自WannaCry、FireBall等病毒在全球范围内爆发以来,挖掘互联网海量数据中的异常行为对互联网安全行业的价值愈加凸显。作为互联网的重要组成部分,DNS协议将难以记忆的IP地址映射到易于记忆的域名,极大地方便了用户进入网络世界。但在不法分子的眼中,DNS协议同样是作恶的“利器”。
优化算法,如何揪出数十类恶意域名家族?
目前,这种创新算法也已应用在腾讯安全大脑对安全数据的挖掘和分析当中。腾讯安全大脑依托腾讯近20年安全经验积累,融合AI、大数据、移动互联网、云计算等新兴技术,整合腾讯安全联合实验室和众多安全专家的尖端技术能力,对海量数据进行收集、分析、处理,从而提供安全态势感知、溯源分析、风险趋势预测、智能化辅助决策、安全协同处置等智慧安全能力,是腾讯着力打造智慧安全的核心引擎。值得期待的是,以腾讯安全大脑为核心的御见安全管理中心将于5月21日亮相腾讯全球数字生态大会,对外呈现腾讯安全在多产品设备联动、数据共享、威胁情报、威胁狩猎、AI和安全服务等多方面的强大能力。
在现场,腾讯天衍实验室应用机器学习负责人陈婷介绍,难发现、难根除、难计算是打击恶意域名家族的三大挑战。传统基于规则或恶意域名库的方法仅能对已确认的域名进行封锁,相对滞后。对于安全厂商而言,仅仅识别出域名是否为恶意还远远不够,还需识别出域名所对应的恶意软件家族进行跟踪监测才能有效防范;除此之外,打击恶意域名家族还对安全厂商的算法性能提出更高要求。
日前,Spark + AI Summit 2019大会在美国旧金山盛大召开。腾讯天衍实验室应用机器学习负责人陈婷、腾讯安全应用研究员郭豪受邀出席,并现场披露一种针对恶意域名家族不同特点使用针对性的算法。目前,腾讯安全大脑已融合这项前沿的算法技术,构筑了一个覆盖云、管、端,集安全处置和态势预测、实时威胁检测和发现、智能化分析和溯源于一体的智慧安全体系,助力行业客户解决各类网络信息安全问题。
此外,随着医疗行业智能化进程不断加快,腾讯安全以安全大脑为核心,为医疗行业提供一套集风险监测、分析、预警、通报、处置和可视化运维为一体的智慧医疗安全体系,由御点终端安全管理系统、御界高级威胁检测系统、安脉网络安全风险量化与评估等核心产品和服务构成的安全矩阵目前已被应用到众多医疗行业业务场景中。
腾讯安全的思路是,通过分析多种恶意家族域名特点,对海量的DNS数据进行挖掘,以期检测到这些恶意域名,并发现恶意聚簇或家族规律。一番研究后,腾讯安全将恶意域名分为“有访问序列规律”、“无明显序列特征”两大类。
随着互联网主战场从消费互联网转向产业互联网,传统产业迎来了更深层次的变革契机。但互联网平台、设备等供应链却成为了产业互联网安全的薄弱环节,企业除了提升自身风险管理能力外,增强面向包括供应链在内的全流程、全业务风险管理能力也迫在眉睫。未来,腾讯安全将坚持开放能力、与各行业共享共治,助力产业互联网升级。
(图:腾讯安全技术专家在Spark + AI Summit 2019发表演讲)
以“安全大脑”为核心,铸就智慧安全新生态
基于此,腾讯安全提出具有针对性优化挖掘算法。据腾讯安全应用研究员郭豪介绍,一方面,针对以virut、conficker僵尸网络等为代表的“有访问序列规律”恶意域名,腾讯安全采用基于序列挖掘,根据已知的恶意域名通过设定阈值找到相似的恶意域名;另一方面,针对无明显序列特征的域名,腾讯安全采用基于LSH的挖掘,将一天的DNS访问序列转为domian-set(hosts)矩阵进行二部图聚类。通过采用这种方式,腾讯安全已发现数十类恶意域名聚簇和家族,平均每天发现数十万恶意域名。
基于大数据和人工智能技术,腾讯安全大脑在实际防御中已有突出表现。在4月29日曝光的年度最大病毒团伙事件中,腾讯安全依托腾讯安全大脑能力,对幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族进行深度追踪、研究判断,同时使用3D模式进行可视化展示,最终判定这5个在国内影响恶劣的病毒家族,实由同一个作恶团伙操控,为政府部门和行业后续深入调查和研究提供了强有力的技术支持。