独立测试机构AV-TEST研究所报告指出，每天出现的新恶意软件变种大约在39万个左右。杀软巨头赛门铁克则称此数字应该是100万个左右，而且这些都是尚未记录在案的新型恶意软件。

即使我们选择相信较小数字的估测，情况也是不容乐观的。尤其是这些新恶意软件指的是高级持续性威胁（APT）的时候。APT是病毒和恶意软件最复杂的变种，我们今日所用的很多网络安全技术完全检测不出。甚至安全专家都告诉公司企业，不用考虑攻击是否成功，因为那是一定的，只需要准备好应对攻击成功之后的事态就行。

过去几年中，我们见证了多种不同检测技术的进化演变。最先是签名技术，通过将未识别代码与已知恶意软件进行对比来检测。时至今日，每天都有百万个新恶意软件变种涌入互联网，这种技术早已过时是毋庸置疑的。

接下来出现的，是启发式检测技术，基于代码中的行为特征来识别恶意软件。这一技术演变为观察软件执行时代码的行为特征，催生了沙盒技术，也就是将未知代码放入虚拟环境中运行，查看是否具有恶意。

最近，我们见证了机器学习用以检测恶意软件的兴起。

该技术采用复杂算法对手动从文件自身提取的一系列属性进行分析，判定文件可能的行为是恶意的还是良性的。

机器想要做出决策，就必须由人类告诉它需要观察哪些参数、变量或函数。通常，机器学习网络安全解决方案被用以识别某种可疑情况，但该采取何种措施的最终决策，还是要留给人类分析师来做。

现在，恶意软件检测的新演化已经迈向了市场。其中 Deep Instinct 的解决方案令人称奇。

它是市场上首款基于深度学习的网络安全解决方案。深度学习是人工智能的高级形式，采用与人类大脑学习识别事物相类似的过程。深度学习可能会对未来安全带来巨大影响，尤其是在检测零日恶意软件、新恶意软件和非常复杂的APT上。

一旦机器知晓恶意代码可能的样子，它就能以极高的准确度实时识别出未知代码是恶意还是良性的。然后，就可以确定是删除还是隔离该文件，或者执行其他指定动作。

那么，机器是如何学习识别恶意软件的呢？大致与人类的学习过程相同。假设你带个小孩去公园，指给他看一条狗，对他说“这是狗”。然后你带他看各种不同的狗，这一监管下的训练过程就能帮助小孩学习。你不用解释为什么这是一条狗，只用告诉他这是狗就行了。到了一定时候，小孩子就能分辨出一只他从未见过的动物是一条狗，而且这一认知是实时而又高度确定的。给他看狗狗的照片他会认出这是一条狗，移除照片20%甚至更多的像素，他还是能迅速认出这是一条狗。

Deep Instinct 采用这一过程帮助其核心引擎学习识别恶意代码。

该公司收集了数以亿计的各类文件——Word文档、PDF、可执行文件，等等等等。文件格式无关紧要，因为数据类型对深度学习而言是不可知的。研究人员对这些文件进行测试，将它们分类为恶意或合法的。然后，他们将此大规模数据集反馈进他们的引擎（人工大脑）进行训练。最终结果，就是该公司成为“本能”的一个预测模型。

“本能”与上面所说的小孩子经训练后可实时准确辨认未知事物的情况非常类似。

预测模型可以打包进一个小巧的客户端中。该客户端可以应用到任何类型的设备上：PC、笔记本电脑、平板、智能手机、服务器等等——只要运行有操作系统就行。当文件被打开或下载，就会触发一个进程，该客户端会将文件分解为最小的碎片，用预测模型将所有碎片过一遍。然后，“本能”会用训练中学到的东西来判断该文件是否是恶意软件。这一切发生在大约5毫秒之内。设备上发生的所有事都是实时的，删除也好，封锁也好，怎么都好，总之，恶意软件搞破坏之前就能应用企业的策略干掉它。而且，对用户的使用体验毫无影响。

因为该客户端封装了分析未知文件所需的所有东西，它独立于企业网络甚至互联网。这意味着，无论联没联网，设备都能被保护。举个例子，一名员工正在机舱里，手中的设备被设置成了飞行模式。如果他插入感染了恶意软件的U盘，设备上的客户端也能以预执行模式分析U盘上文件，在恶意软件感染设备之前检出之。

Deep Instinct 的解决方案还有个无客户端版本，一样可以利用预测模型，拥有防护功能，只不过，不是在设备本身上。公司称，这个版本可以通过API（应用程序编程接口）和SDK（软件开发包）连接到任何类型的网关。比如说，可以集成到FireLayer的云访问安全代理中，对基于云的文件和应用做恶意软件检测和预防。

通过人工智能引擎的持续训练，可以改进预测模型，提升识别新型恶意软件的能力。尽管在设备上的客户端在缺乏更新的情况下，也能保持高度准确度长达数月之久。Deep Instinct 称，该客户端在4个月无更新情况下，恶意软件检测能力仅下降0.5%~1%。

由德雷宾大学和西门子计算机紧急响应小组进行的测试，将Deep Instinct 定位在了市场上顶级安全防御解决方案的基准上。

手机恶意软件识别测试中，10大安全厂商平均准确率为61.5%。Deep Instinct 的解决方案是99.86%。在另一个包含了1.6万个APT的数据集上所做的测试中，Deep Instinct识别出了98.8%的恶意软件。

Deep Instinct 解决方案的实施，需要在设备上安装一个客户端，在网络中安装策略管理装置、监控面板和报告系统。该公司称，将会用数据集文件为潜在客户进行概念验证，以便客户可以将该解决方案与现有网络安全工具进行对比。