行為。
馬勁松說,這是一個(gè)很簡單的案例,但很有效。因?yàn)槲覀兺ㄟ^這樣的模擬執(zhí)行和后臺(tái)數(shù)據(jù)抓取,可輕松拿到作惡者的 QQ 號(hào)所發(fā)往的郵箱地址,并且順藤摸瓜找到更多受害者的信息,盡量幫助受害者用戶恢復(fù)損失。
后臺(tái)還會(huì)不斷反饋?zhàn)鲪赫叩男绿攸c(diǎn),同步給置于前端的 TAV ,這意味著如果小明家抓到了一個(gè)作案手段新穎的小偷,遠(yuǎn)在千里外的小紅、小黃都能同步了解這種作案手段,防范這類小偷。
“天下無賊”的夢想
馬勁松表示,實(shí)際上打擊和檢測分開這個(gè)邏輯自始就有,但是前端打擊和后端檢測整個(gè)能力卻在不斷完善。
一開始時(shí)我們也只有靜態(tài),發(fā)現(xiàn)它的效率不高,后來才逐步完善,尋找更高效的方式,哈勃在不斷摸索過程中變得效率更高,打擊更精準(zhǔn)。
在這個(gè)能力提升的過程中,最關(guān)鍵的一點(diǎn)是,騰訊安全舍得花錢了!
思路從來不是問題,后臺(tái)需要大量服務(wù)器投入,在安全領(lǐng)域的大量投入才讓我們有機(jī)會(huì)不計(jì)成本地來做這件事。
除了有錢買設(shè)備,還靠安全人才的投入。馬勁松說,這個(gè)領(lǐng)域的人才要有跨平臺(tái)能力,安全人才本來就特別少,要懂安全又懂大規(guī)模并行計(jì)算處理等領(lǐng)域的就更少了。
在當(dāng)前安全人才也不是特別充足的情況下,面對(duì)萬千樣本的來襲,只能依靠人工智能。馬勁松表示,在后臺(tái)領(lǐng)域,騰訊已經(jīng)開始使用深度學(xué)習(xí)技術(shù)。
騰訊反病毒實(shí)驗(yàn)室最近還發(fā)布了一個(gè)消息:哈勃分析系統(tǒng)已經(jīng)入選世界級(jí)黑客大會(huì) BlackHat 的兵器譜。這意味著,世界頂級(jí)的技術(shù)人員也看上了他們引以為豪的“武器”。
馬勁松認(rèn)為,騰訊電腦管家已經(jīng)處在一個(gè)非常高的梯隊(duì)上,如果再往上做一些提升,當(dāng)然也會(huì)遭遇重重困難。就像一個(gè)頂尖的運(yùn)動(dòng)員再次向更高、更快、更強(qiáng)發(fā)起沖擊時(shí)所面臨的困境一樣,不過騰訊電腦管家不能通過多次機(jī)械“鍛煉”來提升,它只能不斷試錯(cuò),嘗試此前從來沒有試過的方法。
因此,今年他們將在殺軟的深度學(xué)習(xí)方向加大研發(fā)力度,做出進(jìn)一步嘗試。
道高一尺,魔高一丈,防御方比攻擊方更被動(dòng)。
馬勁松說,他們能做的就是將對(duì)抗的門檻提到越高越好。不斷地去壘保護(hù)用戶的墻,盡可能讓能夠躍過墻的人越來越少,當(dāng)攻擊者所花的成本足夠高時(shí),也許他們就會(huì)放棄這件事情。
在馬勁松及他的同事心中,也許,也藏著一個(gè)“天下無賊”的夢想。(李勤)