TenSec 2019：騰訊安全用安全知識譜圖讓“地下黑產(chǎn)”無處遁形

藏匿在萬千數(shù)據(jù)背后的黑產(chǎn)團(tuán)伙，正隨著大數(shù)據(jù)技術(shù)的不斷發(fā)展逐漸浮出水面。在6月11日-12日召開的2019騰訊安全國際技術(shù)峰會(TenSec 2019)上，騰訊安全高級研究員鄧永帶來了騰訊安全在挖掘惡意團(tuán)伙上的最新應(yīng)用實踐——基于騰訊安全積累的安全知識圖譜、利用大數(shù)據(jù)的方法直接定義威脅模型，有別于傳統(tǒng)單個樣本分析方式，從整體視角快速識別黑灰產(chǎn)網(wǎng)絡(luò)攻擊，為保障公共信息安全，分析潛在危機、輿情掌控提供了一種全新途徑。

　　(騰訊安全高級研究員鄧永進(jìn)行議題展示)

安全知識圖譜應(yīng)用：三步判定黑灰產(chǎn)團(tuán)伙

國內(nèi)黑灰產(chǎn)的規(guī)模已逐漸形成了一個年產(chǎn)值達(dá)千億元級別的龐大“黑金”利益鏈，并通過上中下游的嚴(yán)密分工構(gòu)建起了一個密切協(xié)作的網(wǎng)絡(luò)，嚴(yán)重威脅企業(yè)發(fā)展。這幾年屢屢興風(fēng)作浪的“商貿(mào)信”黑產(chǎn)家族更是讓外貿(mào)從業(yè)者叫苦不迭。如何揪出這些“地下黑產(chǎn)”，進(jìn)而構(gòu)建動態(tài)的預(yù)警機制成為所有企業(yè)和用戶關(guān)注的話題。

騰訊安全基于安全知識圖譜挖掘黑灰產(chǎn)團(tuán)伙的應(yīng)用，找到了一條破局之路。據(jù)了解，安全知識圖譜是基于真實世界持續(xù)更新的一種不斷記錄和描述網(wǎng)絡(luò)安全領(lǐng)域的概念、實體以及其關(guān)系的歷史數(shù)據(jù)綜合體，從多源網(wǎng)絡(luò)、對抗樣本等訓(xùn)練出更強、更安全的AI技術(shù)能力，可以有效防范攻擊，降低風(fēng)險。

由于黑灰產(chǎn)團(tuán)伙的安全實體在圖譜中具有極強的內(nèi)聚性，而不同團(tuán)伙間的實體與實體連接較為稀疏。針對這個特征，騰訊安全基于FastUnfolding算法，通過構(gòu)建圖、圖聚類算法、可疑團(tuán)伙分析三個關(guān)鍵步驟判斷團(tuán)伙行為，并進(jìn)一步判定團(tuán)伙是否為惡意團(tuán)伙。在構(gòu)圖的過程中可以選擇算法生成的關(guān)系，例如通過文件動態(tài)、靜態(tài)以及網(wǎng)絡(luò)行為的相似性豐富文件與文件的關(guān)系，通過訪問域名的uid關(guān)聯(lián)相同家族的域名，能夠有效增加域名關(guān)系的豐富程度。最終利用圖聚類算法判斷挖掘可疑團(tuán)伙，具有超高的關(guān)聯(lián)查詢效率。

而借助安全知識圖譜的能力，安全人員不僅可以打通原本割裂的跨地域、跨領(lǐng)域數(shù)據(jù)信息，提升大數(shù)據(jù)查詢效率;而且還可以用反向“由面到點”的安全知識圖譜平臺進(jìn)行關(guān)系挖掘?qū)ふ液诨耶a(chǎn)團(tuán)伙，尋找其中在行為上和實體有關(guān)聯(lián)的群體，同時再匹配犯罪風(fēng)控模型，讓大數(shù)據(jù)可視化，最終自動得出結(jié)論。

全局視角動態(tài)研判黑產(chǎn)行為，屢次攔殺重大病毒團(tuán)伙

基于安全知識圖譜的應(yīng)用和算法優(yōu)化，騰訊安全已構(gòu)建了200億節(jié)點和1600億邊的黑產(chǎn)知識圖譜，可實時掌握動態(tài)趨勢，并通過騰訊電腦管家和騰訊御點終端安全管理系統(tǒng)發(fā)現(xiàn)了多起重大病毒事件。

去年12月14日，騰訊安全團(tuán)隊監(jiān)測到一款利用永恒之藍(lán)漏洞、通過某軟件研發(fā)公司系列軟件升級通道傳播的木馬突然爆發(fā)，僅2個小時受攻擊用戶便高達(dá)10萬。該木馬攻擊最終在騰訊安全團(tuán)隊的率先預(yù)警下，以及該公司停止updrv.com服務(wù)器DNS解析、升級服務(wù)器升級組件等相關(guān)舉措下被及時阻斷，避免了進(jìn)一步擴散發(fā)酵，保護(hù)企業(yè)免受財產(chǎn)經(jīng)濟損失。在此次事件中，騰訊安全利用安全知識圖譜模型直接對該木馬威脅情報進(jìn)行更全面和迅速的預(yù)警，有效地防范不法黑客攻擊，避免安全隱患持續(xù)擴大。

除此之外，在4月29日曝光的年度最大病毒團(tuán)伙事件中，騰訊安全借助安全知識圖譜能力，對幽蟲、獨狼、雙槍、紫狐、貪狼等多個病毒木馬家族進(jìn)行深度追蹤、研究判斷，同時使用3D模式進(jìn)行可視化展示，最終判定這5個在國內(nèi)影響惡劣的病毒家族，實由同一個作惡團(tuán)伙操控，峰值感染用戶或接近4000萬。此次重大發(fā)現(xiàn)，意味著一個以鎖定瀏覽器、刷量、挖礦、靜默安裝軟件為主要牟利手段的大型黑客團(tuán)伙即將走到盡頭，更好地守護(hù)廣大網(wǎng)友的財產(chǎn)及信息安全。

目前，騰訊安全也將安全知識圖譜應(yīng)用在騰訊御見安全中心(SOC)上，進(jìn)一步增強威脅應(yīng)對處置能力和全局態(tài)勢感知能力，打造一站式大數(shù)據(jù)+智能化安全管理平臺，幫助企業(yè)更高效地進(jìn)行安全管理。

2019騰訊安全國際技術(shù)峰會(TenSec 2019)由騰訊安全發(fā)起，騰訊安全科恩實驗室與騰訊安全平臺部聯(lián)合主辦，騰訊安全學(xué)院協(xié)辦。匯聚了來自微軟、ARM、騰訊等安全專家以及獨立信息安全研究者，針對云計算、AI應(yīng)用、IoT、虛擬化、大數(shù)據(jù)、OS等多個領(lǐng)域安全的最新研究成果展開探討與交流。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。