上月底,權(quán)威科學雜志Nature發(fā)表了一篇關于谷歌人工智能程序AlphaGo擊敗歐洲圍棋冠軍的文章,其中介紹了AlphaGo程序的細節(jié),它 實際上 是一個結(jié)合了深度學習與樹搜索(tree-search)的程序。雖然,對弈發(fā)生于去年十月,但還是在網(wǎng)絡及朋友圈引起不小轟動:人類智力最后的驕傲崩塌了嗎?
在對問題進行肯定或否定的回答前,我們先來了簡單了解一下這些概念。
FreeBuf 百科:什么是人工智能、機器學習和深度學習
圖片來源:《 從機器學習談起 》
人工智能(Artificial Intelligence,簡稱AI):
作為計算機學科的一個分支,按字面理解,人工智能是指有人工制造的系統(tǒng)所表現(xiàn)出來的智能,通常就是指通過普通電腦實現(xiàn)的智能。
目前,人工智能這門學科的目的已經(jīng)發(fā)展為“開發(fā)一個模擬人類能在某種環(huán)境下做出反應和行為的系統(tǒng)或軟件”。由于這個領域涉及非常廣泛,因此出現(xiàn)多個子目標,每個子目標都發(fā)展為一個獨立的研究分支。AI要完成的主要目標如下(也稱作AI問題):
1、Reasoning(推理);
2、Knowledge representation(知識表示);
3、Automated planning and scheduling(自動規(guī)劃);
4、Machine learning(機器學習);
5、Natural language processing(自然語言處理);
6、Computer vision(計算機視覺);
7、Robotics(機器人學);
8、General intelligence or strong AI(通用智能或強人工智能);
……
機器學習(Machine Learning,簡稱ML):
機器學習這一領域則是由AI的一個子目標發(fā)展而來,用于幫助機器和軟件進行自我學習以解決遇到的問題。
機器學習是一種讓計算機在沒有事先明確的編程的情況下做出正確反應的科學。
至于如何實現(xiàn)機器學習,借用 知乎網(wǎng)友 的回答概括:
簡單點說,機器學習需要數(shù)據(jù),也需要模型。有了這兩樣,把模型放在數(shù)據(jù)上通過優(yōu)化算法自動調(diào)整模型參數(shù)的過程就是訓練。 訓練出來的就是模型中的參數(shù)。
深度學習(Deep Learning,簡稱DL):
深度學習是機器學習的一個分支,它基于試圖使用包含復雜結(jié)構(gòu)或由多重非線性變換構(gòu)成的多個處理層對數(shù)據(jù)進行高層抽象的一些列算法。可能有些抽象,其實理念非常簡單,“就是傳統(tǒng)的神經(jīng)網(wǎng)絡發(fā)展到了多隱藏層的情況”。
利用“深度學習”防御惡意軟件
通過簽名或者基于啟發(fā)式的惡意軟件檢測方法已漸弱,這就是說大多數(shù)殺毒(AV)程序?qū)τ谧儺惖膼阂廛浖r有作用,特別是抵御APT(高級持續(xù)性威脅)攻擊時。惡意軟件通常由大約1000行代碼構(gòu)成,而變更其中的1%,便可讓大部分AV束手無策。
五六年前機器學習開始被用于解決非線性問題,如人臉識別、認識惡意軟件,以及通過某種特征對程序進行抓取。而沙盒以及其他基于機器的技術,都沒法做到比深度學習更加迅速和準確。
Deep Instinct 是一家安全公司,由Guy Caspi和Eli David兩名以色列國防網(wǎng)絡安全部隊“8200”退役老兵創(chuàng)立,他們運用人工智能學習算法檢測軟件結(jié)構(gòu)及程序特征,發(fā)現(xiàn)惡意軟件。Deep Instinct能夠同時檢測并阻止所有資產(chǎn)中“首次出現(xiàn)”的惡意活動。公司的大部分員工都擁有高等數(shù)學學位,以色列特拉維夫和美國硅谷都有他們的辦公地點。
Deep Instinct公司運用深度學習在實驗室構(gòu)造了一個巨型神經(jīng)網(wǎng)絡,并用一組包含了8000個惡意軟件的樣本對程序進行訓練。這么做目的是為了訓練軟件,從而檢測出惡意軟件特征性的程序調(diào)用和小的模塊組合。Deep Instinct的學習方法將惡意軟件樣本分解為大量的小“碎片”,惡意軟件從而可以進行映射,就像是基因組序列便是由成千上萬更小的序列組合構(gòu)成。這些被“分解”的樣本仍是二進制位字符串,用于訓練神經(jīng)網(wǎng)絡進行系統(tǒng)地識別。在進行了數(shù)百萬次計算之后,神經(jīng)網(wǎng)絡運行于一個GPU集群中,最終得出一個能夠指向終點的靜態(tài)神經(jīng)網(wǎng)絡結(jié)果。
由于該解決方案不能進行更新,它運行得非常快同時占用的計算機資源很少。因此網(wǎng)絡管理員基于當下的威脅生態(tài)環(huán)境,決定進行有間隔的更新。
Deep Instinct惡意軟件識別率遠超傳統(tǒng)安全公司
Göttingen大學舉行的對16000個惡意軟件樣本進行識別測試中,來自西門子CERT、Bit-Defender、McAfee、Trend(趨勢科技)、AVG、卡巴斯基、Sophos以及其他安全公司平均識別率為61%, 而Deep Instinct對于惡意軟件的識別率則高達98.86% 。測試所使用的是德國發(fā)開的DERBIN測試,這里有介紹。一些惡意軟件樣本自主突變,而其功能并沒有受到影響。PDF惡意軟件的識別率是99.7%,可執(zhí)行文件的檢測率為99.2%。為公平起見,Deep Instinct僅使用所有樣本中的8000個進行訓練,仍然取得了令人驚訝的結(jié)果。
Cylance和FireEye同樣使用了機器學習,將一些理論更為先進的檢測軟件運用其中。但是他們使用沙箱,至少比Deep Instinct使用得多,而且他們也不進行具有低誤報率的實時監(jiān)測。
英國Dark Trace公司,針對網(wǎng)絡流量使用威脅指標,采用機器學習徹底改變了其威脅檢測方式;Cybereason則開發(fā)了一種不同的檢測方式,對其他威脅模式進行分析,諸如外部指標、不同的域以及威脅情報等等。
與其他同樣采取先進的科學技術手段的這些新興安全公司相比,Deep Instinct又憑借什么脫穎而出呢?Deep Instinct預期到今年第二季度時,將擁有一個據(jù)稱“可以取代防火墻”的流量模塊,該模塊可用于檢測惡意軟件和APT,而它更像是一個有很大作用的幫手。
安全檢測行業(yè):后浪拍前浪
據(jù)Guy Caspi介紹,朝鮮黑客針對索尼影業(yè)的網(wǎng)絡攻擊采用的是一種新型惡意軟件,攻擊者僅對已有的惡意軟件稍加修改而成,過程并非十分復雜。當各種機構(gòu)的邊界在無限擴展時,惡意軟件檢測的難度也逐漸增加,出現(xiàn)的新威脅與移動訪問已經(jīng)蔓延至眾多組織機構(gòu)的網(wǎng)絡邊緣。
因此,包括三星、高通和Nvidia在內(nèi)的一些大公司可能會對Deep Instinct進行“投資”。而Deep Instinct的產(chǎn)品采用了相對保守的價格,在同行中保有極大的競爭力。
基于簽名的惡意軟件檢測變得越來越不準確,而且沒有可拓展空間。將惡意軟件“粉碎”成微小顆粒之后,通過神經(jīng)網(wǎng)絡進行分析,Deep Instinct便能發(fā)現(xiàn)發(fā)現(xiàn)一個惡意軟件的“本來面目”,任何突變都無法掩蓋它作為惡意軟件需要具備的功能。一旦挑戰(zhàn)成功,Deep Instinct的安全產(chǎn)品將改寫安全檢測市場的游戲規(guī)則,不知道這次是誰家的股票要跳水了。
京公網(wǎng)安備 11010502049343號