后方的哈勃分析系统会进行两类“拷问”:静态检测和动态检测。
后台的动态检测较多,这并非意味着静态比较简单,而是在后台可用多台机器同时对样本进行计算。如果大量处理放在前台,可能会占用大量内存,影响用户体验。
比如,同样一个样本,如果放到前台进行虚拟执行,可能需要10分钟,此时用户的机器会卡死,如果放到后台,甚至可以拿出 20 台机器同时处理这个样本。
后台所应用的动态检测则对整个系统都进行了监控,可疑分子在运行期间所做的任何动作都被后台一一记录。这些监控与记录并非这么容易,而是存在大量攻防对抗。马劲松告诉雷锋网:
一些样本可能会尽可能复杂地隐藏自己,把作恶触发机率设置得特别晚。它不会在开始运行时就立刻干坏事,可能需要后方(模拟用户)进行一些操作,才会触发行为,这些需要后台模拟进行。
比如,简单的帐号盗取,实际上只有在伪装的 QQ 输入框里输入密码后发送,才会触发所谓的帐号密码传输到指定邮箱的行为。
马劲松说,
这是一个很简单的案例,但很有效。因为我们通过这样的模拟执行和后台数据抓取,可轻松拿到作恶者的 QQ 号所发往的邮箱地址,并且顺藤摸瓜找到更多受害者的信息,尽量帮助受害者用户恢复损失。
后台还会不断反馈作恶者的新特点,同步给置于前端的 TAV ,这意味着如果小明家抓到了一个作案手段新颖的小偷,远在千里外的小红、小黄都能同步了解这种作案手段,防范这类小偷。
“天下无贼”的梦想
马劲松表示,实际上打击和检测分开这个逻辑自始就有,但是前端打击和后端检测整个能力却在不断完善。
一开始时我们也只有静态,发现它的效率不高,后来才逐步完善,寻找更高效的方式,哈勃在不断摸索过程中变得效率更高,打击更精准。
在这个能力提升的过程中,最关键的一点是,腾讯安全舍得花钱了!
思路从来不是问题,后台需要大量服务器投入,在安全领域的大量投入才让我们有机会不计成本地来做这件事。
除了有钱买设备,还靠安全人才的投入。马劲松说,这个领域的人才要有跨平台能力,安全人才本来就特别少,要懂安全又懂大规模并行计算处理等领域的就更少了。
在当前安全人才也不是特别充足的情况下,面对万千样本的来袭,只能依靠人工智能。马劲松表示,在后台领域,腾讯已经开始使用深度学习技术。
腾讯反病毒实验室最近还发布了一个消息:哈勃分析系统已经入选世界级黑客大会 BlackHat 的兵器谱。这意味着,世界顶级的技术人员也看上了他们引以为豪的“武器”。
马劲松认为,腾讯电脑管家已经处在一个非常高的梯队上,如果再往上做一些提升,当然也会遭遇重重困难。就像一个顶尖的运动员再次向更高、更快、更强发起冲击时所面临的困境一样,不过腾讯电脑管家不能通过多次机械“锻炼”来提升,它只能不断试错,尝试此前从来没有试过的方法。
因此,今年他们将在杀软的深度学习方向加大研发力度,做出进一步尝试。
道高一尺,魔高一丈,防御方比攻击方更被动。
马劲松说,他们能做的就是将对抗的门槛提到越高越好。不断地去垒保护用户的墙,尽可能让能够跃过墙的人越来越少,当攻击者所花的成本足够高时,也许他们就会放弃这件事情。
在马劲松及他的同事心中,也许,也藏着一个“天下无贼”的梦想。