6周內2次，全世界被勒索軟件攻擊攪了個人仰馬翻。這種鎖定電腦上文件來要錢的的惡意軟件，令人痛苦抓狂又莫可奈何。

–

很明顯，世界需要更好的防御手段，而這些手段也很應景地開始出現了——雖然來得很慢，且是以修修補補的方式出現。它們的到來，我們應感謝人工智能。

勒索軟件未必比偷偷潛入我們電腦的其他惡意軟件更狡詐或危險，但卻更惡劣，有時候甚至是毀滅性的。其他惡意軟件大多不會采用勒索軟件的粗暴方式奪走你的數字資產，也不會威脅你交出幾百美元贖金。

除了這些風險，很多人還不擅長跟上安全軟件更新。最近的兩次大規模勒索軟件攻擊，痛打的是沒裝上幾個月前就發布的Windows更新的那些人。

安全軟件自身也有問題。比如上周的勒索軟件攻擊，安全研究人員測試的60種安全服務中，僅有2種檢測到了。

加州安全廠商Proofpoint的專家稱：“很多普通應用，尤其是Windows上的應用，與惡意軟件的表現也相差無幾，很難鑒別出來。”

怎樣找出惡意軟件

早期時候，識別病毒之類的惡意程序，一般就是將代碼與已知惡意軟件數據庫做匹配。但該技術只能鑒別出數據庫中包含的已知惡意軟件，對新變種無能為力。

于是，安全公司開始根據軟件行為描述惡意軟件。勒索軟件的案例中，安全軟件可以檢測通過加密來鎖定文件的行為。但這樣又可能會把正常的計算機操作也誤報成勒索軟件，比如文件壓縮行為。

更新的技術涉及檢查行為組合。比如，不顯示進度條的文件加密行為，就可能被標記為可疑隱秘行為。但這也有識別出有害軟件太遲的風險，可能導致部分文件已被鎖定。

更好的惡意軟件識別方法，通過觀察通常與不良意圖相關的特征：比如，偽裝PDF圖標以掩飾其真實意圖的程序，就會被隔離。

此類惡意軟件分析不依賴具體代碼匹配，也就不容易被規避。而且，可以在潛在危險程序開始執行前就執行此類檢測。

機器 VS 機器

誠然，2到3種特征可能無法正確區分惡意軟件和合法軟件。但幾十個特征呢?上百，乃至上千種呢?

對此，安全研究人員轉向了機器學習——人工智能的一種形式。該安全系統分析良性和惡意軟件樣本，找出惡意軟件中可能會出現的因素組合。

遭遇新軟件時，該系統會計算其是惡意軟件的概率，根據既定閾值進行屏蔽或放行。若有惡意軟件潛入，只需調整計算或重設閾值即可。時不時地，研究人員就會用新行為訓練機器學習算法。

軍備競賽

另一方面，惡意軟件作者也可獲得這些安全工具，調整自己的代碼，查看能否規避檢測。有些網站已提供了用主流安全系統檢測軟件的接口。最終，惡意軟件作者會開始創建他們自己的機器學習模型，對戰安全人工智能。

德米特里·阿爾普洛維奇，加州安全廠商CrowdStrike共同創始人兼首席技術官，稱即便某系統提供99%的防御，調整攻擊以獲取那1%的成功也只是個數學問題。

不過，采用機器學習的安全公司仍然宣稱可封鎖絕大部分惡意軟件，不僅僅是勒索軟件。SentinelOne甚至為勒索軟件提供100萬美元的擔保，而且至今尚未有任何賠付。

根本挑戰

那么，為什么勒索軟件依然橫行呢?

普通殺毒軟件，甚至一些免費版，都能幫助封鎖新型惡意軟件——因為很多都加入了行為檢測和機器學習技術。但此類軟件仍然依賴那些用戶不太擅長更新的惡意軟件數據庫。

下一代服務，比如CrowdStrike、SentinelOne和Cylance，傾向于用機器學習完全替代數據庫。

但這些服務專注企業客戶，每臺電腦年度許可要40~50美元。中小企業往往不具備此等預算，或者不關注此類防御。

這些安全公司也尚未打算發售消費級產品。盡管Cylance計劃在7月發布消費者版本，該公司同時也稱該銷售很難實施——至少要到個人遭到攻擊或知道有親朋遭到攻擊才會考慮發售。

正如Cylance首席執行官指出的：“沒遭到龍卷風襲擊的時候，何必要買龍卷風保險呢?”