當(dāng)人工智能遇上勒索病毒，你猜誰才是贏家？

過去六個星期時間里，全球已經(jīng)遭受兩次有關(guān)勒索的惡意軟件的大型攻擊，這些惡意軟件會鎖住儲存在電腦上的照片和其他文件，然后要求支付贖金。

顯而易見，全球需要更好的防御系統(tǒng)。幸運的是已經(jīng)開始出現(xiàn)這樣的防御系統(tǒng)了，盡管還剛起步，發(fā)展過程仍較混雜。當(dāng)這些防御系統(tǒng)得以完善的時候，我們可能還需要感謝人工智能。

比起其他攻擊你電腦的惡意軟件，勒索軟件不見得更復(fù)雜或者更有要害，但它可能會更令人惱火，有時甚至是一大禍害。大多數(shù)木馬病毒不會像勒索軟件那樣直接當(dāng)面消除你的電子文件，也不會勒索個幾百美元，讓你瑟瑟發(fā)抖。

盡管電腦里存在要修復(fù)的系統(tǒng)漏洞，很多人還是不會更新升級安全軟件。然而，近期兩起勒索軟件事件都攻擊了那些沒有安裝幾個月前就更新發(fā)布的Windows系統(tǒng)的電腦用戶。

當(dāng)然，安全監(jiān)管軟件自身也有問題。根據(jù)安全研究人員的說法，在本周的勒索軟件攻擊事件中，所測試的60個安全監(jiān)管軟件中，最初只有兩個軟件成功攔截勒索軟件。

加州安全供應(yīng)商專家RyanKalember說，"許多合法應(yīng)用程序運行起來很像惡意軟件，尤其在Windows系統(tǒng)上，所以而且很難將兩者區(qū)分開來"。

在早期，可以識別出病毒等惡意程序，并將其代碼與已知的惡意軟件數(shù)據(jù)庫相匹配。但該技術(shù)還是依賴于數(shù)據(jù)庫，新變異的惡意軟件一旦出現(xiàn)，就能輕松躲過監(jiān)測。

因此，安全監(jiān)管軟件公司開始通過辨別軟件運行模式來監(jiān)測惡意軟件。至于勒索軟件，監(jiān)管軟件可以監(jiān)測那些重復(fù)加密鎖定文件的運行模式。但這也會標(biāo)記像文件壓縮這樣正常的計算機運行方式為惡意行為。

更新的技術(shù)涉及尋找綜合的運行方式。例如，新西蘭安全公司Emsisoft的首席技術(shù)官FabianWosar說，一個程序開始加密文件，而不顯示屏幕上的進(jìn)度條，可能會被標(biāo)記為暗中運行方式。但這也有可能出現(xiàn)因鎖定一些文件，導(dǎo)致太晚識別惡意軟件的風(fēng)險。

更好的識別方法是監(jiān)測通常跟惡意軟件目的相關(guān)的一些顯性特征。例如，有的程序會偽裝成PDF圖標(biāo)，以隱藏其惡意軟件的事實。這種惡意軟件的性能分析不需要精確的代碼匹配，因此惡意軟件無法輕易躲過監(jiān)測。而且這種監(jiān)測可以先于具有潛在危險的程序運行之前進(jìn)行。

機器VS機器

僅兩三個特征可能無法正確區(qū)分惡意軟件和合法軟件。但幾十個特征呢？幾百個呢？甚至幾千個呢？

為此，安全研究人員求助于機器學(xué)習(xí)，也是人工智能的一種形式。安全系統(tǒng)分析了惡意軟件和合法軟件的樣本，并找出了惡意軟件的綜合因素。

遇到新軟件時，系統(tǒng)會自動計算出它可能是惡意軟件的概率，并阻止那些概率高于某一閾值的軟件。如果有些軟件想要通過監(jiān)測，就需要改進(jìn)運算或調(diào)整閾值。研究人員有時碰到新的惡意行為，便在機器上做出新調(diào)整。

一場軍備競賽

另一方面，惡意軟件作者也可以獲取這些安全監(jiān)測工具，并對代碼進(jìn)行調(diào)整，以判斷惡意軟件是否能躲過檢測。一些網(wǎng)站已經(jīng)開始提供針對主要安全系統(tǒng)的軟件測試。最終，惡意軟件作者可能會開始他們自己的機器學(xué)習(xí)模式，以擊敗安全的人工智能系統(tǒng)。

加州供應(yīng)商CrowdStrike的聯(lián)合創(chuàng)始人和首席技術(shù)官Alperovitch說，"即使某個安全系統(tǒng)提供99%的保障系數(shù)，但如何在多次攻擊中成為躲過的那1%，僅僅是一個數(shù)學(xué)問題。"

不過，運用機器學(xué)習(xí)的一些安全軟件公司聲稱，已經(jīng)成功阻止了大多數(shù)惡意軟件，而且不僅僅是勒索軟件。SentinelOne提供100萬美元來攔截惡意軟件。

一個根本性的挑戰(zhàn)

為什么勒索軟件還能在最近幾周內(nèi)傳播呢？

隨著許多軟件將運行監(jiān)測和機器學(xué)習(xí)技術(shù)結(jié)合，即使是一些免費的殺毒軟件，也能攔截各種新形式的惡意軟件。

但這類軟件仍依賴于惡意軟件數(shù)據(jù)庫，用戶通常無法及時更新數(shù)據(jù)庫。諸如CrowdStrike、SentinelOne和Cylance之類新一代服務(wù)公司傾向于徹底拋棄數(shù)據(jù)庫，轉(zhuǎn)而使用機器學(xué)習(xí)。

但這些服務(wù)主要面向企業(yè)客戶，每臺電腦每年收取40至50美元的費用。規(guī)模較小的企業(yè)往往沒有這類的預(yù)算。

忘了提消費者，這些安全服務(wù)公司還沒有向他們銷售產(chǎn)品。雖然Cylance計劃在今年7月發(fā)布一個消費者版本，但該公司表示，在有人遭到惡意軟件攻擊，或認(rèn)識的某位親友有這種遭遇之前，這都將是一項艱難的銷售。

正如Cylance首席執(zhí)行官斯圖爾特Stuart McClure所言："沒遭受龍卷風(fēng)的襲擊前，你怎么會去買龍卷風(fēng)保險呢？"

生成海報

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）