(騰訊安全高級研究員鄧永進行議題展示)
安全知識圖譜應用:三步判定黑灰產團伙
國內黑灰產的規模已逐漸形成了一個年產值達千億元級別的龐大“黑金”利益鏈,并通過上中下游的嚴密分工構建起了一個密切協作的網絡,嚴重威脅企業發展。這幾年屢屢興風作浪的“商貿信”黑產家族更是讓外貿從業者叫苦不迭。如何揪出這些“地下黑產”,進而構建動態的預警機制成為所有企業和用戶關注的話題。
騰訊安全基于安全知識圖譜挖掘黑灰產團伙的應用,找到了一條破局之路。據了解,安全知識圖譜是基于真實世界持續更新的一種不斷記錄和描述網絡安全領域的概念、實體以及其關系的歷史數據綜合體,從多源網絡、對抗樣本等訓練出更強、更安全的AI技術能力,可以有效防范攻擊,降低風險。
由于黑灰產團伙的安全實體在圖譜中具有極強的內聚性,而不同團伙間的實體與實體連接較為稀疏。針對這個特征,騰訊安全基于FastUnfolding算法,通過構建圖、圖聚類算法、可疑團伙分析三個關鍵步驟判斷團伙行為,并進一步判定團伙是否為惡意團伙。在構圖的過程中可以選擇算法生成的關系,例如通過文件動態、靜態以及網絡行為的相似性豐富文件與文件的關系,通過訪問域名的uid關聯相同家族的域名,能夠有效增加域名關系的豐富程度。最終利用圖聚類算法判斷挖掘可疑團伙,具有超高的關聯查詢效率。
而借助安全知識圖譜的能力,安全人員不僅可以打通原本割裂的跨地域、跨領域數據信息,提升大數據查詢效率;而且還可以用反向“由面到點”的安全知識圖譜平臺進行關系挖掘尋找黑灰產團伙,尋找其中在行為上和實體有關聯的群體,同時再匹配犯罪風控模型,讓大數據可視化,最終自動得出結論。
全局視角動態研判黑產行為,屢次攔殺重大病毒團伙
基于安全知識圖譜的應用和算法優化,騰訊安全已構建了200億節點和1600億邊的黑產知識圖譜,可實時掌握動態趨勢,并通過騰訊電腦管家和騰訊御點終端安全管理系統發現了多起重大病毒事件。
去年12月14日,騰訊安全團隊監測到一款利用永恒之藍漏洞、通過某軟件研發公司系列軟件升級通道傳播的木馬突然爆發,僅2個小時受攻擊用戶便高達10萬。該木馬攻擊最終在騰訊安全團隊的率先預警下,以及該公司停止updrv.com服務器DNS解析、升級服務器升級組件等相關舉措下被及時阻斷,避免了進一步擴散發酵,保護企業免受財產經濟損失。在此次事件中,騰訊安全利用安全知識圖譜模型直接對該木馬威脅情報進行更全面和迅速的預警,有效地防范不法黑客攻擊,避免安全隱患持續擴大。
除此之外,在4月29日曝光的年度最大病毒團伙事件中,騰訊安全借助安全知識圖譜能力,對幽蟲、獨狼、雙槍、紫狐、貪狼等多個病毒木馬家族進行深度追蹤、研究判斷,同時使用3D模式進行可視化展示,最終判定這5個在國內影響惡劣的病毒家族,實由同一個作惡團伙操控,峰值感染用戶或接近4000萬。此次重大發現,意味著一個以鎖定瀏覽器、刷量、挖礦、靜默安裝軟件為主要牟利手段的大型黑客團伙即將走到盡頭,更好地守護廣大網友的財產及信息安全。
目前,騰訊安全也將安全知識圖譜應用在騰訊御見安全中心(SOC)上,進一步增強威脅應對處置能力和全局態勢感知能力,打造一站式大數據+智能化安全管理平臺,幫助企業更高效地進行安全管理。
2019騰訊安全國際技術峰會(TenSec 2019)由騰訊安全發起,騰訊安全科恩實驗室與騰訊安全平臺部聯合主辦,騰訊安全學院協辦。匯聚了來自微軟、ARM、騰訊等安全專家以及獨立信息安全研究者,針對云計算、AI應用、IoT、虛擬化、大數據、OS等多個領域安全的最新研究成果展開探討與交流。
京公網安備 11010502049343號