我们离真正的反恶意软件人工智能还差的很远

作者:星期一, 二月 27, 20170
分享:

网络安全产业斥重金布局与机器学习这项技术,是为了提供更强的恶意软件防护功能。本月举办的RSA大会就体现了大量关于人工智能在下一代抗病毒领域的讨论,即便这些术语并没被很好地定义。

ai

关于高性能的防护需求很明确,需求是来自两方面的:一是“坏人”植入的含大量病毒的恶意软件,二是在复杂环境下兴起的勒索软件。文档加密勒索软件,类似Locky,在过去的一年演变成一个能够吸引更多网络犯罪者的获利平台。

网络罪犯早在本世纪伊始甚至更早就开始通过多种不同的恶意软件(银行木马、间谍软件)进行诈骗,因为所谓的盈利动机会使行骗者在欺诈工具实施前花钱测试一下是否能够突破防护功能。不需要这些坏人亲自动手,所谓的“加密服务”能够保证恶意软件不被检测到。

发布多种版本的“坏东西”也变成这些网络罪犯的标准实践。

不过是模式识别而已

安全行业对这方面的响应已经实现基于云的自动化技术手段,而过去反病毒长时间都只能依靠签名检测这一种方法。白名单、启发式检测、基于行为的探测都作为一部分纳入多层防护当中。这很复杂,是并不容易被评价的综合体。

过去几年,供应商将云的应用作为与竞争对手的差异化优势。最近,过去几个月,市场上排天倒海涌来的人工智能作为大势出现并成为社交必须掌握的词汇。本次的RSA大会就成为了人工智能与反病毒二者的竞技场。

自标榜为下一代反病毒公司的Cylance,提出其是首家将人工智能应用在对抗恶意软件威胁的主张。事实上这种技术,在行家认为,更适合表达为一种模式识别与数据分析。

cylance-800

这种方式将带来多处裨益:在客户设备上更小的指纹、更低的攻击面和更小规模数量的更新需求。唯市场论的人则不探讨这些,尽管他们将Cylance描述为“第一家应用人工智能、算法科学与机器学习到网络安全领域的公司。”

SentinelOne,另一家竞争者,也提到交付基于“机器学习与强大行为学分析”的实时防护,将其诉求指向用AI解决安全问题。

都是夸夸奇谈?

当然,还有更多厂商声称他们使用了人工智能技术。AVAST、Sophos(部分因为他们最近收购了下一代厂商Invincea)等等。

长久以来,专家们一直对“模式识别、定理证明、神经网络、专家系统、机器视觉等所有的人工智能技术,已经应用在反恶意软件领域多年”持有争议。

类似于Cylance的下一代防病毒公司,声称是首批使用人工智能的厂商,而那些传统的开发者,则表示自己是这个领域的先驱。但却有公司开始讨论AI的替代品了,这就是 Carbon Black。它的技术基于事件流处理,精确地应用于每日交易的算法模型。类似应用场景上,“事件流预防”基于一个稳定的主机活动流来持续更新风险数据档案。

carbon-black-800

将人工智能作为反病毒软件的另一个选择,这很显然将人工智能假设为了一种已成熟的可以用来对抗恶意软件的技术。但说实话,这令人怀疑。

结语

人工智能目前处于市场、研究方面的高点,受到科技记者们的过于追捧。类似的事情,早在2000年时就已经出现过,比如当时在谈到神经网络代理时,就用到过这样的描述:“比爱因斯坦聪明一百万倍。”

这项科技并没比其他技术产出更多东西。也许只能在遥远的未来人工智能才可能驯化恶意行为,现在的AI无非只是换了启发式反病毒的包装。正如某些专家所说的“比 Alicia Vikander 更加的 Gary Numan”。

但无论发生什么,服务于企业级的安全软件提供商能要避免把安全娱乐化,甚至找些网红或科技达人来推广其产品。比如赛门铁克找来的饶舌歌手 Snoop Dogg,还有卡巴斯基曾找过的香港动作明星,就是两个努力到完全错误方向的例子。

相关阅读

信任问题算什么,情报共享才是硬道理
应对“非”恶意软件攻击 Carbon Black 发布“流预防”技术

 

分享:

相关文章

写一条评论

 

 

0条评论