TenSec 2019：腾讯安全用安全知识谱图让“地下黑产”无处遁形

藏匿在万千数据背后的黑产团伙，正随着大数据技术的不断发展逐渐浮出水面。在6月11日-12日召开的2019腾讯安全国际技术峰会(TenSec 2019)上，腾讯安全高级研究员邓永带来了腾讯安全在挖掘恶意团伙上的最新应用实践——基于腾讯安全积累的安全知识图谱、利用大数据的方法直接定义威胁模型，有别于传统单个样本分析方式，从整体视角快速识别黑灰产网络攻击，为保障公共信息安全，分析潜在危机、舆情掌控提供了一种全新途径。

(腾讯安全高级研究员邓永进行议题展示)

安全知识图谱应用：三步判定黑灰产团伙

国内黑灰产的规模已逐渐形成了一个年产值达千亿元级别的庞大“黑金”利益链，并通过上中下游的严密分工构建起了一个密切协作的网络，严重威胁企业发展。这几年屡屡兴风作浪的“商贸信”黑产家族更是让外贸从业者叫苦不迭。如何揪出这些“地下黑产”，进而构建动态的预警机制成为所有企业和用户关注的话题。

腾讯安全基于安全知识图谱挖掘黑灰产团伙的应用，找到了一条破局之路。据了解，安全知识图谱是基于真实世界持续更新的一种不断记录和描述网络安全领域的概念、实体以及其关系的历史数据综合体，从多源网络、对抗样本等训练出更强、更安全的AI技术能力，可以有效防范攻击，降低风险。

由于黑灰产团伙的安全实体在图谱中具有极强的内聚性，而不同团伙间的实体与实体连接较为稀疏。针对这个特征，腾讯安全基于FastUnfolding算法，通过构建图、图聚类算法、可疑团伙分析三个关键步骤判断团伙行为，并进一步判定团伙是否为恶意团伙。在构图的过程中可以选择算法生成的关系，例如通过文件动态、静态以及网络行为的相似性丰富文件与文件的关系，通过访问域名的uid关联相同家族的域名，能够有效增加域名关系的丰富程度。最终利用图聚类算法判断挖掘可疑团伙，具有超高的关联查询效率。

而借助安全知识图谱的能力，安全人员不仅可以打通原本割裂的跨地域、跨领域数据信息，提升大数据查询效率;而且还可以用反向“由面到点”的安全知识图谱平台进行关系挖掘寻找黑灰产团伙，寻找其中在行为上和实体有关联的群体，同时再匹配犯罪风控模型，让大数据可视化，最终自动得出结论。

全局视角动态研判黑产行为，屡次拦杀重大病毒团伙

基于安全知识图谱的应用和算法优化，腾讯安全已构建了200亿节点和1600亿边的黑产知识图谱，可实时掌握动态趋势，并通过腾讯电脑管家和腾讯御点终端安全管理系统发现了多起重大病毒事件。

去年12月14日，腾讯安全团队监测到一款利用永恒之蓝漏洞、通过某软件研发公司系列软件升级通道传播的木马突然爆发，仅2个小时受攻击用户便高达10万。该木马攻击最终在腾讯安全团队的率先预警下，以及该公司停止updrv.com服务器DNS解析、升级服务器升级组件等相关举措下被及时阻断，避免了进一步扩散发酵，保护企业免受财产经济损失。在此次事件中，腾讯安全利用安全知识图谱模型直接对该木马威胁情报进行更全面和迅速的预警，有效地防范不法黑客攻击，避免安全隐患持续扩大。

除此之外，在4月29日曝光的年度最大病毒团伙事件中，腾讯安全借助安全知识图谱能力，对幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族进行深度追踪、研究判断，同时使用3D模式进行可视化展示，最终判定这5个在国内影响恶劣的病毒家族，实由同一个作恶团伙操控，峰值感染用户或接近4000万。此次重大发现，意味着一个以锁定浏览器、刷量、挖矿、静默安装软件为主要牟利手段的大型黑客团伙即将走到尽头，更好地守护广大网友的财产及信息安全。

目前，腾讯安全也将安全知识图谱应用在腾讯御见安全中心(SOC)上，进一步增强威胁应对处置能力和全局态势感知能力，打造一站式大数据+智能化安全管理平台，帮助企业更高效地进行安全管理。

2019腾讯安全国际技术峰会(TenSec 2019)由腾讯安全发起，腾讯安全科恩实验室与腾讯安全平台部联合主办，腾讯安全学院协办。汇聚了来自微软、ARM、腾讯等安全专家以及独立信息安全研究者，针对云计算、AI应用、IoT、虚拟化、大数据、OS等多个领域安全的最新研究成果展开探讨与交流。