给你们介绍一个脑洞清奇的杀毒神兽：腾讯 TRP-AI 人工智能反病毒引擎
本文作者史中（微信：shizhongst），首发于浅黑科技。
今天的故事说来话长，我会给你们介绍一个脑洞清奇的杀毒思路——TRP-AI 人工智能杀毒引擎，不过别急，容我把故事娓娓道来。请大家扶稳坐好，嘀嘀，准备开车！
〇、手机回魂——这就是我们的世界
午夜，你安静地睡在床上。身边躺着新买来的手机。
房间漆黑，只有手机一角的红灯，像呼吸一样温柔均匀。时钟轻轻跳到下一秒，好像什么都没有发生。
窗角的一阵风吹进来，掠过光滑的屏幕。没人知道，这薄凉的屏幕之下，手机的 CPU 正在疯狂运转。
某个“系统自带”的 App，此刻正在扯开安卓系统的皮囊。它一手攥住 Root 权限，一个接一个地“帮”你安装软件；另一只手不断地打开奇异诡谲的网站，点击其中密密麻麻的广告。
没错，这根本不是什么 App，而是彻头彻尾的新型病毒。
你会说：这样的事情肯定发生在“别人的手机”上。但事实是，这款病毒的两百万受害者都在这么想。把镜头拉远，暗夜里的中国版图上，这类病毒正在以光速奔涌流窜。
这个伪装成“系统自带 App”的病毒，甚至在你购机之前，就已经被渠道上某只手塞进了手机里。
这就是我们真实的世界。
手机回魂，而你却懵然无知。
就是这个名为 EvilJS 的病毒家族，在传播高峰时感染了两百万用户。
一、齐装满员的病毒阵列
告诉我这些的，是腾讯安全研究员王佳斌。
最近几年，他和小伙伴不断监控安卓手机病毒的最新趋势，他们越来越看清一个真相：
普通人眼里一台独立而安静的手机，却是黑产利益之网上冥灭的节点。具体的节点时而挣脱，时而又被黑产捕获；但总之，他们会用尽一切手段保持这张大网永不熄灭。
王佳斌要做的事情很简单：毋庸多言，研发比病毒更凶悍的武器压制对方的火力。
在我看来，他简直就是一个专门生产新式杀毒武器的“奇异博士”。最近他刚刚搞出来一种驻扎在系统底层的人工智能杀毒引擎——“TRP-AI”引擎。我感觉这种技术可谓“脑洞清奇”，所以打算讲给你听。
安卓病毒其实包括很多种类。所谓知己知彼，百战不殆。从腾讯安全的角度来看，要想杀毒，首先要先知道“敌方”（病毒）的排兵布阵。
我们把安卓手机病毒分为八大类。但是现在最流行的是其中三类：
1、隐私窃取。
2、恶意扣费
3、流氓行为
王佳斌说。
腾讯安全反诈骗实验室专家 王佳斌
要想搞懂时下流行的病毒，看这三类就够了。我来具体解释一下：
隐私窃取：
注意，凡是你的小秘密，都能被黑客拿来换钱的。如果搞到你的账号密码，就可以窃取你的资产；如果搞到你的实时位置、通话记录，就骗你没商量，一不留神就交智商税；如果你是个刚刚迎娶白富美走上人生巅峰的 CEO 神马的，你的商业机密还能用来卖给竞争对手。
恶意扣费：
第一种可能就是从你的话费里扣：
比较讲规矩的扣费 App，会弹出一个框，里面有十万字的用户协议，并且在最下面的角落里，用白底白字0.001号字写着：“同意扣费请点击确定”；不讲规矩的 App 直接帮你在后台就确定了，上个厕所的功夫，你就会收到好几条运营商发回来的扣费通知短信。。。
第二种可能就是你主动交费：
比如电影里一个小姐姐，诱惑地脱掉一件衣服，然后弹出来一个通知，让你交十块钱。如果你此时智商为负，选择转账，影片再进行十秒，会让你再交十块。如此反复，到最后弹出通知：
根据相关法律，不允许观看黄色内容，请你遵守法律，洁身自好！
流氓行为：
这个大家最熟悉，通知栏、弹窗，海底捞式地询问你要不要安装，要不要下载，要不要ABCDEFG。或者根本不询问你，直接帮你下载好，然后回头向软件生产商要广告费。
文章开头那个感染了两百万台手机的病毒，就属于此类。
这些病毒 App 通过广告、网页、应用市场、垃圾短信链接（很可能是周边的伪基站发来的）或者社交软件等等渠道来到你面前，一旦点击下载，你就输了。
说了这么多，其实只是为了让你对这些病毒的“气质”有一个基本了解：
1、出来混，就是为了搞钱。
2、为了搞钱，技术都练得杠杠的。
3、为了这些钱，他们有动力和杀毒软件死磕到底。
二、杀毒软件的“火力边界”
我们和手机病毒的斗争，像极了现实世界中抗生素和病菌的斗争：
当年黑死病流行，人类大量“中枪”；
后来人们研发了抗生素，大量的病菌又被杀灭；
但是，总有一小部分病菌进化出了对抗抗生素的能力。由于人类暂时无法防御，它们迅速扩张，卷土重来；
直到人们找到了对抗新病菌的新方法，天平再一次倾斜。
王佳斌说，目前我们和网络病毒的对抗，就处在一个艰难的平衡，并且貌似一小部分病毒正在找到突破传统杀毒引擎的方法。这是个很危险的信号。
最近，病毒突破杀毒软件的技术产生了两个流派：
1、快速变种。
目前杀毒软件对于病毒的识别，最主要是基于“特征”。大概就像警察去抓坏人，需要手里拿一张画像，如果面前这个人和画像一致，就拿下没商量。
但是，病毒的“化妆术”可是越来越强，甚至现在已经开始“整容术”，技术比韩国人有过之而无不及。
用专业词汇说，这叫“免杀”。
每年在顶级黑客大会 BlackHat 上，都有人研究最新的代码加密混淆技术。而根据这些论文，有人就能做出免杀工具，并且公开下载。
王佳斌说。
实际上，病毒制造者绝对是三好学生，好学精神是能拿小红花的。他们紧跟国际顶级学术潮流，利用这样的前沿技术，可以做到自动批量为病毒“整容”，杀毒软件想要在第一时间发现他们，难度超高。
现在腾讯的杀毒软件，可以把病毒从产生到可以被杀软识别的时间压缩到几小时，但就是这几个小时的空窗期，病毒已经开始作恶。甚至，一个病毒在网上通过链接投放，你每一次点击，得到的都是不同样貌的病毒样本，完全是自动生成的变种。
2、云控下发
“这是目前最为流行的病毒模式，识别难度也极大”。王佳斌对这种技术给予了“极高评价”。
云控下发的技术并不难，我一说你就能明白：
1）各大应用市场里有很多废弃的“空壳应用”，可能是游戏，也可能是新闻，但已经没什么人下载了。于是软件开发者就可能把它卖给黑产。两万一个，网上明码标价。
2）黑产买来空壳应用，在里面稍稍做个手脚，增加一个“云投放”功能。就相当于在应用里挖了一条《肖申克救赎》那样的“地道”，随时可以进来搞一搞事情。
3）黑产花钱铺渠道，大力推广这个应用，争取让更多人来下载。而你下载之后，就相当于拿回家一个定时炸弹。人为刀俎我为鱼肉。
文章开头提到的，半夜悄无声息在你手机里祸乱的 App，就是这种“空壳应用”无疑。
为神马这种云控下发的病毒不容易被杀毒软件识别呢？
因为在这种情况下，所有的恶意代码都是临时下发的，只存放在内存里，像一次性筷子一样用完马上清除，不留痕迹。
做“空壳应用”这件事，黑产是认真的。王佳斌举了个例子：
2017年七八月，我们发现了一个仿冒游戏，名叫“梦幻花园”。用户一旦下载运行，很快就会收到运营商发来的自动扣费信息确认。
由于审核机制不严，这个 App 上了很多应用市场。而且他还可以自动根据用户是移动、联通还是电信，下发不同的恶意模块。
其实，这种病毒猖獗的蔓延，用传统方法已经接近无解，原因有两点：
1、恶意应用静止的时候，代码干干净净，应用市场和杀毒软件都没有办法发现。
2、应用作恶的时候，恶意代码临时寄存在内存中。但是，由于安卓系统的权限管理策略，杀毒软件没有权限去检测其他程序的内存。
你要注意，这其中重要的原因，是权限。安卓系统下的杀毒软件不像警察，反而有点像物业公司，虽然可以管理业主不私搭乱建，但却没办法破门而入搜查房间。这就在很大程度上限制了它发挥功能。
说到这，你应该大致明白，为什么在原有框架下，杀毒软件存在一个“火力边界”。现在，终于轮到今天的主角——TRP-AI 人工智能反病毒引擎——登场啦！
三、TRP-AI，这个人工智能杀毒神兽怎么工作？
说到 TRP-AI 的原理，有两条：
1、它使用了人工智能的方法来定位病毒。
有关机器学习的基础原理，这里来不及展开。简单来说，王佳斌需要把各种病毒行为输入人工智能系统，然后机器就会自动“学习”，总结出一个病毒究竟有哪些特点，从而下一次见到新的行为，就能瞬间判断它是不是病毒。
2、他在系统底层。相当于在上帝视角监控每一个应用的安全。
刚才说了，传统杀毒引擎都跑在“应用层”，和他们要管理的其他 App 是平行关系。而 TRP-AI 跑在了“系统层”，角色从物业管理员瞬间变成了警察叔叔。
在这种情况下，他们就有权对可疑的 App 实时调取内存检查。就好像警察监控犯罪分子一样，一旦他伸手，马上冰凉的手铐伺候。
如同电影《星际穿越》里描绘的那样，一旦到了更高的维度，我们就拥有了“上帝视角”，可以控制低维度的一切。
技术听上去很美，不过实际效果如何呢？王佳斌给了我几个数据：
1、如果只开启传统反病毒软件的本地特征引擎，对于新病毒第一次检测就能检出的概率是50%；
2、开启本地引擎+云引擎之后，对于新病毒的一次检出率能够到达 80%；
3、在开启前两个引擎的基础上，加上 TRP-AI 引擎，对于病毒的一次检出率是 92%。
其实，增加的这 10% 中，绝大部分都是传统引擎无论怎样优化都很难识别的病毒。就好像以前的警察，无论一个案子铺上多少警力也只能破掉 80% 的案子，而利用新的基因技术，给警察叔叔都开了“天眼”，他们瞬间能够掌握新的现场作案证据，轻松破掉以前几十年都破不掉的案子。从这个角度看，这个能力的价值是巨大的。
还记得我们把杀毒软件比作抗生素么？TRP-AI 引擎，其实就相当于一种新的“超级抗生素”。
当然，TRP-AI 引擎并不是传统引擎的替代品，因为在目前来看，二者覆盖的领域并不重合。严格地说，TRP-AI 是传统引擎的补充。“但是我相信，未来人工智能引擎的比重一定越来越大。”王佳斌说。
TRP-AI 的原理说完了，但是稍等，我们还不能下课。王佳斌和团队五十多人用了一年多的时间研发出的引擎，其中的技术细节非常有趣。
四、人工智能杀毒引擎“创造指南”
有关 TRP-AI 引擎研发中遇到的坑，我们来讲几个故事吧。
1st 选什么语意
王佳斌毕业于西安电子科技大学，本科是数学，研究生是密码学，技术背景非常硬。虽然他一直搞反病毒研究，但对于人工智能，他一直在密切关注。
早在2016年，他就开始尝试带着兄弟们研究 AI 杀毒技术。但是，病毒出自这个世界上最聪明的一票人之手，走位可谓飘忽+风骚。而现在的人工智能技术，很多时候看起来还相当智障，完全不是人类的对手。
所以，一股脑地把所有病毒代码直接交给 AI 去学，最后学出来的结果相当“凑合”。
王佳斌意识到，在这件事上，不能简单地把 AI 概念套用进来，而是要进入问题的本源，重新构建解决方案。他发现，如果回到反病毒的本质，安全研究员的实践经验非常重要——用代码作为基本学习元素，远远不如用行为作为基本元素效果好。于是，他们从一亿多病毒样本中，找到了几百万最有代表性的病毒，然后人工分出二十多个病毒行为种类。从这些行为里提炼出了近百个监控点。
这段有点抽象，我可以举个例子：
一个妹子判断你爱不爱他，需要看你的若干种行为，例如，情人节是否买花、女生节是否发红包给她、换了新发型你是否发现、淘宝购物车是否被你清空等等；
每种若干行为又可以分出具体的监控点。以发红包为例：你发红包的数额是、13.14还是1.314；你发红包的时间是早晨、中午还是晚上，是在她索要之前还是索要之后完成。。。
不得不说，妹子真是绝好的人工智能啊。。。
有点歪楼，总之AI 去学习的，是这些监控点的数据。这个过程，用专业词汇来说，就是对“语意”的选择。
在这张神经网络的示意图里，每一个点都代表一个“语意”。
这件事情搞定之后，王佳斌又面临下一个问题。
2nd 选什么算子
有了数据，接下来就是算法。算法的最小颗粒称为算子。所以王佳斌和团队的目标就是找到最合适的算子组合。
在这里，我们主要解决两个问题：
1、根据病毒行为序列，构建出一个“行为网格”的基本结构；
2、仔细把根据病毒类型细分，提升病毒检测的准确率。
王佳斌说。
由于加入了很多原创模型，需要调整不同的算子组合，这需要大量时间。在研发最初的四五个月时间里，王佳斌和团队都花在了算法调优上。
“反复进行了不下十轮迭代。”他回忆说。
3rd 性能、性能、性能
如果你已经看到了这里，说明你一定是懂安全的小伙伴。那你一定知道，性能对于安全软件来说意味着什么。如果一个安全应用胆敢占用太多系统资源，它的命运一定是被砍掉，死无葬身。
而这里，其实有个巨大的坑：对于系统的资源占用，并不是腾讯安全团队一家说了算的。
说白了，TRP-AI 是内嵌在系统 ROM 之中的底层杀毒技术，所以需要与手机厂商共同开发；
由于要运用人工智能运算，需要独立的 AI 芯片支持，所以也需要和芯片厂商共同开发。
实际上，为了促成这件事，腾讯必须和上下游的手机厂商和芯片厂商深度合作，共同调试，这也是他们正在做的。换句话说，他们的野心是：打通整个产业链。
王佳斌告诉我，最早版本的 TRP-AI 引擎，功耗在 20%-30%，单次运算时间在80毫秒。这个数据相当扎心。为了降低这个数字，团队和手机厂商芯片厂商来回磨合。
“目前我们把单次检测功耗控制在12%，单次运算时间在20毫秒。”王佳斌说，“但这个数字我还是非常不满意。”
他告诉我，为了继续提高性能，团队已经和谷歌沟通，协商在最新的 Android 8.1 版本上支持需要的算子，并且和芯片厂商联发科发布合作，在芯片底层支持所需的算子。
“预计下一代引擎的 CPU 占用率可以到达5%-8%，绝对不会超过10%了。”
这种几个百分点的执着，在一般人看来有点矫情。但是从专业的角度来看，这比命都重要。就像一台车，如果百公里加速只需要5-8秒，那它就是奥迪，如果需要12秒，那它就是奥拓。
而跑在系统底层的引擎要想可用，对性能有变态的要求。你不仅要让自己变成奥迪，甚至要变成迈巴赫阿斯顿马丁保时捷法拉利。
其实，已经有越来越多的芯片厂商在顶级芯片里加入了 AI 计算模块。毫无疑问，AI 计算会成为未来移动设备的标配。从这个角度讲，AI 杀毒能力也会成为未来移动安全的标配。从顶级厂商腾讯对 AI 杀毒的大力投入，也可以看出这种技术的前途。
三个故事讲完了。
为了研发一个对抗病毒的新武器，一队人马花费了一年多的时光。目之所及的未来，他们还将在这片斗场上厮杀多年。
你可能觉得他们的努力都是技术宅的繁杂冗长，毫不性感。但我仍然愿意花费笔墨把这些记录下来。
不妨说回文章开头的故事，那个安睡的午夜。
病毒之所以潜踪蹑行，正是因为手机已有的安全机制和杀毒软件为我们构建了基本的安全屏障。而这些架构，都源于数年前，安全研究员上万次无聊的、疲倦的尝试。
生活在今天，我们对身边的抗生素习以为常，你可能看不到它们拯救了多少人，但是一旦失去它，你会看到有多少人因此死去。
再自我介绍一下吧。我叫史中，是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友，可以关注微博：@史中方枪枪，或者搜索微信：shizhongst。
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点& 正文 & 安卓病毒寄生推爆发 两千多万用户受影响该如何避免？
安卓病毒寄生推爆发 两千多万用户受影响该如何避免？
　　近日，安卓病毒寄生推爆发，引起很多安卓用户的恐慌。据悉，此次安卓病毒寄生推潜在影响的用户超过2000万用户。那么，什么是&　　近日，安卓病毒&寄生推&爆发，引起很多安卓用户的恐慌。据悉，此次安卓病毒&寄生推&潜在影响的用户超过2000万用户。那么，什么是&寄生推&病毒呢?用户该如何避免?
　　什么是寄生推病毒
　　近日，腾讯TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)&&&寄生推&，通过预留的&后门&云控开启恶意功能，进行恶意广告行为和应用推广，以实现牟取灰色收益。目前已有300多款知名应用受&寄生推&SDK感染，潜在影响用户超2000万。
　　超300多款知名应用遭&寄生推&病毒&绑架&潜在影响超2000万用户
　　大量用户已经受到了&寄生推&推送SDK的影响。根据腾讯安全联合实验室反诈骗实验室大数据显示，已有数十万用户设备ROM内被植入相关的恶意子包，受到影响的设备会不断弹出广告和地下推广应用。此外，这些恶意子包可以绕过大多应用市场的安装包检测，导致受感染的应用混入应用市场，给用户和应用开发者带来重大损失。
　　更值得关注的是，感染&寄生推&SDK的知名应用中，不仅类型丰富，更是不乏用户超过千万的巨量级软件，&我们估测超过2000万用户都受此威胁&，腾讯安全联合实验室反诈骗实验室技术工程师雷经纬表示。
　　传播过程酷似&寄生虫&：强隐蔽性+强对抗性
　　&寄生推&不仅影响范围广，在传播路径上更是&煞费苦心&。据雷经纬介绍，该信息推送SDK的恶意传播过程非常隐蔽，从云端控制SDK中实际执行的代码，具有很强的隐蔽性和对抗杀毒软件的能力，与&寄生虫&非常类似，故将其命名为&寄生推&。
　　安卓病毒寄生推的传播过程
　　具体表现为，首先，其开发者通过使用代码分离和动态代码加载技术，完全掌握了下发代码包的控制权;随后，通过云端配置任意下发包含不同功能的代码包，实现恶意代码包和非恶意代码包之间的随时切换;最后在软件后台自动开启恶意功能，包括植入恶意应用到用户设备系统目录，进行恶意广告行为和应用推广等，最终实现牟取灰色收益。
　　如何远离手机中的&寄生虫&?安全专家三大建议
　　为了帮助用户避免&寄生推&推送SDK的危害，腾讯手机管家安全专家杨启波提出以下三点建议：其一，SDK开发者应尽可能的避免使用云控、热补丁等动态代码加载技术，要谨慎接入具有动态更新能力的SDK，防止恶意SDK影响自身应用的口碑;其二，用户在下载手机软件时，应通过应用宝等正规应用市场进行，避免直接在网页上点击安装不明软件。
　　同时，相关的专家也指出，安卓用户想要避免&寄生推&病毒侵蚀自己的手机，应该养成良好的安全使用手机习惯，定期使用第三方安全软件对手机进行检测，移除存在安全风险的应用。
本文地址: http://www.508net.com/zixun/377726.html腾讯TRP-AI反病毒引擎白皮书 - 腾讯安全联合实验室
腾讯TRP-AI反病毒引擎白皮书
发表时间：
&&&&&& 前言
一、Android病毒传播加剧传统对抗方式挑战
1.1&&&&&& 病毒“效能”增大，传统反病毒引擎难以提供实时保护
1.2&&&&&& 0Day病毒攻防技术提高，传统引擎对抗捉襟见肘
1.3&&&&&& 黑产企业化作案，Android终端安全对抗加剧
1.4&&&&&& 锁屏勒索病毒成黑客亚文化，引青少年入歧途
1.5&&&&&& 商业间谍软件横行，严重威胁企业和国家安全
&&&&&& 二、下一代反病毒引擎势在必行
2.1&&&&&& 当前传统反病毒引擎困局.
2.2&&&&&& 下一代引擎：实时行为检测—抗免杀、实时响应.
2.3&&&&&& 下一代引擎：AI反病毒—更智能、泛化
&&&&&& 三、腾讯TRP—AI反病毒引擎解决方案
3.1&&&&&& 腾讯TRP-AI反病毒引擎架构简介
3.2&&&&&& 腾讯TRP-AI反病毒引擎集成方案及检测效果
&&&&&& 关于腾讯安全反诈骗实验室
2017年，《中华人民共和国网络安全法》正式施行，网络安全从此有法可依，网络空间治理、网络信息传播秩序规范、网络犯罪惩治等从此翻开新篇章，对保障我国网络安全、维护国家总体安全具有深远而重大的意义。在顶层设计的指导下，安全厂商也给网络黑产带来了沉重打击。腾讯安全团队联合有关部门对色情诈骗、移动传销等网络犯罪进行有效打击，保障了亿万网民的信息与财产安全。
但值得警惕的是，网络安全形势依然严峻：WannaCry一夜之间全球爆发，至少150个国家、20万台电脑受到感染，且其中企业、教育机构、银行机构甚至政府机构为重灾区；WannaCry开启了勒索病毒元年，攻击者的目标将不再盯准个人电脑，而是大规模侵占教育机构、医疗机构、企业、银行甚至政府部门的网络设施，且攻击方式更加粗暴有效——病毒不再窃取资料以期变现，而是加密重要资料索要赎金。
与此同时，近年来被披露的APT攻击活动愈来愈多，针对企业、银行、政府机构等展开的有组织、有计划、有针对性的长时间不间断攻击一直在悄无声息的进行着；而随着国内互联网高速发展，中国的企业、政府机构将越来越多受国际关注，也将成为APT攻击对象。
2018年我国将正式启动网络强国建设三年行动，腾讯安全团队也必将响应国家号召，将AI技术更多的应用在终端安全建设，网络黑产打击等方面，以更为积极、开放式的心态，同企业、银行、政府部门合作，共同建设健康、安全的互联网生态，为建设网络强国贡献力量。
一、Android病毒传播加剧传统对抗方式挑战
Android病毒在当下的传播态势正在加剧传统对抗方式的挑战。2017年，Android平台新增病毒、风险包样本数达1494万，感染用户数1.88亿，数量依然骇人。受感染的终端用户中有近10%(1800 万)用户遭受0Day甚至NDay病毒威胁，导致隐私泄漏、财产受损。
另一方面，2017年，黑产制作恶意代码的技术水平持续提高，自动化免杀、恶意代码动态下发、恶意行为精准投放，产生大量0Day恶意代码。与此同时，黑产企业化作案，色情APP、应用推广成黑产“香饽饽”。而在色情APP诈骗后，“地下暗流”更是成为黑产主流产业链。
随着黑产从业者在技术能力纵深化、团队模式企业化、变现渠道多样化，Android终端病毒对抗加剧，传统反病毒引擎受到巨大挑战。
1.1 病毒“效能”增大，传统反病毒引擎难以提供实时保护
2017年每月Android平台新增病毒包数量平均为124万个，其中4月病毒包数量最多，达到170万个；2017年4月，腾讯安全团队先后协助武汉、大连、广东警方，捣毁了3个大型公司化运营色情诱导诈骗团伙及其黑色产业链。此后新增病毒包数持续呈下降趋势，证实联合打击活动起到一定效果。
然而值得注意的是，至犯罪团伙被打击抓捕前，已有近百万终端用户受感染，被骗金额累计达6亿。传统杀毒引擎虽然可以及时响应并查杀病毒，配合现有成熟的云查技术更是可以将响应时间降低至一天甚至数小时内，但响应再及时依然无法阻止已感染用户遭受病毒威胁，阻断用户隐私泄漏、财产损失。
2017年度，Android端感染病毒的用户总数为1.88亿。其中腾讯手机管家首次检出、查杀的、影响极大的“地下暗流”系列病毒，被安全人员发现时已感染超过千万用户；即，受病毒威胁用户中，有10%左右用户已遭受0Day或NDay病毒的威胁。
1.2 0Day病毒攻防技术提高，传统引擎对抗捉襟见肘
2017年腾讯安全团队共捕获新增加固应用超过400万个，其中7.2%为恶意应用，16%为含有广告插件的非官方应用。黑产不断提升恶意代码免杀技术，通过自动化免杀工具、动态下发加载playload、云控指令触发恶意行为等手段，制造大量0Day病毒绕过反病毒引擎查杀，给传统杀毒引擎带来了不小挑战。
2017年全球黑客大会BlackHat
USA上，知名黑客发布自动化免杀工具AVPASS，任何黑客可通过此工具快速构造大量Android免杀病毒躲避传统杀软查杀。通过实验证明传统杀毒引擎对于通过AVPASS工具批量化制造的免杀病毒查杀率仅为5.8%。
除此之之外，腾讯安全团队还曾监测到，目前存在大量0Day病毒应用，通过精准的云控恶意代码投放，避免大范围的通杀，有效做到大量用户感染，躲避杀毒软件查杀，精准恶意代码触发。
2017年腾讯安全团队监测到一个现象：VirtualApp技术被广泛使用于黑产中，VirtualApp是一个App虚拟化引擎（简称VA），运行在VA中的APK无需在外部安装，即VA支持免安装运行APK。
根据腾讯安全团队监测发现，目前使用VA技术的应用中，44.01%为风险应用，1.85%为病毒应用，仅8.86%为安全应用。
1.3 黑产企业化作案，Android终端安全对抗加剧
2017年，腾讯安全团队陆续发现大量“地下暗流”系列病毒，这个系列病毒通过在用户不知情的状态下，暗中推送大量APP赚取广告费，其推送的APP多为主流推广应用(投入大量广告费用于推广)和恶意应用。
腾讯安全团队首次查杀此系列病毒时，已有累计近1000万用户感染此系列病毒，并已遭受隐私泄漏、资费消耗等威胁。
黑产逐步完成自身产业洗牌、升级，作案越来越企业化、高技术化，传统反病毒引擎亟需提升对于0Day病毒的实时查杀、响应能力。
?&& 揭秘控制百万肉鸡的GhostFramework
今年9月，腾讯安全反诈骗实验室发现一恶意后门程序GhostFramework已感染将近200万手机用户。中招的手机将成为“肉鸡”，被GhostFramework从云端下发的控制命令执行三项作恶行为：
1.&&& 对百度搜索、360搜索、天猫、等广告平台通过模拟点击广告、模拟搜索、模拟表单填写、下载等操作进行刷量
2.&&& 对手机弹恶意推广广告
3.&&& 对手机安装不明应用
通过腾讯安全团队对线索的溯源分析，GhostFramework感染区域高度聚集, 大部分的影响用户都位于浙江省境内, 主要影响宁波、杭州、温州、台州、嘉兴、金华等地，根据多方面综合信息，推测这些应用触及用户的渠道，主要在线下手机营业厅。
?&& Magiclamp广告病毒家族：寄生于应用市场的广告牛皮藓
无独有偶，2017年11月腾讯安全反诈骗实验室监测某黑产团伙开发一种有免杀功能的病毒性SDK, 这种名叫Magiclamp广告病毒通过和开发者合作、重打包等方式植入到大量应用中, 通过应用市场、软件下载站等渠道被用户下载安装，主要的危害是对用户进行恶意广告推广，并以此方式盈利。
?&& 地下暗流系列：TigerEyeing病毒云控推广上千应用
2017年12月，腾讯安全反诈骗实验室通过自研AI引擎——腾讯TRP-AI反病毒引擎从海量样本中监测到一个后门病毒家族TigerEyeing，通过开源插件框架DroidPlugin来实现恶意插件动态下发，通过云端配置恶意插件列表来实现应用恶意推广、流氓广告等行为。
通过AI聚类关联发现，TigerEyeing病毒主要通过以下方式进行传播：
游戏、伪色情应用等root类病毒注入系统rom内
伪装成系统应用并通过线下渠道进行推广
1.4 锁屏勒索病毒成黑客亚文化，引青少年入歧途
虽然2017年，Android终端勒索病毒样本数量与感染用户数并未达到骇人的地步，但其带来的社会影响却十分恶劣。
通过对勒索病毒样本开发者进行溯源可以发现，勒索病毒开发者建立了各种QQ群、兴趣部落，这些QQ群一方面作为解锁赎金收取渠道，另一方面群内还通过百度云、贴吧等方式售卖锁机源码、教程、插件、教学视频，传播勒索病毒。
受害者加入群之后，往往被诱惑成为黑产下线，利用群内兜售的教程向他人发起二次攻击，转变为“菜鸟黑客”，进一步扩大病毒的传播范围，影响恶劣。其中00后、90后等学生是被诱惑的主体对象，青少年往往因感觉“黑客”很酷、勒索病毒“很牛”而向制作者“拜师学艺”，成为下一个病毒制作者。
当前市面在传播中的移动终端勒索病毒，其开发、免杀技术都十分稚嫩，感染人群也十分有限；但其形成的“黑客”亚文化对青少年的价值观、道德观有严重的误导能力，引诱一批批青少年成为以勒索他人、炫耀“黑客”技术为荣的黑产下线，带来了极其恶劣的社会影响。
1.5 商业间谍软件横行，严重威胁企业和国家安全
移动智能终端已成为人们生活、工作中必不可少的部分，移动办公也被越来越多互联网公司接受并逐步施行。而攻击者的目光也盯上了企业员工的移动设备。
2017年4月，卡巴斯基披露了一款跨iOS和Android平台的商业间谍软件——Pegasus。Pegasus出自专门开发间谍软件的以色列公司——NSO集团之手，利用三个iOS 0Day漏洞静默越狱目标设备并监控目标设备：读取短信、邮件、监听电话、捕捉屏幕、记录按键、窃取浏览器历史记录、通讯录等。而在Android设备上则使用Framaroot获取root权限，全天候监控目标设备。
2017年12月，趋势科技的安全研究人员发现一款新型移动恶意软件“GnatSpy”，据分析推测该恶意软件与臭名昭著的威胁组织APT-C-23（“双尾蝎”）有关。研究人员认为，GnatSpy是“双尾蝎”常用的VAMP移动恶意软件的变种，且比VAMP更加危险。2016年 5月至2017年3月，“双尾蝎”组织瞄准中东地区，对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击，攻击平台主要包括Windows 与 Android。
商业间谍软件往往具有更高的技术水平、更长的研发周期、更完善的间谍功能，其所面向的客户往往为商业间谍甚至国家间谍；攻击者往往不吝于花高额的软件费，将商业间谍软件用于企业间、组织间甚至国家间的间谍活动。
随着移动设备越来越多参与到企业办公网络甚至内网中，而移动设备往往难以明确划分员工个人生活与办公的边界，使得商业甚至国家级的APT活动更多的开始利用移动设备作为突破口。
面对商业间谍软件的横行，企业、重点机构乃至政府部门急需更为完善、有效、安全的反APT安全解决方案。
二、下一代反病毒引擎势在必行
随着当前病毒大量使用免杀、加固、动态加载等技术，同时通过大规模的公司化、企业化运作躲避安全厂商查杀，恶意代码往往通过云端进行定时、定向、可控的下发传播，执行完恶意行为后即潜伏下来等待下一次指令(更有甚者会删除自身)。
传统反病毒引擎应对方案逐渐捉襟见肘，越来越多响应不及时、难以及时止损、0Day病毒发现难等问题摆在反病毒引擎运营人员面前。安全厂商亟需利用新的技术或解决方案突破当前反病毒困局。
2.1 当前传统反病毒引擎困局
传统反病毒引擎应对策略大致流程如下：
从上图可以看到，传统反病毒引擎要查杀某病毒，首先必须通过主动或被动的采集方式(网络爬虫、蜜罐、业内样本交换、用户上报等方式)获取病毒样本，然后利用已有的安全运营人员和系统对病毒样本进行细致化的代码逆向分析、动态行为分析，了解病毒的运行机制与作案原理后，安全运营人员会提取特征码或设定病毒查杀策略下发至反病毒引擎的特征库中，至此，传统反病毒引擎即可对病毒进行查杀。
当前大部分反病毒引擎通过引入云查模式来优化流程，降低响应时长，但依然是传统反病毒引擎的应对模式，仅能做到尽量降低响应时长，而未能跳出传统反病毒引擎固有模式。
而随着当前病毒攻防技术的提高，自动化免杀工具、payload动态下发、加载技术的使用，使得“0Day”病毒越来越多，样本捕获难度高(捕获周期长、捕获渠道少)、逆向/动态分析对抗严重，造成当前传统反病毒引擎捕获难、分析成本高的困局。
传统反病毒引擎在与当前病毒对抗中，从人力、终端权限、攻防战术站位上均处于劣势，这也是安全厂商亟需解决的反病毒引擎困局。
(攻击方天然优势——攻击者可通过各种手段，从各个入口，只要找到一个薄弱点对其进行攻击即可达到目的，而防守方则需要考虑到方方面面，稍有疏忽则会被攻击者抓住漏洞。)
2.2 下一代引擎：实时行为检测—抗免杀、实时响应
当前黑产通过企业化作案，利用完善的自动化免杀、动态下发、加载甚至VA等技术，提升恶意代码的隐藏能力，延长了传统反病毒引擎的响应窗口期，在窗口期快速感染大量用户，并远程控制用户终端设备多渠道、多方式的进行快速变现。
下一代反病毒引擎必将通过技术手段弥补传统反病毒引擎的不足，通过实时的敏感行为检测技术，实时监测未知应用的敏感后台操作，结合已知病毒行为知识库，对病毒行为进行跟踪与预测，对未知应用的恶意操作做到监测、预测、感知与阻断。
通过实时行为检测技术，下一代反病毒引擎必然可以对0Day病毒、自动化免杀病毒、动态下发&加载型病毒进行实时监测与恶意行为阻断，0s响应时间保护用户终端安全。
2.3 下一代引擎：AI反病毒—更智能、泛化
2017 年无疑是 AI 蓬勃发展的一年。当前，AI技术在语音、图像、人机交互等领域取得了巨大成就，甚至AI在黑产领域也得到了“有效”应用——国内最大打码平台“快啊答题”利用AI破解登录验证码。
而在移动互联网终端上，AI的发展也十分快速：
& Android 8.1 神经网络API支持TensorFlow，Caffe2
&高通骁龙845，加速SNPE神经网络引擎SDK
& 华为麒麟970芯片推出AI计算单元 NPU
2018年 Q1 联发科和三星也即将推出AI智能芯片
随着越来越多终端设备支持AI计算，AI将越来越广泛的应用于终端设备的图像识别、语音识别、自然语言处理等场景。
同时，下一代反病毒引擎也将把AI应用于终端安全场景，利用AI技术实现更加智能化的病毒对抗；通过机器深度学习，下一代引擎将保持持续的自学习自适应能力，自动化、智能化跟进病毒的行为演进，并快病毒一步的进行病毒行为预测和识别、阻断。
三、腾讯TRP—AI反病毒引擎解决方案
传统引擎响应时间成为当前恶意代码突破口，大量恶意代码通过自动化免杀、加固、动态下发恶意代码、云控指令绕过反病毒引擎查杀，并在传统反病毒引擎发现至响应的空白窗口时间内进行作恶，这个窗口期越长，给用户带来的危害越大。
虽然通过成熟的云查反病毒技术可以尽量缩减此窗口期，但窗口期依然存在，这就需要安全厂商升级反病毒引擎，提供一个实时响应、抗免杀技术强、非样本库依赖的更加智能的反病毒引擎。
腾讯安全团队为应对未来严峻的安全挑战，配合腾讯高度成熟的AI技术，基于AI芯片的独立计算能力，自主研发了AI反病毒引擎——腾讯TRP-AI反病毒引擎，通过成熟的AI技术对应用行为的深度学习，配合系统层的行为监控能力，基于AI芯片的独立、高效的计算能力，配合传统安全引擎，有效解决未知应用所带来的安全风险，实时识别并阻断恶意行为，做到低功耗、高智能的实时终端安全防护。
3.1 腾讯TRP-AI反病毒引擎架构简介
腾讯TRP-AI反病毒引擎，是基于腾讯先进的AI应用场景研究，结合腾讯安全团队长期对Android平台恶意代码检测、对抗的工作经验，设计的实时行为监测、抗免杀技术强、深度学习的AI反病毒引擎。
通过简单的集成，腾讯TRP-AI反病毒引擎即可通过framework层监控桩点对应用敏感行为进行监控，并将行为数据脱敏构造成行为序列；利用腾讯先进的AI反病毒模型，基于AI芯片的计算能力进行独立、安全的反病毒检测，判断应用行为是否恶意；前端通过安全应用进行结果展示和用户授权交互，可及时阻断恶意行为，卸载恶意应用，为用户提供实时安全防护。
云端搭建大量集群用于沙箱体系构造、海量样本行为提取、深度学习，实时训练生成最新的AI模型用以保障前端用户AI引擎的模型更新；同时，为减轻终端设备计算压力，腾讯TRP-AI反病毒引擎同时支持行为向量安全云查服务，利用云端集群计算能力保障前端响应的实时性和低计算压力。
腾讯TRP-AI反病毒引擎具有如下特性：
?&& 基于真实运行行为，无需收集样本，即可查杀未知病毒
?&& 基于系统层监控，从底层有效对抗免杀技术
?&& 终端行为实时不间断监控，精准查杀潜伏木马，防止隐私窃取
?&& AI模型云端训练，终端借助AI芯片检测，低CPU消耗、低时延、省流量
?&& 基于神经网络的AI模型，训练过程完全自动化，运营成本大大降低，发现未知病毒的周期大大缩短
3.2 腾讯TRP-AI反病毒引擎集成方案及检测效果
腾讯TRP-AI反病毒引擎集成的工作量不大。腾讯将向合作方提供完整的桩点列表和SDK接口说明，合作方(OEM厂商)开发人员仅需参照列表在framework层打上桩点，和AI引擎对接上即可，其余所有组件都由腾讯以SDK的形式提供。
相较于传统引擎，腾讯TRP-AI反病毒引擎具有抗免杀、高性能、实时防护、可检测0Day病毒等优势，腾讯TRP-AI反病毒引擎测试数据如下：
病毒检测的覆盖率90%
病毒检测准确率98%
病毒发现能力提升8%
病毒发现速度提升12%
病毒发现快于病毒传播的占比提升到92%
检测耗时30ms，远低于传统引擎的100~200ms
平均性能消耗保障对设备使用体验零影响
关于腾讯安全反诈骗实验室
腾讯安全反诈骗实验室系中国首个安全实验室矩阵——腾讯安全联合实验室旗下的子实验室之一，与科恩实验室、玄武实验室、湛泸实验室、云鼎实验室、反病毒实验室、移动安全实验室，共同组成体系性的安全解决方案，专注安全技术研究及安全攻防体系搭建，安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域。
作为联合业界一起基于大数据的方法，构建基于终端、管道和云端全覆盖的创新黑产分析和阻击模式的研究中心，腾讯安全反诈骗实验室目前以安全云库，智能反诈骗引擎，反诈骗专家智库三大核心利器守护网络安全。
不断深耕安全能力的同时，腾讯安全反诈骗实验秉承开放、联合、共享持续赋能社会各界。在刚刚过去的2017年中，腾讯安全反诈骗实验室先后与国家食药总局、国家工商总局、北京市金融工作局、深圳市金融办达成战略合作，共同探索政企合作打击黑产模式，并创建互联网食药大数据监管指数平台、网络传销态势感知平台、大数据金融安全监管科技平台，协助国家政府职能机构提升在食药安全、反传销、反金融欺诈等领域的监管能力。
同时为了更加高效地打击愈来愈“产业化、智能化、国际化”的网络犯罪，腾讯安全反诈骗实验室通过灵鲲、神侦、网络态势感知、鹰眼、麒麟、神羊、神荼等十余款反诈骗产品共同组建而成的反诈骗智慧大脑，构建了全链条的防护体系，能够在诈骗的事前、事中以及案情分析等关键环节起到作用,为警方以及金融、食品药监、通讯等监管部门提供了全方位的人工智能+大数据反诈骗体系。