電視劇里最激烈的打斗，要么是遇上同樣遇神殺神的頂尖高手，要么是一堆勁敵圍過來，卻依然輕松斬殺，片葉不沾身。

亂世方顯英雄，如若生在“太平盛世”？那就找一個“壞人成堆”的試煉場。

騰訊安全反病毒實驗室負責人馬勁松告訴雷鋒網(wǎng)，7、8個月前，騰訊電腦管家接受了國際權(quán)威評測機構(gòu) AV-Comparatives (以下簡稱 AV-C )在特殊極端環(huán)境下的測試。最近，檢測報告顯示，國產(chǎn)殺毒軟件騰訊電腦管家(英文版)累計獲得了 AV-C 五項評測的“A+”最高評級。

參加這一測試的還有殺軟界鼎鼎大名的卡巴斯基、AVG 等，在老牌殺軟面前，這一成績究竟意味著什么？背后還有什么故事？雷鋒網(wǎng)宅客頻道第一時間采訪到了馬勁松。

【圖：騰訊安全反病毒實驗室負責人 馬勁松】

一場“惡人堆里”的較量

殺軟能力究竟怎么樣？到底能不能讓用戶滿意？

參與國外權(quán)威的第三方評測機構(gòu)進行測試，讓它和國際老牌的廠商同場競技，這是當前國內(nèi)安全廠家打造自己殺軟公信力的第一選擇。

AV-C 是一個國際獨立測試機構(gòu)，因提供針對計算機安全產(chǎn)品的綜合性與客觀性評測結(jié)果而聞名。AV-C 的測評特點是，強調(diào)殺軟的全面性，對檢出和清除能力都要求很高。

其實，以前騰訊電腦管家也參與過 AV-C 的測試，戰(zhàn)果逐年遞加。相應(yīng)而言，2016年的測試強度更大了，難度也比較高。

我們永遠都要銘記一點：你在成長的同時，病毒也在不斷成長。

例如，在 AV-C 惡意軟件清除能力測試中，要在最新的 Win10 64 位系統(tǒng)下進行測試，騰訊電腦管家英文版、卡巴斯基、小紅傘、BD等18款全球知名殺毒產(chǎn)品參與，測試時間歷時 7 個月。

長時間的測試意味著，你不僅要優(yōu)秀，還要持續(xù)優(yōu)秀。

這項測試采用“先染毒，再裝殺軟”的方式進行，選取當前流行的惡意軟件樣本，最大限度地考察本地引擎針對染毒機器的清除修復(fù)能力（極端情況，甚至需要使用“TAV啟動盤”）。

這意味著，AV-C 的測試環(huán)境比普通用戶面對的病毒環(huán)境更極端，如果說普通用戶偶爾只會遇到一兩個病毒、木馬，被測試的殺軟就是掉進了最極端的“壞人”環(huán)境中，考驗它的作戰(zhàn)能力。

這種測試方法相比于以往的“先裝殺軟，再防御”有本質(zhì)的區(qū)別，測試難度屬于最難級別。傳統(tǒng)的測試方法是殺軟“守陣地”，但此次測試是陣地已經(jīng)被病毒拿下，殺軟要攻進去把陣地奪回來，難度可想而知。

道高一尺，魔高一丈。病毒世界也在不斷地推陳出新，AV-C 會同步外部世界的變化，將最厲害的對手請到測試機器上來。

前后方配合默契的攻防之戰(zhàn)

在幾個月的持續(xù)廝殺后，馬勁松和同事等到了 AV-C 2016 年度的評測結(jié)果。這是騰訊電腦管家參加 AV-C 年度評測以來獲得的最好成績。馬勁松說：“這個獎項很客觀地反映了團隊的努力，在對與木馬病毒的對抗中，為了保護用戶的安全，再多的付出也是值得的”。

數(shù)字不帶絲毫溫度，背后卻是靈活的策略與艱辛的努力。騰訊電腦管家為了應(yīng)對用戶的反病毒需求，以自主研發(fā)的 TAV 殺毒引擎在前方?jīng)_鋒陷陣，而哈勃分析系統(tǒng)在后方不斷“補充彈藥”。

這是一場十分完美的配合。

為了更少占用內(nèi)存，以最快速度發(fā)現(xiàn)“可疑分子”，成功找出“犯罪嫌疑人”，騰訊電腦管家的策略是，以 TAV 在前方戰(zhàn)場不斷“嗅探”，尋找潛在的威脅。為了打消敵方的顧慮，故意暴露一部分“武器”在前臺，后臺卻是強悍的哈勃分析系統(tǒng)在不斷計算、分析，剝下敵人偽裝的外衣。

前臺將“可疑分子”誘騙到一個虛擬機中，開始拆解、分析、戰(zhàn)斗。馬勁松說：

為什么要將樣本虛擬地跑起來？因為有些可疑樣本存在變形，我們要把這種變形繞過去，把它展開。相當于一個犯罪分子可能在用戶機器上穿上不同外層的衣服，你只能看到他的外表，或者只能扒掉一層衣服。但是在扒衣服的過程中，每扒一層衣服，它內(nèi)含的“炸彈”就可能會暴露出來，引爆自己，即惡意循環(huán)實際已經(jīng)運行起來了。

把它關(guān)到防爆鐘里，即使爆炸了，也是在防爆鐘里，回頭把鐘移走，整個安全就沒有任何問題了。

在前臺的 TAV 有兩個作用，一是感應(yīng)器，犯罪分子一般會偽裝成正常人，讓警察看不出來，但是它多多少少會有一些習慣，暴露出可疑行蹤，這時 TAV 就會把這種可疑點找到，能解決的先解決，不能解決的把犯罪嫌疑人拽到后臺，做深入審問，由后臺來定義可疑分子究竟是不是犯罪嫌疑人，后臺判定后交由前臺執(zhí)行，這就是前臺的第二個作用。

后方的哈勃分析系統(tǒng)會進行兩類“拷問”：靜態(tài)檢測和動態(tài)檢測。

后臺的動態(tài)檢測較多，這并非意味著靜態(tài)比較簡單，而是在后臺可用多臺機器同時對樣本進行計算。如果大量處理放在前臺，可能會占用大量內(nèi)存，影響用戶體驗。

比如，同樣一個樣本，如果放到前臺進行虛擬執(zhí)行，可能需要10分鐘，此時用戶的機器會卡死，如果放到后臺，甚至可以拿出 20 臺機器同時處理這個樣本。

后臺所應(yīng)用的動態(tài)檢測則對整個系統(tǒng)都進行了監(jiān)控，可疑分子在運行期間所做的任何動作都被后臺一一記錄。這些監(jiān)控與記錄并非這么容易，而是存在大量攻防對抗。馬勁松告訴雷鋒網(wǎng)：

一些樣本可能會盡可能復(fù)雜地隱藏自己，把作惡觸發(fā)機率設(shè)置得特別晚。它不會在開始運行時就立刻干壞事，可能需要后方（模擬用戶）進行一些操作，才會觸發(fā)行為，這些需要后臺模擬進行。

比如，簡單的帳號盜取，實際上只有在偽裝的 QQ 輸入框里輸入密碼后發(fā)送，才會觸發(fā)所謂的帳號密碼傳輸?shù)街付ㄠ]箱的行為。

馬勁松說，

這是一個很簡單的案例，但很有效。因為我們通過這樣的模擬執(zhí)行和后臺數(shù)據(jù)抓取，可輕松拿到作惡者的 QQ 號所發(fā)往的郵箱地址，并且順藤摸瓜找到更多受害者的信息，盡量幫助受害者用戶恢復(fù)損失。

后臺還會不斷反饋作惡者的新特點，同步給置于前端的 TAV ，這意味著如果小明家抓到了一個作案手段新穎的小偷，遠在千里外的小紅、小黃都能同步了解這種作案手段，防范這類小偷。

“天下無賊”的夢想

馬勁松表示，實際上打擊和檢測分開這個邏輯自始就有，但是前端打擊和后端檢測整個能力卻在不斷完善。

一開始時我們也只有靜態(tài)，發(fā)現(xiàn)它的效率不高，后來才逐步完善，尋找更高效的方式，哈勃在不斷摸索過程中變得效率更高，打擊更精準。

在這個能力提升的過程中，最關(guān)鍵的一點是，騰訊安全舍得花錢了！

思路從來不是問題，后臺需要大量服務(wù)器投入，在安全領(lǐng)域的大量投入才讓我們有機會不計成本地來做這件事。

除了有錢買設(shè)備，還靠安全人才的投入。馬勁松說，這個領(lǐng)域的人才要有跨平臺能力，安全人才本來就特別少，要懂安全又懂大規(guī)模并行計算處理等領(lǐng)域的就更少了。

在當前安全人才也不是特別充足的情況下，面對萬千樣本的來襲，只能依靠人工智能。馬勁松表示，在后臺領(lǐng)域，騰訊已經(jīng)開始使用深度學習技術(shù)。

騰訊反病毒實驗室最近還發(fā)布了一個消息：哈勃分析系統(tǒng)已經(jīng)入選世界級黑客大會 BlackHat 的兵器譜。這意味著，世界頂級的技術(shù)人員也看上了他們引以為豪的“武器”。

馬勁松認為，騰訊電腦管家已經(jīng)處在一個非常高的梯隊上，如果再往上做一些提升，當然也會遭遇重重困難。就像一個頂尖的運動員再次向更高、更快、更強發(fā)起沖擊時所面臨的困境一樣，不過騰訊電腦管家不能通過多次機械“鍛煉”來提升，它只能不斷試錯，嘗試此前從來沒有試過的方法。

因此，今年他們將在殺軟的深度學習方向加大研發(fā)力度，做出進一步嘗試。

道高一尺，魔高一丈，防御方比攻擊方更被動。

馬勁松說，他們能做的就是將對抗的門檻提到越高越好。不斷地去壘保護用戶的墻，盡可能讓能夠躍過墻的人越來越少，當攻擊者所花的成本足夠高時，也許他們就會放棄這件事情。

在馬勁松及他的同事心中，也許，也藏著一個“天下無賊”的夢想。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。