終端戰爭中，新一代安全產品的叫嚷聲一直是最大的。他們宣稱在查找零日惡意軟件上機器學習比特征碼檢測更有效。然而，這種聲明起到了兩種效果：首先，沒錯，機器學習確實在檢測新威脅上更有效；另一方面，卻暗指第一代廠商除了特征碼檢測就沒別的招了。這第二條就大錯特錯了，來自第一代廠商的嚴重反擊是可以預見的。

如今，反擊已正式開場。數周前，Sophos發布了一款新產品，稱為 Intercept X。本月初，賽門鐵克旗艦產品SEP最大的更新升級放出：SEP14。這是一次近乎全新產品的全面革命性更新。未來幾個月里，我們可以預期其他第一代廠商還將陸續推出更多的發布。

賽門鐵克終端產品全球副總裁賈韋德·哈桑解釋道，SEP14是為了“更強的防護、更高的性能、精心策劃的響應”而生。這3點要求是以創新的方式疊加多種技術而達成，“單一技術”廠商不可能完成這一壯舉。

“單一技術”似乎是第一代廠商為反擊基于機器學習的新一代廠商而征用的詞匯，就像某些新一代廠商傲嬌地將第一代廠商簡單歸類為“特征碼檢測引擎”一樣。ESET高級研究員大衛·哈利最近的做法與之非常類似。“如果真的有代際差別，那就是老頑固們不像他們倚賴靜態特征碼一樣依賴單一算法；而小子們傾向于在市場營銷中大肆鼓吹非此即彼的觀點，宣稱自己不用特征碼，將機器學習捧成完美技術，惡意軟件一觸即退。”

這種“老頑固們”的多技術能力，存在于SEP14內部。想最大化惡意軟件檢測，最方便的途徑就是把所有東西都當做惡意軟件了；但在商業環境里，高誤報率是行不通的。真正的問題在于維持高檢測率的同時最小化誤報率。哈桑說：“我們一直保持SEP的極低誤報率標準。內部檢測中只有0.1%的誤報。”該誤報率采用特征碼檢測的系統可得，但采用機器學習檢測方法就不那么容易獲得了(機器學習得出的是概然率，而不是簡單易懂的是/否結果)。相反，機器學習的概然率更有可能檢測還沒有特征碼的未知惡意軟件。

SEP14如今尋求的是在不影響性能的情況下最大化兩種方法的好處。簡單講，SEP14在終端融入了機器學習代理，而將病毒庫移到了云端。“我們依然使用特征碼，但將其主體搬到了云端。特征碼的最大用途現在圍繞更低的誤報，而不是更高的檢測率。”如今，終端上的機器學習檢測到可疑文件，然后與賽門鐵克那全球最大的民用黑名單和白名單數據庫做對照。

有趣的是，云散列查找實際上比本地存儲的特征碼數據庫散列檢測還更快。“云查詢很小，因而檢測速度實際上還提升了——我們要么磁盤掃描，要么云端查詢。磁盤掃描耗時比云端查詢更長。機器學習檢測的東西也不是全部都需要云查詢的——只有在機器學習給出的概率留有懷疑空間的時候，才用云查詢還進行確認。”

正是機器學習算法和特征碼病毒庫的雙重檢測，讓SEP14保持極低的誤報率——最多只有2%，比某些新一代廠商的最低15%好太多了(哈桑提到，他說的所有數字將經已在進行的第三方測試證實，結果將于數周內公布。)

但該方法仍留有一個SEP14努力規避的安全弱點。機器學習想要檢測一個可疑文件，該文件必須是已經存到了磁盤上的。也就是說，感染已經發生；而這，是終端安全真正應該避免的。

本次發布的版本中我們加入的，是漏洞利用緩解技術——檢測攻擊者所用瞄準漏洞的方法。漏洞利用所用的技術其實相對較少。該緩解技術所做的，就是阻止這些。

Sophos上個月也表達了類似的觀點，稱只有大約24種基本漏洞利用方法。不同方法結合不同平臺(Word、PDF等等)，情況就復雜了，但與綜合惡意軟件特征碼庫的規模相比，幾乎可算微不足道。

終端上機器學習與漏洞利用緩解的結合，提供了最大的防護；而云端的特征碼確認，則最小化了誤報率。這一安排還有2個更深遠的好處：

終端上機器學習檢出的零日惡意軟件可被立即發送到云端，為所有客戶提供防護；
終端上的日常升級也相應減少。

“與SEP12相比，SEP14的更新減少了70%。更新不會完全消失，但被減少到相當于一天一封大郵件的量。”

哈桑魔法帽子里放出的最后一只兔子——編配。他說：“我們開啟了它，這樣客戶就可將SEP14與其他產品進行編配協調，或者通過腳本進行聯動。你可以從SEP14中抽出數據，使用腳本化的控制，在你想要修改終端安全狀態的時候就可以響應其他地方發生的事件了。”

好了，Sophos和賽門鐵克都整完了，下面等著看McAfee的吧。