国际反病毒大会:腾讯电脑管家打造网络威胁感知体系
9月22日,2016首届国际反病毒大会在天津召开,本次会议以"安全、共维、创新、共享"为主题,邀请了中国工程院、亚洲反病毒研究者协会、国际刑警组织数字犯罪中心、香港警务处、国际反恶意软件测试标准联盟等单位的国内外知名院士、专家、学者、负责人,围绕反病毒技术、云安全、移动APP治理、APT攻击、网络威胁治理等当前网络安全热点、反病毒难点和产业发展新趋势进行研讨。
腾讯电脑管家高级工程师徐超,在本次大会上作了题为《基于云架构的安全策略运营》的演讲。他指出,现在安全软件的技术差距已经越来越小,就算存在技术的缺陷,也往往可以依赖于快速的运营来弥补。于是,如何快速感知到威胁以及感知后如何快速的响应和应对,愈来愈成为重中之重。因此,感知能力和响应能力,成为了一个衡量安全软件强大与否的标准。
对抗复杂度加剧 传统解决方案遭遇挑战
“用户在网上下载软件时经常会遇到只想安装一个软件,结果却被安装了一大堆不需要软件的情况。这些软件的默认勾选项位置很隐蔽,不仅存在于安装的各个流程中,甚至在软件更新升级状态下也会出现,令用户防不胜防。除此之外,还有一种病毒范畴内的行为——完全不提示用户的情况下实施静默安装。”徐超认为,针对软件安装时出现的默认勾选项,传统的解决方案就是根据样本的属性来进行拦截,但是对于其中的黑白属性很难界定。一方面是厂商认为用户确实可能会需要用到这些软件,并且给予了用户选择权;一方面是用户对于体验过程的不满。传统的解决方案在这个问题上面临很大的挑战。
不过如果用户足够细心,仔细检查软件安装过程中的默认勾选项的话,完全可以避免被安装上来历不明、安全程度未知的软件,从而降低电脑中毒的机率。但当下的病毒对抗环境复杂已经是不争的事实,2015年爆发的影响超百万用户的木马“暗云”,被查杀之后,再度变种袭来;今年1月首次现身中国的“比特币敲诈者”病毒如今呈指数级爆发;无孔不入的挂马……徐超表示,当下的病毒变种非常多,很难提取通用特征;同时,可传播的载体也非常多,脚本、漏洞、exe形式运行等都可被不法分子利用,再加上现在的病毒加载方式更加多变,导致病毒对抗的非常复杂。
云主防秒级响应 管家打造威胁感知闭环
徐超表示,随着病毒和安全软件的对抗的加剧,本地的引擎已经很难满足需求。所以现代的安全软件越来越依赖于云,包括云引擎,云主防等。而腾讯电脑管家的云主防功能就可以很好的解决上述的安装软件时出现的默认勾选项问题。
据了解,新近上线的腾讯电脑管家12.0版本中,增强后的云主防特性彻底告别了传统主防只能单一依赖引擎结果属性判断是否拦截的方式。在传统实时主防功能的基础上,引入新属性“文件身份标识”,同时增加云端实时规则控制系统。用户计算机上出现行为触发主防监控点后,腾讯电脑管家云主防将结合文件引擎结果、文件身份标识、云端实时规则三重纬度,在云端智能判断该行为是否异常并下发相应解决方案。由于整个云主防体系都在云端部署,响应速度直接提升到秒级!
同时“文件身份标识”体系的引入,犹如给每一个文件一张“实名身份证”,将文件与所属软件建立对应映射关系,在某些"正规"软件作恶时能进行有效拦截,极大的提高主动防御能力的覆盖度。
依托于云主防强大的拦截能力,腾讯电脑管家已经打造了一套回溯—拦截—查杀—补充新感知点的威胁感知闭环运营策略。徐超表示,管家的运营策略通过持续不断的对各种威胁进行来源与链条追踪,一旦发现有病毒木马,云主防将会首先拦截,漏的或者放过的将会进行查杀,查杀之后再补充新的感知点。
据了解,腾讯电脑管家在反病毒领域一直走在前列,今年4月,国际权威评测机构AV-C基于AMTSO RTTL(Real Time Threat List),完成了首次反病毒行业的PC产品评测。评测结果指出,腾讯电脑管家(英文版)满分通过此次产品评测。在6月的测试中,腾讯电脑管家再次满分通过,成为国内唯一一家连续通过的安全厂商。伴随着12.0新版本的实力上线,未来的腾讯电脑管家将会拥有更强大的病毒对抗能力。
- 半导体行业观察
- 摩尔芯闻