這是一個(gè)悲傷的故事，你可能經(jīng)歷過。

你又熱又渴，看到桌子上有一瓶看起來像水的東西，來不及思考，揭開瓶蓋喝了一大口。哦！漏！是油！

時(shí)間回到10秒前，我們重來一次。

這一次，額外的劇情是，你有一個(gè)看不慣的死敵和你一起?。ㄟ@種情況在合租大軍中很容易出現(xiàn)），他放了一瓶類似水的不明液體在桌上。

你又進(jìn)來了，有累又熱又渴，這一次你又端起來這瓶液體。這一次，你仔細(xì)分析了這種物質(zhì)、形狀和體積，你利用曾經(jīng)的斗爭經(jīng)驗(yàn)再次判斷，然后信心滿滿地做出了正確選擇，完美地躲避了這場惡作劇——一瓶100%純尿。

福音來了

如果我把這瓶看似是水的東西放置在傳統(tǒng)的計(jì)算機(jī)視覺模塊下分析，可以輕易識別出來它的成分。如果我手欠，非得手抓瓶子再來試一次，由于手指光榮出鏡，傳統(tǒng)的計(jì)算機(jī)視覺模塊突然無法識別了。但是，如果我機(jī)智地把系統(tǒng)升級，加入人工智能模塊，即所謂的深度學(xué)習(xí)技術(shù)，那么即使手指出鏡，這瓶液體也可以被識別出來。這就是在微小變化下，深度學(xué)習(xí)的好處——即使只能讀取部分?jǐn)?shù)據(jù)，大部分圖像被遮蓋，也能正確識別。

深度學(xué)習(xí)，就像人們所熟知的神經(jīng)網(wǎng)絡(luò)，受到大腦激勵，不斷增強(qiáng)學(xué)習(xí)識別物體的能力。以視覺識別為例，我們的大腦可以通過感官輸入獲得原始數(shù)據(jù)，同時(shí)進(jìn)一步自主學(xué)習(xí)更高級別的特點(diǎn)。同樣，在深度學(xué)習(xí)中，原始數(shù)據(jù)從深度神經(jīng)網(wǎng)絡(luò)中讀取，憑此學(xué)習(xí)如何識別物體。機(jī)器學(xué)習(xí)，從另一個(gè)角度而言，需要通過機(jī)器學(xué)習(xí)模塊，手動選擇特征進(jìn)行處理。結(jié)果，這種處理過程耗時(shí)長，準(zhǔn)確性受到人工錯誤的制約。深度學(xué)習(xí)則更復(fù)雜、精密、自主學(xué)習(xí)能力強(qiáng)，能保證高準(zhǔn)確率及超快的處理速度。

網(wǎng)絡(luò)安全與圖像識別相似，99%以上的新威脅和惡意軟件實(shí)際上來源于此前已經(jīng)存在的威脅和惡意軟件的輕微“突變”。據(jù)說，即便是那1%的完全嶄新的新威脅和惡意軟件，也只是已存危機(jī)的大量“突變”而已。但是，盡管如此，即使是那些最前沿的，結(jié)合使用動態(tài)分析及傳統(tǒng)機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全技術(shù)，也在檢測大量新的惡意軟件上遭遇重重困難，結(jié)果就是各類企業(yè)和組織極易遭受數(shù)據(jù)泄露、數(shù)據(jù)盜竊、惡意軟件的扣押勒索和數(shù)據(jù)損壞。

福音來了，我們可以通過深度學(xué)習(xí)應(yīng)用來解決這些問題，捍衛(wèi)網(wǎng)絡(luò)安全。

兩類老辦法"然并卵"

我們先簡單回顧下檢測惡意軟件方案的歷史。

基于簽名的解決方案是最古老的惡意軟件檢測形式，它們也被稱為傳統(tǒng)的解決方案。為了檢測惡意軟件，防病毒引擎將一個(gè)身份不明的代碼塊的內(nèi)容與它的數(shù)據(jù)庫中已知的惡意軟件簽名相比較。如果與已知惡意軟件簽名不匹配，那么就要靠手動調(diào)整的啟發(fā)式算法來生成一個(gè)新的手工簽名，然后更新發(fā)布。

這個(gè)過程十分耗時(shí)，有時(shí)簽名是在初步檢測的數(shù)月后才發(fā)布。因此，這種檢測方法無法與時(shí)俱進(jìn)，跟不上每天產(chǎn)生百萬個(gè)新的惡意軟件變種的節(jié)奏，這也導(dǎo)致了企業(yè)和組織容易受到新的及已經(jīng)被檢測到卻沒有發(fā)布簽名的威脅襲擊。

用基于代碼行為特點(diǎn)的啟發(fā)式技術(shù)來識別惡意軟件，產(chǎn)生了基于行為的解決方案。該惡意軟件檢測技術(shù)分析了惡意軟件運(yùn)行時(shí)的行為，而非針對惡意軟件代碼本身的硬編碼。這種惡意軟件檢測方法的主要限制是，它僅能在惡意行動已經(jīng)開始時(shí)發(fā)現(xiàn)惡意軟件。結(jié)果，預(yù)防被推遲，有時(shí)甚至就是處理得太遲。

沙箱解決方案則是基于行為檢測方法的發(fā)展。這些解決方案在一個(gè)虛擬的環(huán)境中執(zhí)行惡意軟件，以確定該文件是否惡意，而非檢測運(yùn)行時(shí)的行為指紋。雖然這種技術(shù)已被證明在檢測精度上相當(dāng)有效，但是由于過程耗時(shí)長，因此實(shí)時(shí)保護(hù)成本高。此外，新類型的惡意代碼可以通過拖延執(zhí)行逃避沙箱檢測，從而構(gòu)成新的挑戰(zhàn)。

深度學(xué)習(xí)檢測效果顯著

使用人工智能偵測惡意軟件的方法應(yīng)運(yùn)而生。

結(jié)合人工智能，打造更復(fù)雜的檢測能力是網(wǎng)絡(luò)安全解決方案演變之路上的最新一步。基于機(jī)器學(xué)習(xí)的惡意軟件檢測方法應(yīng)用更詳細(xì)的算法，根據(jù)手動工程的特點(diǎn)來判斷一個(gè)文件的行為是惡意還是合法。然而，這個(gè)過程費(fèi)時(shí)長，需要大量人力在文件分級過程中來確定技術(shù)參數(shù)、變量或特點(diǎn)，在文件分類過程中的重點(diǎn)。此外，惡意軟件檢測率仍然離100%識別很遠(yuǎn)。

人工智能的深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的一個(gè)高級分支，也被稱為“神經(jīng)網(wǎng)絡(luò)”，因?yàn)樗c人類大腦的工作方式如出一轍。高級認(rèn)知任務(wù)在人類大腦的外部皮層進(jìn)行，而我們有數(shù)十億個(gè)的神經(jīng)元，這些神經(jīng)元可以通過各種類型的數(shù)據(jù)進(jìn)行學(xué)習(xí)。由于深度神經(jīng)網(wǎng)絡(luò)是機(jī)器學(xué)習(xí)中的第一算法單元，不需要手動工程特征，因此這是深度學(xué)習(xí)的偉大革命。不僅不需要手動工程，它們還可以通過對原始數(shù)據(jù)處理高層次特征進(jìn)行處理，自主學(xué)習(xí)識別對象，這種方式和人類大腦通過感官輸入處理原始原始數(shù)據(jù)進(jìn)行學(xué)習(xí)十分相似。

來，看我的手勢，完美！

當(dāng)應(yīng)用到網(wǎng)絡(luò)安全時(shí)，在沒有任何人工干預(yù)下，如預(yù)先告訴它這個(gè)文件是惡意還是合法的，深度學(xué)習(xí)的核心引擎一直在這種情況下不斷學(xué)習(xí)升級，在檢測首次發(fā)現(xiàn)的惡意軟件時(shí)，與傳統(tǒng)機(jī)器學(xué)習(xí)相比，基于深度學(xué)習(xí)的解決方案呈現(xiàn)出十分突破性的成果。

在基于公開已知的數(shù)據(jù)庫的端點(diǎn)的真正環(huán)境測試中，移動和APT惡意軟件的檢測率也十分顯著。例如，基于深度學(xué)習(xí)的解決方案對大幅和輕微修改的惡意代碼的檢測識別率超過99%。這些結(jié)果與深度學(xué)習(xí)在其他領(lǐng)域的表現(xiàn)是一致的，如計(jì)算機(jī)視覺、語音識別和文本理解。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。