騰訊御安全之AI反病毒引擎白皮書

騰訊御安全之AI反病毒引擎白皮書

【關(guān)鍵詞：騰訊御安全，Android應(yīng)用加固，應(yīng)用安全，移動應(yīng)用保護(hù)】

騰訊安全團(tuán)隊聯(lián)合有關(guān)部門對×××詐騙、移動傳銷等網(wǎng)絡(luò)犯罪進(jìn)行有效打擊，保障了億萬網(wǎng)民的信息與財產(chǎn)安全。

引言

2017年，《×××網(wǎng)絡(luò)安全法》正式施行，網(wǎng)絡(luò)安全從此有法可依，網(wǎng)絡(luò)空間治理、網(wǎng)絡(luò)信息傳播秩序規(guī)范、網(wǎng)絡(luò)犯罪懲治等從此翻開新篇章，對保障我國網(wǎng)絡(luò)安全、維護(hù)國家總體安全具有深遠(yuǎn)而重大的意義。在頂層設(shè)計的指導(dǎo)下，安全廠商也給網(wǎng)絡(luò)黑產(chǎn)帶來了沉重打擊。騰訊安全團(tuán)隊聯(lián)合有關(guān)部門對×××詐騙、移動傳銷等網(wǎng)絡(luò)犯罪進(jìn)行有效打擊，保障了億萬網(wǎng)民的信息與財產(chǎn)安全。

但值得警惕的是，網(wǎng)絡(luò)安全形勢依然嚴(yán)峻：WannaCry一夜之間全球爆發(fā)，至少150個國家、20萬臺電腦受到感染，且其中企業(yè)、教育機(jī)構(gòu)、銀行機(jī)構(gòu)甚至政府機(jī)構(gòu)為重災(zāi)區(qū)；WannaCry開啟了勒索病毒元年，***者的目標(biāo)將不再盯準(zhǔn)個人電腦，而是大規(guī)模侵占教育機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)、企業(yè)、銀行甚至政府部門的網(wǎng)絡(luò)設(shè)施，且***方式更加粗暴有效——病毒不再竊取資料以期變現(xiàn)，而是加密重要資料索要贖金。

與此同時，近年來被披露的APT***活動愈來愈多，針對企業(yè)、銀行、政府機(jī)構(gòu)等展開的有組織、有計劃、有針對性的長時間不間斷***一直在悄無聲息的進(jìn)行著；而隨著國內(nèi)互聯(lián)網(wǎng)高速發(fā)展，中國的企業(yè)、政府機(jī)構(gòu)將越來越多受國際關(guān)注，也將成為APT***對象。

2018年我國將正式啟動網(wǎng)絡(luò)強(qiáng)國建設(shè)三年行動，騰訊安全團(tuán)隊也必將響應(yīng)國家號召，將AI技術(shù)更多的應(yīng)用在終端安全建設(shè)，網(wǎng)絡(luò)黑產(chǎn)打擊等方面，以更為積極、開放式的心態(tài)，同企業(yè)、銀行、政府部門合作，共同建設(shè)健康、安全的互聯(lián)網(wǎng)生態(tài)，為建設(shè)網(wǎng)絡(luò)強(qiáng)國貢獻(xiàn)力量。

一、Android病毒傳播加劇傳統(tǒng)對抗方式挑戰(zhàn)

Android病毒在當(dāng)下的傳播態(tài)勢正在加劇傳統(tǒng)對抗方式的挑戰(zhàn)。2017年，Android平臺新增病毒、風(fēng)險包樣本數(shù)達(dá)1494萬，感染用戶數(shù)1.88億，數(shù)量依然駭人。受感染的終端用戶中有近10%(1800 萬)用戶遭受0Day甚至NDay病毒威脅，導(dǎo)致隱私泄漏、財產(chǎn)受損。

另一方面，2017年，黑產(chǎn)制作惡意代碼的技術(shù)水平持續(xù)提高，自動化免殺、惡意代碼動態(tài)下發(fā)、惡意行為精準(zhǔn)投放，產(chǎn)生大量0Day惡意代碼。與此同時，黑產(chǎn)企業(yè)化作案，×××APP、應(yīng)用推廣成黑產(chǎn)“香餑餑”。而在×××APP詐騙后，“地下暗流”更是成為黑產(chǎn)主流產(chǎn)業(yè)鏈。

隨著黑產(chǎn)從業(yè)者在技術(shù)能力縱深化、團(tuán)隊模式企業(yè)化、變現(xiàn)渠道多樣化，Android終端病毒對抗加劇，傳統(tǒng)反病毒引擎受到巨大挑戰(zhàn)。

1.1 病毒“效能”增大，傳統(tǒng)反病毒引擎難以提供實(shí)時保護(hù)

2017年每月Android平臺新增病毒包數(shù)量平均為124萬個，其中4月病毒包數(shù)量最多，達(dá)到170萬個；2017年4月，騰訊安全團(tuán)隊先后協(xié)助武漢、大連、廣東警方，搗毀了3個大型公司化運(yùn)營×××誘導(dǎo)詐騙團(tuán)伙及其黑色產(chǎn)業(yè)鏈。此后新增病毒包數(shù)持續(xù)呈下降趨勢，證實(shí)聯(lián)合打擊活動起到一定效果。

然而值得注意的是，至犯罪團(tuán)伙被打擊抓捕前，已有近百萬終端用戶受感染，被騙金額累計達(dá)6億。傳統(tǒng)殺毒引擎雖然可以及時響應(yīng)并查殺病毒，配合現(xiàn)有成熟的云查技術(shù)更是可以將響應(yīng)時間降低至一天甚至數(shù)小時內(nèi)，但響應(yīng)再及時依然無法阻止已感染用戶遭受病毒威脅，阻斷用戶隱私泄漏、財產(chǎn)損失。

2017年度，Android端感染病毒的用戶總數(shù)為1.88億。其中騰訊手機(jī)管家首次檢出、查殺的、影響極大的“地下暗流”系列病毒，被安全人員發(fā)現(xiàn)時已感染超過千萬用戶；即，受病毒威脅用戶中，有10%左右用戶已遭受0Day或NDay病毒的威脅。

1.2 0Day病毒***技術(shù)提高，傳統(tǒng)引擎對抗捉襟見肘

2017年騰訊安全團(tuán)隊共捕獲新增加固應(yīng)用超過400萬個，其中7.2%為惡意應(yīng)用，16%為含有廣告插件的非官方應(yīng)用。黑產(chǎn)不斷提升惡意代碼免殺技術(shù)，通過自動化免殺工具、動態(tài)下發(fā)加載playload、云控指令觸發(fā)惡意行為等手段，制造大量0Day病毒繞過反病毒引擎查殺，給傳統(tǒng)殺毒引擎帶來了不小挑戰(zhàn)。

2017年全球***大會BlackHat USA上，知名***發(fā)布自動化免殺工具AVPASS，任何***可通過此工具快速構(gòu)造大量Android免殺病毒躲避傳統(tǒng)殺軟查殺。通過實(shí)驗證明傳統(tǒng)殺毒引擎對于通過AVPASS工具批量化制造的免殺病毒查殺率僅為5.8%。

除此之之外，騰訊安全團(tuán)隊還曾監(jiān)測到，目前存在大量0Day病毒應(yīng)用，通過精準(zhǔn)的云控惡意代碼投放，避免大范圍的通殺，有效做到大量用戶感染，躲避殺毒軟件查殺，精準(zhǔn)惡意代碼觸發(fā)。

2017年騰訊安全團(tuán)隊監(jiān)測到一個現(xiàn)象：VirtualApp技術(shù)被廣泛使用于黑產(chǎn)中，VirtualApp是一個App虛擬化引擎（簡稱VA），運(yùn)行在VA中的APK無需在外部安裝，即VA支持免安裝運(yùn)行APK。

根據(jù)騰訊安全團(tuán)隊監(jiān)測發(fā)現(xiàn)，目前使用VA技術(shù)的應(yīng)用中，44.01%為風(fēng)險應(yīng)用，1.85%為病毒應(yīng)用，僅8.86%為安全應(yīng)用。

1.3 黑產(chǎn)企業(yè)化作案，Android終端安全對抗加劇

2017年，騰訊安全團(tuán)隊陸續(xù)發(fā)現(xiàn)大量“地下暗流”系列病毒，這個系列病毒通過在用戶不知情的狀態(tài)下，暗中推送大量APP賺取廣告費(fèi)，其推送的APP多為主流推廣應(yīng)用(投入大量廣告費(fèi)用于推廣)和惡意應(yīng)用。

騰訊安全團(tuán)隊首次查殺此系列病毒時，已有累計近1000萬用戶感染此系列病毒，并已遭受隱私泄漏、資費(fèi)消耗等威脅。
黑產(chǎn)逐步完成自身產(chǎn)業(yè)洗牌、升級，作案越來越企業(yè)化、高技術(shù)化，傳統(tǒng)反病毒引擎亟需提升對于0Day病毒的實(shí)時查殺、響應(yīng)能力。

揭秘控制百萬肉雞的GhostFramework

今年9月，騰訊安全反詐騙實(shí)驗室發(fā)現(xiàn)一惡意后門程序GhostFramework已感染將近200萬手機(jī)用戶。中招的手機(jī)將成為“肉雞”，被GhostFramework從云端下發(fā)的控制命令執(zhí)行三項作惡行為：

1. 對百度搜索、360搜索、天貓、等廣告平臺通過模擬點(diǎn)擊廣告、模擬搜索、模擬表單填寫、下載等操作進(jìn)行刷量
2. 對手機(jī)彈惡意推廣廣告
3. 對手機(jī)安裝不明應(yīng)用

通過騰訊安全團(tuán)隊對線索的溯源分析，GhostFramework感染區(qū)域高度聚集, 大部分的影響用戶都位于浙江省境內(nèi), 主要影響寧波、杭州、溫州、臺州、嘉興、金華等地，根據(jù)多方面綜合信息，推測這些應(yīng)用觸及用戶的渠道，主要在線下手機(jī)營業(yè)廳。

Magiclamp廣告病毒家族：寄生于應(yīng)用市場的廣告牛皮蘚

無獨(dú)有偶，2017年11月騰訊安全反詐騙實(shí)驗室監(jiān)測某黑產(chǎn)團(tuán)伙開發(fā)一種有免殺功能的病毒性SDK, 這種名叫Magiclamp廣告病毒通過和開發(fā)者合作、重打包等方式植入到大量應(yīng)用中, 通過應(yīng)用市場、軟件下載站等渠道被用戶下載安裝，主要的危害是對用戶進(jìn)行惡意廣告推廣，并以此方式盈利。

地下暗流系列：TigerEyeing病毒云控推廣上千應(yīng)用

2017年12月，騰訊安全反詐騙實(shí)驗室通過自研AI引擎——騰訊TRP-AI反病毒引擎從海量樣本中監(jiān)測到一個后門病毒家族TigerEyeing，通過開源插件框架DroidPlugin來實(shí)現(xiàn)惡意插件動態(tài)下發(fā)，通過云端配置惡意插件列表來實(shí)現(xiàn)應(yīng)用惡意推廣、流氓廣告等行為。

通過AI聚類關(guān)聯(lián)發(fā)現(xiàn)，TigerEyeing病毒主要通過以下方式進(jìn)行傳播：
游戲、偽×××應(yīng)用等root類病毒注入系統(tǒng)rom內(nèi)
偽裝成系統(tǒng)應(yīng)用并通過線下渠道進(jìn)行推廣

1.4 鎖屏勒索病毒成***亞文化，引青少年入歧途

雖然2017年，Android終端勒索病毒樣本數(shù)量與感染用戶數(shù)并未達(dá)到駭人的地步，但其帶來的社會影響卻十分惡劣。

通過對勒索病毒樣本開發(fā)者進(jìn)行溯源可以發(fā)現(xiàn)，勒索病毒開發(fā)者建立了各種QQ群、興趣部落，這些QQ群一方面作為解鎖贖金收取渠道，另一方面群內(nèi)還通過百度云、貼吧等方式售賣鎖機(jī)源碼、教程、插件、教學(xué)視頻，傳播勒索病毒。

受害者加入群之后，往往被誘惑成為黑產(chǎn)下線，利用群內(nèi)兜售的教程向他人發(fā)起二次***，轉(zhuǎn)變?yōu)椤安锁B***”，進(jìn)一步擴(kuò)大病毒的傳播范圍，影響惡劣。其中00后、90后等學(xué)生是被誘惑的主體對象，青少年往往因感覺“***”很酷、勒索病毒“很?！倍蛑谱髡摺鞍輲煂W(xué)藝”，成為下一個病毒制作者。

當(dāng)前市面在傳播中的移動終端勒索病毒，其開發(fā)、免殺技術(shù)都十分稚嫩，感染人群也十分有限；但其形成的“***”亞文化對青少年的價值觀、道德觀有嚴(yán)重的誤導(dǎo)能力，引誘一批批青少年成為以勒索他人、炫耀“***”技術(shù)為榮的黑產(chǎn)下線，帶來了極其惡劣的社會影響。

1.5 商業(yè)間諜軟件橫行，嚴(yán)重威脅企業(yè)和國家安全

移動智能終端已成為人們生活、工作中必不可少的部分，移動辦公也被越來越多互聯(lián)網(wǎng)公司接受并逐步施行。而***者的目光也盯上了企業(yè)員工的移動設(shè)備。

2017年4月，卡巴斯基披露了一款跨iOS和Android平臺的商業(yè)間諜軟件——Pegasus。Pegasus出自專門開發(fā)間諜軟件的以色列公司——NSO集團(tuán)之手，利用三個iOS 0Day漏洞靜默越獄目標(biāo)設(shè)備并監(jiān)控目標(biāo)設(shè)備：讀取短信、郵件、監(jiān)聽電話、捕捉屏幕、記錄按鍵、竊取瀏覽器歷史記錄、通訊錄等。而在Android設(shè)備上則使用Framaroot獲取root權(quán)限，全天候監(jiān)控目標(biāo)設(shè)備。

2017年12月，趨勢科技的安全研究人員發(fā)現(xiàn)一款新型移動惡意軟件“GnatSpy”，據(jù)分析推測該惡意軟件與臭名昭著的威脅組織APT-C-23（“雙尾蝎”）有關(guān)。研究人員認(rèn)為，GnatSpy是“雙尾蝎”常用的VAMP移動惡意軟件的變種，且比VAMP更加危險。2016年 5月至2017年3月，“雙尾蝎”組織瞄準(zhǔn)中東地區(qū)，對巴勒斯坦教育機(jī)構(gòu)、軍事機(jī)構(gòu)等重要領(lǐng)域展開了有組織、有計劃、有針對性的長時間不間斷***，***平臺主要包括Windows 與 Android。

商業(yè)間諜軟件往往具有更高的技術(shù)水平、更長的研發(fā)周期、更完善的間諜功能，其所面向的客戶往往為商業(yè)間諜甚至國家間諜；***者往往不吝于花高額的軟件費(fèi)，將商業(yè)間諜軟件用于企業(yè)間、組織間甚至國家間的間諜活動。

隨著移動設(shè)備越來越多參與到企業(yè)辦公網(wǎng)絡(luò)甚至內(nèi)網(wǎng)中，而移動設(shè)備往往難以明確劃分員工個人生活與辦公的邊界，使得商業(yè)甚至國家級的APT活動更多的開始利用移動設(shè)備作為突破口。

面對商業(yè)間諜軟件的橫行，企業(yè)、重點(diǎn)機(jī)構(gòu)乃至政府部門急需更為完善、有效、安全的反APT安全解決方案。

二、下一代反病毒引擎勢在必行

隨著當(dāng)前病毒大量使用免殺、加固、動態(tài)加載等技術(shù)，同時通過大規(guī)模的公司化、企業(yè)化運(yùn)作躲避安全廠商查殺，惡意代碼往往通過云端進(jìn)行定時、定向、可控的下發(fā)傳播，執(zhí)行完惡意行為后即潛伏下來等待下一次指令(更有甚者會刪除自身)。

傳統(tǒng)反病毒引擎應(yīng)對方案逐漸捉襟見肘，越來越多響應(yīng)不及時、難以及時止損、0Day病毒發(fā)現(xiàn)難等問題擺在反病毒引擎運(yùn)營人員面前。安全廠商亟需利用新的技術(shù)或解決方案突破當(dāng)前反病毒困局。

2.1 當(dāng)前傳統(tǒng)反病毒引擎困局

傳統(tǒng)反病毒引擎應(yīng)對策略大致流程如下：

從上圖可以看到，傳統(tǒng)反病毒引擎要查殺某病毒，首先必須通過主動或被動的采集方式(網(wǎng)絡(luò)爬蟲、蜜罐、業(yè)內(nèi)樣本交換、用戶上報等方式)獲取病毒樣本，然后利用已有的安全運(yùn)營人員和系統(tǒng)對病毒樣本進(jìn)行細(xì)致化的代碼逆向分析、動態(tài)行為分析，了解病毒的運(yùn)行機(jī)制與作案原理后，安全運(yùn)營人員會提取特征碼或設(shè)定病毒查殺策略下發(fā)至反病毒引擎的特征庫中，至此，傳統(tǒng)反病毒引擎即可對病毒進(jìn)行查殺。

當(dāng)前大部分反病毒引擎通過引入云查模式來優(yōu)化流程，降低響應(yīng)時長，但依然是傳統(tǒng)反病毒引擎的應(yīng)對模式，僅能做到盡量降低響應(yīng)時長，而未能跳出傳統(tǒng)反病毒引擎固有模式。

而隨著當(dāng)前病毒***技術(shù)的提高，自動化免殺工具、payload動態(tài)下發(fā)、加載技術(shù)的使用，使得“0Day”病毒越來越多，樣本捕獲難度高(捕獲周期長、捕獲渠道少)、逆向/動態(tài)分析對抗嚴(yán)重，造成當(dāng)前傳統(tǒng)反病毒引擎捕獲難、分析成本高的困局。
傳統(tǒng)反病毒引擎在與當(dāng)前病毒對抗中，從人力、終端權(quán)限、***戰(zhàn)術(shù)站位上均處于劣勢，這也是安全廠商亟需解決的反病毒引擎困局。

(***方天然優(yōu)勢——***者可通過各種手段，從各個入口，只要找到一個薄弱點(diǎn)對其進(jìn)行***即可達(dá)到目的，而防守方則需要考慮到方方面面，稍有疏忽則會被***者抓住漏洞。)

2.2 下一代引擎：實(shí)時行為檢測—抗免殺、實(shí)時響應(yīng)

當(dāng)前黑產(chǎn)通過企業(yè)化作案，利用完善的自動化免殺、動態(tài)下發(fā)、加載甚至VA等技術(shù)，提升惡意代碼的隱藏能力，延長了傳統(tǒng)反病毒引擎的響應(yīng)窗口期，在窗口期快速感染大量用戶，并遠(yuǎn)程控制用戶終端設(shè)備多渠道、多方式的進(jìn)行快速變現(xiàn)。

下一代反病毒引擎必將通過技術(shù)手段彌補(bǔ)傳統(tǒng)反病毒引擎的不足，通過實(shí)時的敏感行為檢測技術(shù)，實(shí)時監(jiān)測未知應(yīng)用的敏感后臺操作，結(jié)合已知病毒行為知識庫，對病毒行為進(jìn)行跟蹤與預(yù)測，對未知應(yīng)用的惡意操作做到監(jiān)測、預(yù)測、感知與阻斷。

通過實(shí)時行為檢測技術(shù)，下一代反病毒引擎必然可以對0Day病毒、自動化免殺病毒、動態(tài)下發(fā)&加載型病毒進(jìn)行實(shí)時監(jiān)測與惡意行為阻斷，0s響應(yīng)時間保護(hù)用戶終端安全。

2.3 下一代引擎：AI反病毒—更智能、泛化

2017 年無疑是 AI 蓬勃發(fā)展的一年。當(dāng)前，AI技術(shù)在語音、圖像、人機(jī)交互等領(lǐng)域取得了巨大成就，甚至AI在黑產(chǎn)領(lǐng)域也得到了“有效”應(yīng)用——國內(nèi)最大打碼平臺“快啊答題”利用AI破解登錄驗證碼。

而在移動互聯(lián)網(wǎng)終端上，AI的發(fā)展也十分快速：
2017-12-5 Android 8.1 神經(jīng)網(wǎng)絡(luò)API支持TensorFlow，Caffe2
2017-12-7 高通驍龍845，加速SNPE神經(jīng)網(wǎng)絡(luò)引擎SDK
2017-9-6 華為麒麟970芯片推出AI計算單元 NPU
2018年 Q1 聯(lián)發(fā)科和三星也即將推出AI智能芯片

隨著越來越多終端設(shè)備支持AI計算，AI將越來越廣泛的應(yīng)用于終端設(shè)備的圖像識別、語音識別、自然語言處理等場景。

同時，下一代反病毒引擎也將把AI應(yīng)用于終端安全場景，利用AI技術(shù)實(shí)現(xiàn)更加智能化的病毒對抗；通過機(jī)器深度學(xué)習(xí)，下一代引擎將保持持續(xù)的自學(xué)習(xí)自適應(yīng)能力，自動化、智能化跟進(jìn)病毒的行為演進(jìn)，并快病毒一步的進(jìn)行病毒行為預(yù)測和識別、阻斷。

三、騰訊TRP—AI反病毒引擎解決方案

傳統(tǒng)引擎響應(yīng)時間成為當(dāng)前惡意代碼突破口，大量惡意代碼通過自動化免殺、加固、動態(tài)下發(fā)惡意代碼、云控指令繞過反病毒引擎查殺，并在傳統(tǒng)反病毒引擎發(fā)現(xiàn)至響應(yīng)的空白窗口時間內(nèi)進(jìn)行作惡，這個窗口期越長，給用戶帶來的危害越大。

雖然通過成熟的云查反病毒技術(shù)可以盡量縮減此窗口期，但窗口期依然存在，這就需要安全廠商升級反病毒引擎，提供一個實(shí)時響應(yīng)、抗免殺技術(shù)強(qiáng)、非樣本庫依賴的更加智能的反病毒引擎。

騰訊安全團(tuán)隊為應(yīng)對未來嚴(yán)峻的安全挑戰(zhàn)，配合騰訊高度成熟的AI技術(shù)，基于AI芯片的獨(dú)立計算能力，自主研發(fā)了AI反病毒引擎——騰訊TRP-AI反病毒引擎，通過成熟的AI技術(shù)對應(yīng)用行為的深度學(xué)習(xí)，配合系統(tǒng)層的行為監(jiān)控能力，基于AI芯片的獨(dú)立、高效的計算能力，配合傳統(tǒng)安全引擎，有效解決未知應(yīng)用所帶來的安全風(fēng)險，實(shí)時識別并阻斷惡意行為，做到低功耗、高智能的實(shí)時終端安全防護(hù)。

3.1 騰訊TRP-AI反病毒引擎架構(gòu)簡介

騰訊TRP-AI反病毒引擎，是基于Tencent AI Lab先進(jìn)的AI應(yīng)用場景研究，結(jié)合騰訊安全團(tuán)隊長期對Android平臺惡意代碼檢測、對抗的工作經(jīng)驗，設(shè)計的實(shí)時行為監(jiān)測、抗免殺技術(shù)強(qiáng)、深度學(xué)習(xí)的AI反病毒引擎。

通過簡單的集成，騰訊TRP-AI反病毒引擎即可通過framework層監(jiān)控樁點(diǎn)對應(yīng)用敏感行為進(jìn)行監(jiān)控，并將行為數(shù)據(jù)脫敏構(gòu)造成行為序列；利用騰訊先進(jìn)的AI反病毒模型，基于AI芯片的計算能力進(jìn)行獨(dú)立、安全的反病毒檢測，判斷應(yīng)用行為是否惡意；前端通過安全應(yīng)用進(jìn)行結(jié)果展示和用戶授權(quán)交互，可及時阻斷惡意行為，卸載惡意應(yīng)用，為用戶提供實(shí)時安全防護(hù)。

云端搭建大量集群用于沙箱體系構(gòu)造、海量樣本行為提取、深度學(xué)習(xí)，實(shí)時訓(xùn)練生成最新的AI模型用以保障前端用戶AI引擎的模型更新；同時，為減輕終端設(shè)備計算壓力，騰訊TRP-AI反病毒引擎同時支持行為向量安全云查服務(wù)，利用云端集群計算能力保障前端響應(yīng)的實(shí)時性和低計算壓力。

騰訊TRP-AI反病毒引擎具有如下特性：
? 基于真實(shí)運(yùn)行行為，無需收集樣本，即可查殺未知病毒
? 基于系統(tǒng)層監(jiān)控，從底層有效對抗免殺技術(shù)
? 終端行為實(shí)時不間斷監(jiān)控，精準(zhǔn)查殺潛伏***，防止隱私竊取
? AI模型云端訓(xùn)練，終端借助AI芯片檢測，低CPU消耗、低時延、省流量
? 基于神經(jīng)網(wǎng)絡(luò)的AI模型，訓(xùn)練過程完全自動化，運(yùn)營成本大大降低，發(fā)現(xiàn)未知病毒的周期大大縮短

3.2 騰訊TRP-AI反病毒引擎集成方案及檢測效果

騰訊TRP-AI反病毒引擎集成的工作量不大。騰訊將向合作方提供完整的樁點(diǎn)列表和SDK接口說明，合作方(OEM廠商)開發(fā)人員僅需參照列表在framework層打上樁點(diǎn)，和AI引擎對接上即可，其余所有組件都由騰訊以SDK的形式提供。

相較于傳統(tǒng)引擎，騰訊TRP-AI反病毒引擎具有抗免殺、高性能、實(shí)時防護(hù)、可檢測0Day病毒等優(yōu)勢，騰訊TRP-AI反病毒引擎測試數(shù)據(jù)如下：
病毒檢測的覆蓋率90%
病毒檢測準(zhǔn)確率98%
病毒發(fā)現(xiàn)能力提升8%
病毒發(fā)現(xiàn)速度提升12%
病毒發(fā)現(xiàn)快于病毒傳播的占比提升到92%
檢測耗時30ms，遠(yuǎn)低于傳統(tǒng)引擎的100~200ms
平均性能消耗保障對設(shè)備使用體驗零影響

關(guān)于騰訊安全反詐騙實(shí)驗室

騰訊安全反詐騙實(shí)驗室系中國首個安全實(shí)驗室矩陣——騰訊安全聯(lián)合實(shí)驗室旗下的子實(shí)驗室之一，與科恩實(shí)驗室、玄武實(shí)驗室、湛瀘實(shí)驗室、云鼎實(shí)驗室、反病毒實(shí)驗室、移動安全實(shí)驗室，共同組成體系性的安全解決方案，專注安全技術(shù)研究及安全***體系搭建，安全防范和保障范圍覆蓋了連接、系統(tǒng)、應(yīng)用、信息、設(shè)備、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域。

其中，騰訊御安全專注于個人和企業(yè)移動應(yīng)用開發(fā)者的應(yīng)用安全服務(wù)，擁有豐富的漏洞特征與病毒庫，能夠全面覆蓋已知漏洞，可對99%的應(yīng)用進(jìn)行漏洞風(fēng)險掃描；同時，應(yīng)用加固服務(wù)具有防篡改、防逆向、防調(diào)試功能，應(yīng)用在加固發(fā)布后，有效防止應(yīng)用被二次打包，不被***。

作為聯(lián)合業(yè)界一起基于大數(shù)據(jù)的方法，構(gòu)建基于終端、管道和云端全覆蓋的創(chuàng)新黑產(chǎn)分析和阻擊模式的研究中心，騰訊安全反詐騙實(shí)驗室目前以安全云庫，智能反詐騙引擎，反詐騙專家智庫三大核心利器守護(hù)網(wǎng)絡(luò)安全。

不斷深耕安全能力的同時，騰訊安全反詐騙實(shí)驗秉承開放、聯(lián)合、共享持續(xù)賦能社會各界。在剛剛過去的2017年中，騰訊安全反詐騙實(shí)驗室先后與國家食藥總局、國家工商總局、北京市金融工作局、深圳市金融辦達(dá)成戰(zhàn)略合作，共同探索政企合作打擊黑產(chǎn)模式，并創(chuàng)建互聯(lián)網(wǎng)食藥大數(shù)據(jù)監(jiān)管指數(shù)平臺、網(wǎng)絡(luò)傳銷態(tài)勢感知平臺、大數(shù)據(jù)金融安全監(jiān)管科技平臺，協(xié)助國家政府職能機(jī)構(gòu)提升在食藥安全、反傳銷、反金融欺詐等領(lǐng)域的監(jiān)管能力。

同時為了更加高效地打擊愈來愈“產(chǎn)業(yè)化、智能化、國際化”的網(wǎng)絡(luò)犯罪，騰訊安全反詐騙實(shí)驗室通過靈鯤、神偵、網(wǎng)絡(luò)態(tài)勢感知、鷹眼、麒麟、神羊、神荼等十余款反詐騙產(chǎn)品共同組建而成的反詐騙智慧大腦，構(gòu)建了全鏈條的防護(hù)體系，能夠在詐騙的事前、事中以及案情分析等關(guān)鍵環(huán)節(jié)起到作用,為警方以及金融、食品藥監(jiān)、通訊等監(jiān)管部門提供了全方位的人工智能+大數(shù)據(jù)反詐騙體系。