腾讯御安全之AI反病毒引擎白皮书.docxVIP

腾讯御安全之AI反病毒引擎白皮书【关键词：腾讯御安全，Android应用加固，应用安全，移动应用保护】腾讯安全团队联合有关部门对色情诈骗、移动传销等网络犯罪进行有效打击，保障了亿万网民的信息与财产安全。引言2017年，《中华人民共和国网络安全法》正式施行，网络安全从此有法可依，网络空间治理、网络信息传播秩序规范、网络犯罪惩治等从此翻开新篇章，对保障我国网络安全、维护国家总体安全具有深远而重大的意义。在顶层设计的指导下，安全厂商也给网络黑产带来了沉重打击。腾讯安全团队联合有关部门对色情诈骗、移动传销等网络犯罪进行有效打击，保障了亿万网民的信息与财产安全。但值得警惕的是，网络安全形势依然严峻：WannaCry一夜之间全球爆发，至少150个国家、20万台电脑受到感染，且其中企业、教育机构、银行机构甚至政府机构为重灾区；WannaCry开启了勒索病毒元年，攻击者的目标将不再盯准个人电脑，而是大规模侵占教育机构、医疗机构、企业、银行甚至政府部门的网络设施，且攻击方式更加粗暴有效——病毒不再窃取资料以期变现，而是加密重要资料索要赎金。与此同时，近年来被披露的APT攻击活动愈来愈多，针对企业、银行、政府机构等展开的有组织、有计划、有针对性的长时间不间断攻击一直在悄无声息的进行着；而随着国内互联网高速发展，中国的企业、政府机构将越来越多受国际关注，也将成为APT攻击对象。2018年我国将正式启动网络强国建设三年行动，腾讯安全团队也必将响应国家号召，将AI技术更多的应用在终端安全建设，网络黑产打击等方面，以更为积极、开放式的心态，同企业、银行、政府部门合作，共同建设健康、安全的互联网生态，为建设网络强国贡献力量。?一、Android病毒传播加剧传统对抗方式挑战Android病毒在当下的传播态势正在加剧传统对抗方式的挑战。2017年，Android平台新增病毒、风险包样本数达1494万，感染用户数1.88亿，数量依然骇人。受感染的终端用户中有近10%(1800 万)用户遭受0Day甚至NDay病毒威胁，导致隐私泄漏、财产受损。另一方面，2017年，黑产制作恶意代码的技术水平持续提高，自动化免杀、恶意代码动态下发、恶意行为精准投放，产生大量0Day恶意代码。与此同时，黑产企业化作案，色情APP、应用推广成黑产“香饽饽”。而在色情APP诈骗后，“地下暗流”更是成为黑产主流产业链。随着黑产从业者在技术能力纵深化、团队模式企业化、变现渠道多样化，Android终端病毒对抗加剧，传统反病毒引擎受到巨大挑战。?1.1?? ?病毒“效能”增大，传统反病毒引擎难以提供实时保护2017年每月Android平台新增病毒包数量平均为124万个，其中4月病毒包数量最多，达到170万个；2017年4月，腾讯安全团队先后协助武汉、大连、广东警方，捣毁了3个大型公司化运营色情诱导诈骗团伙及其黑色产业链。此后新增病毒包数持续呈下降趋势，证实联合打击活动起到一定效果。?然而值得注意的是，至犯罪团伙被打击抓捕前，已有近百万终端用户受感染，被骗金额累计达6亿。传统杀毒引擎虽然可以及时响应并查杀病毒，配合现有成熟的云查技术更是可以将响应时间降低至一天甚至数小时内，但响应再及时依然无法阻止已感染用户遭受病毒威胁，阻断用户隐私泄漏、财产损失。2017年度，Android端感染病毒的用户总数为1.88亿。其中腾讯手机管家首次检出、查杀的、影响极大的“地下暗流”系列病毒，被安全人员发现时已感染超过千万用户；即，受病毒威胁用户中，有10%左右用户已遭受0Day或NDay病毒的威胁。?1.2?? ?0Day病毒攻防技术提高，传统引擎对抗捉襟见肘2017年腾讯安全团队共捕获新增加固应用超过400万个，其中7.2%为恶意应用，16%为含有广告插件的非官方应用。黑产不断提升恶意代码免杀技术，通过自动化免杀工具、动态下发加载playload、云控指令触发恶意行为等手段，制造大量0Day病毒绕过反病毒引擎查杀，给传统杀毒引擎带来了不小挑战。2017年全球黑客大会BlackHat USA上，知名黑客发布自动化免杀工具AVPASS，任何黑客可通过此工具快速构造大量Android免杀病毒躲避传统杀软查杀。通过实验证明传统杀毒引擎对于通过AVPASS工具批量化制造的免杀病毒查杀率仅为5.8%。除此之之外，腾讯安全团队还曾监测到，目前存在大量0Day病毒应用，通过精准的云控恶意代码投放，避免大范围的通杀，有效做到大量用户感染，躲避杀毒软件查杀，精准恶意代码触发。?2017年腾讯安全团队监测到一个现象：VirtualApp技术被广泛使用于黑产中，VirtualApp是一个App虚拟化引擎（简称VA），运行在VA中的APK无需在外部安装，即VA支持免安装运行APK。根据腾讯安全团队监测发现，目前使用VA技术的应用中，44