栏目导航
图文专稿 首页>图文专稿
腾讯安全亮相Spark + AI Summit 2019 :大数据+AI反制歹意域名家
时间:2019-06-03 11:51作者:admin

  日前,Spark + AI Summit 2019大会在美国旧金山盛大召开。腾讯天衍实验室利用机器学习负责人陈婷、腾讯安全利用研究员郭豪受邀出席,并现场表露1种针对歹意域名家族不同特点使用针对性的算法。目前,腾讯安全大脑已融会这项前沿的算法技术,构筑了1个覆盖云、管、端,集安全处置和态势预测、实时要挟检测和发现、智能化分析和溯源于1体的智慧安全部系,助力行业客户解决各类网络信息安全问题。

  优化算法,如何揪出数10类歹意域名家族?

  自WannaCry、FireBall等病毒在全球范围内爆发以来,发掘互联网海量数据中的异常行动对互联网安全行业的价值越发凸显。作为互联网的重要组成部份,DNS协议将难以记忆的IP地址映照到易于记忆的域名,极大地方便了用户进入网络世界。但在不法份子的眼中,DNS协议一样是作恶的“利器”。

  在现场,腾讯天衍实验室利用机器学习负责人陈婷介绍,难发现、难根除、难计算是打击歹意域名家族的3大挑战。传统基于规则或歹意域名库的方法仅能对已确认的域名进行封闭,相对滞后。对安全厂商而言,仅仅辨认出域名是不是为歹意还远远不够,还需辨认出域名所对应的歹意软件家族进行跟踪监测才能有效防范;除此以外,打击歹意域名家族还对安全厂商的算法性能提出更高要求。

  图:腾讯安全技术专家在Spark + AI Summit 2019发表演讲

  腾讯安全的思路是,通过分析多种歹意家族域名特点,对海量的DNS数据进行发掘,以期检测到这些歹意域名,并发现歹意聚簇或家族规律。1番研究后,腾讯安全将歹意域名分为“有访问序列规律”、“无明显序列特点”两大类。

  基于此,腾讯安全提出具有针对性优化发掘算法。据腾讯安全利用研究员郭豪介绍,1方面,针对以virut、conficker僵尸网络等为代表的“有访问序列规律”歹意域名,腾讯安全采取基于序列发掘,根据已知的歹意域名通过设定阈值找到类似的歹意域名;另外一方面,针对无明显序列特点的域名,腾讯安全采取基于LSH的发掘,将1天的DNS访问序列转为domian-set(hosts)矩阵进行2部图聚类。通过采取这类方式,腾讯安全已发现数10类歹意域名聚簇和家族,平均每天发现数10万歹意域名。

  以“安全大脑”为核心,铸就智慧安全新生态

  目前,这类创新算法也已利用在腾讯安全大脑对安全数据的发掘和分析当中。腾讯安全大脑依托腾讯近20年安全经验积累,融会AI、大数据、移动互联网、云计算等新兴技术,整合腾讯安全联合实验室和众多安全专家的尖端技术能力,对海量数据进行搜集、分析、处理,从而提供安全态势感知、溯源分析、风险趋势预测、智能化辅助决策、安全协同处置等智慧安全能力,是腾讯着力打造智慧安全的核心引擎。值得期待的是,以腾讯安全大脑为核心的御见安全管理中心将于5月21日亮相腾讯全球数字生态大会,对外显现腾讯安全在多产品装备联动、数据同享、要挟情报、要挟狩猎、AI和安全服务等多方面的强大能力。

  基于大数据和人工智能技术,腾讯安全大脑在实际防御中已有突出表现。在4月29日暴光的年度最大病毒团伙事件中,腾讯安全依托腾讯安全大脑能力,对幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族进行深度追踪、研究判断,同时使用3D模式进行可视化展现,终究判定这5个在国内影响卑劣的病毒家族,实由同1个作恶团伙操控,为政府部门和行业后续深入调查和研究提供了强有力的技术支持。

  另外,随着医疗行业智能化进程不断加快,腾讯安全以安全大脑为核心,为医疗行业提供1套集风险监测、分析、预警、通报、处置和可视化运维为1体的智慧医疗安全部系,由御点终端安全管理系统、御界高级要挟检测系统、安脉网络安全风险量化与评估等核心产品和服务构成的安全矩阵目前已被利用到众多医疗行业业务场景中。

上一篇:花季少女起死复生 基因改造病毒立下奇功

下一篇:没有了