腾讯安全发布首部AI反病毒引擎白皮书：TRP-AI引擎打破传统反病毒困局

作为对抗网络病毒的核心技术，反病毒引擎的迭代升级一直备受行业关注，如何显著提升反病毒引擎的拦截效率也成为所有安全厂商不停探索的问题。昨天（2月8日），基于腾讯安全联合实验室旗下反诈骗实验室的研究，腾讯安全正式对外发布《腾讯TRP-AI反病毒引擎白皮书》（下简称《白皮书》），指出Android病毒在当下的传播态势正在加剧传统对抗方式的挑战，而由于传统对抗方式的运行机制，导致其在当下病毒对抗中陷入困局。《白皮书》还指出，AI技术成为破局关键，其具备的实时响应、抗免杀等技术特点，将成为下一代反病毒引擎的对抗核心能力。

安卓病毒横行传统对抗方式面临重重挑战

当下的安卓病毒“效能”不断增大成为行业共识，传统的反病毒引擎首先面临无法提供实时保护这一痛点。根据《白皮书》显示，2017年，安卓平台新增病毒、风险包样本数达1494万，感染用户数1.88亿。受感染的终端用户中有近10%的用户遭受0Day甚至NDay病毒威胁，导致隐私泄漏、财产受损。

而在对抗的另一方，黑产从业者的技术能力正在不断提升。《白皮书》指出，黑产不断提升恶意代码免杀技术，通过自动化免杀工具、动态下发加载playload、云控指令触发恶意行为等手段，制造大量0Day病毒绕过反病毒引擎查杀，给传统杀毒引擎带来了不小挑战。与此同时，黑产逐步完成自身产业洗牌、升级，作案越来越企业化、高技术化。2017年，腾讯安全反诈骗实验室就曾发现“GhostFramework”、“Magiclamp广告病毒家族”、“后门病毒家族TigerEyeing”等云控推广事件，感染用户数超百万。

而为了攫取高更的收益，制作并传播威胁企业甚至国家政府部门安全的“间谍软件”也成为了不法分子的重要手段。在2017年间，国外安全厂商卡巴斯基和趋势科技均披露过大型间谍软件事件，其中涉及的商业间谍软件可实现对目标全天候全信息的监控。

同样值得一提的是，安卓病毒传播引发的畸形黑客文化，正在带来严重的社会负面价值观引导。《白皮书》指出，当前市面在传播中的移动终端勒索病毒，其开发、免杀技术虽然十分稚嫩，感染人群也十分有限；但其形成的“黑客”亚文化对青少年的价值观、道德观有严重的误导能力，引诱一批批青少年成为以勒索他人、炫耀“黑客”技术为荣的黑产下线，带来了极其恶劣的社会影响。

响应窗口期成“阿喀琉斯之踵” 传统反病毒引擎深陷困局

从保护用户这一核心目的出发，衡量一款反病毒引擎的优劣在于其是否能有效保护用户网络安全，然而这也成为了传统反病毒引擎不适应当下病毒形势的判定标准之一。《白皮书》指出，传统反病毒引擎虽然可以及时响应并查杀病毒，配合现有成熟的云查技术更是可以将响应时间降低至一天甚至数小时内，但响应再及时依然无法阻止已感染用户遭受病毒威胁，阻断用户隐私泄漏、财产损失。在《白皮书》梳理的传统反病毒引擎对抗机制可以发现，传统反病毒引擎的运行机制较为滞后。

传统反病毒引擎运行机制滞后

然而，当前大部分反病毒引擎通过引入云查模式来优化流程，降低响应时长，但依然是传统反病毒引擎的应对模式，仅能做到尽量降低响应时长，而未能跳出传统反病毒引擎固有模式。

“攻击者可通过各种手段，从各个入口，只要找到一个薄弱点对其进行攻击即可达到目的，而防守方则需要考虑到方方面面，稍有疏忽则会被攻击者抓住漏洞。”传统反病毒引擎在与当前病毒对抗中，从人力、终端权限、攻防战术站位上均处于劣势，这也是安全厂商亟需解决的反病毒引擎困局。

《白皮书》还指出，随着当前病毒攻防技术的提高，自动化免杀工具、payload动态下发、加载技术的使用，使得“0Day”病毒越来越多，样本捕获难度高、逆向/动态分析对抗严重，造成当前传统反病毒引擎捕获难、分析成本较高。传统反病毒引擎应对方案逐渐捉襟见肘，越来越多响应不及时、难以及时止损、0Day病毒发现难等问题摆在反病毒引擎运营人员面前。安全厂商亟需利用新的技术或解决方案突破当前反病毒困局。

AI技术实现智能化病毒对抗或将破解传统反病毒引擎困局

对于传统杀软引擎面临的一系列问题，《白皮书》也提出了极具建设性的解决方案——将AI技术应用在终端安全场景，利用AI技术实现更加智能化的病毒对抗；通过机器深度学习，下一代引擎将保持持续的自学习自适应能力，自动化、智能化跟进病毒的行为演进，并快病毒一步的进行病毒行为预测和识别、阻断。

这在移动互联网终端上并非是“空穴来风”。2017至2018年，安卓、高通、华为、三星等全球大型厂商均推出或即将推出深度应用AI的产品，甚至AI在黑产领域也得到了“有效”应用——国内最大打码平台“快啊答题”利用AI破解登录验证码。

腾讯安全团队为应对未来严峻的安全挑战，配合腾讯高度成熟的AI技术，基于AI芯片的独立计算能力，自主研发了AI反病毒引擎——腾讯TRP-AI反病毒引擎，通过成熟的AI技术对应用行为的深度学习，配合系统层的行为监控能力，基于AI芯片的独立、高效的计算能力，配合传统安全引擎，有效解决未知应用所带来的安全风险，实时识别并阻断恶意行为，做到低功耗、高智能的实时终端安全防护。

通过简单的集成，腾讯TRP-AI反病毒引擎即可通过framework层监控桩点对应用敏感行为进行监控，并将行为数据脱敏构造成行为序列；利用腾讯先进的AI反病毒模型，基于AI芯片的计算能力进行独立、安全的反病毒检测，判断应用行为是否恶意；前端通过安全应用进行结果展示和用户授权交互，可及时阻断恶意行为，卸载恶意应用，为用户提供实时安全防护。

经过实践检验，腾讯TRP-AI反病毒引擎可实现、病毒检测的覆盖率90%、病毒检测准确率98%、病毒发现能力提升8%、病毒发现速度提升12%、病毒发现快于病毒传播的占比提升到92%、检测耗时30ms，远低于传统引擎的100~200ms、平均性能消耗保障对设备使用体验零影响。

传统反病毒引擎与AI反病毒引擎能力对比

2018年我国将正式启动网络强国建设三年行动，作为中国最大的互联网综合服务提供商之一，腾讯也将积极响应国家号召，将AI技术更多的应用在终端安全建设，网络黑产打击等方面，以更为积极、开放式的心态，同企业、银行、政府部门合作，共同建设健康、安全的互联网生态，为建设网络强国贡献力量。