騰訊安全亮相Spark + AI Summit 2019 打造以安全大腦為核心的網路安全新生態

日前，Spark + AI Summit 2019大會在美國舊金山盛大召開。騰訊天衍實驗室應用機器學習負責人陳婷、騰訊安全應用研究員郭豪受邀出席，並現場披露一種針對惡意域名家族不同特點使用針對性的演算法。目前，騰訊安全大腦已融合這項前沿的演算法技術，構築了一個覆蓋雲、管、端，集安全處置和態勢預測、實時威脅檢測和發現、智慧化分析和溯源於一體的智慧安全體系，助力行業客戶解決各類網路資訊保安問題。

優化演算法，如何揪出數十類惡意域名家族？ 

自WannaCry、FireBall等病毒在全球範圍內爆發以來，挖掘網際網路海量資料中的異常行為對網際網路安全行業的價值愈加凸顯。作為網際網路的重要組成部分，DNS協議將難以記憶的IP地址對映到易於記憶的域名，極大地方便了使用者進入網路世界。但在不法分子的眼中，DNS協議同樣是作惡的“利器”。

在現場，騰訊天衍實驗室應用機器學習負責人陳婷介紹，難發現、難根除、難計算是打擊惡意域名家族的三大挑戰。傳統基於規則或惡意域名庫的方法僅能對已確認的域名進行封鎖，相對滯後。對於安全廠商而言，僅僅識別出域名是否為惡意還遠遠不夠，還需識別出域名所對應的惡意軟體家族進行跟蹤監測才能有效防範；除此之外，打擊惡意域名家族還對安全廠商的演算法效能提出更高要求。

（圖：騰訊安全技術專家在Spark + AI Summit 2019發表演講）

騰訊安全的思路是，通過分析多種惡意家族域名特點，對海量的DNS資料進行挖掘，以期檢測到這些惡意域名，並發現惡意聚簇或家族規律。一番研究後，騰訊安全將惡意域名分為“有訪問序列規律”、“無明顯序列特徵”兩大類。

基於此，騰訊安全提出具有針對性優化挖掘演算法。據騰訊安全應用研究員郭豪介紹，一方面，針對以virut、conficker殭屍網路等為代表的“有訪問序列規律”惡意域名，騰訊安全採用基於序列挖掘，根據已知的惡意域名通過設定閾值找到相似的惡意域名；另一方面，針對無明顯序列特徵的域名，騰訊安全採用基於LSH的挖掘，將一天的DNS訪問序列轉為domian-set(hosts)矩陣進行二部圖聚類。通過採用這種方式，騰訊安全已發現數十類惡意域名聚簇和家族，平均每天發現數十萬惡意域名。

以“安全大腦”為核心，鑄就智慧安全新生態

目前，這種創新演算法也已應用在騰訊安全大腦對安全資料的挖掘和分析當中。騰訊安全大腦依託騰訊近20年安全經驗積累，融合AI、大資料、移動網際網路、雲端計算等新興技術，整合騰訊安全聯合實驗室和眾多安全專家的尖端技術能力，對海量資料進行收集、分析、處理，從而提供安全態勢感知、溯源分析、風險趨勢預測、智慧化輔助決策、安全協同處置等智慧安全能力，是騰訊著力打造智慧安全的核心引擎。值得期待的是，以騰訊安全大腦為核心的御見安全管理中心將於5月21日亮相騰訊全球數字生態大會，對外呈現騰訊安全在多產品裝置聯動、資料共享、威脅情報、威脅狩獵、AI和安全服務等多方面的強大能力。

基於大資料和人工智慧技術，騰訊安全大腦在實際防禦中已有突出表現。在4月29日曝光的年度最大病毒團伙事件中，騰訊安全依託騰訊安全大腦能力，對幽蟲、獨狼、雙槍、紫狐、貪狼等多個病毒木馬家族進行深度追蹤、研究判斷，同時使用3D模式進行視覺化展示，最終判定這5個在國內影響惡劣的病毒家族，實由同一個作惡團伙操控，為政府部門和行業後續深入調查和研究提供了強有力的技術支援。

此外，隨著醫療行業智慧化程式不斷加快，騰訊安全以安全大腦為核心，為醫療行業提供一套集風險監測、分析、預警、通報、處置和視覺化運維為一體的智慧醫療安全體系，由御點終端安全管理系統、御界高階威脅檢測系統、安脈網路安全風險量化與評估等核心產品和服務構成的安全矩陣目前已被應用到眾多醫療行業業務場景中。

隨著網際網路主戰場從消費網際網路轉向產業網際網路，傳統產業迎來了更深層次的變革契機。但網際網路平臺、裝置等供應鏈卻成為了產業網際網路安全的薄弱環節，企業除了提升自身風險管理能力外，增強面向包括供應鏈在內的全流程、全業務風險管理能力也迫在眉睫。未來，騰訊安全將堅持開放能力、與各行業共享共治，助力產業網際網路升級。