用深度學習預見風險

丁海驁

“Sophos自己開發的深度學習算法，呈現出一種互相聯結的神經層，我們稱之為網絡神經元，就類似人類復雜的神經系統一樣。”李黎，Sophos售前工程師日前在接受采訪時，談到Sophos剛剛推出的Sophos Intercept X，強調：Sophos Intercept X新增的深度學習神經網絡，與傳統意義上的機器學習是有區別的，其具有更快的速度、更準確的結果，以及更少的誤報率。

眾所周知，機器學習理論事實上是從數據中自動分析獲得規律，并利用規律對未知數據進行預測的一種算法。所以對于算法的設計，是其是否能夠發揮更大價值的關鍵——因此，雖然很多的IT產品都聲稱采用了機器學習技術，但是由于采用的算法不同，其效率和效益往往不具有可比性。

實際上，在現在的IT領域，將各種新興技術應用到各種業務場景，已經成為IT系統和服務提供商的“標配”。而Sophos此次要證明的是：其自主研發的、被應用到端點保護方案的“深度學習神經網絡”，將能夠大大提高用戶對惡意軟件的檢測功能，結合主動黑客攻擊緩減、先進的應用程序鎖定，以及增強型勒索軟件防護等功能， 從而實現了前所未有的檢測和預防能力。

從純粹的技術角度看，在機器學習眾多的算法當中，目前比較多被采用的有決策樹算法和隨機森林算法，前者根據數據的屬性，采用樹狀結構建立決策模型，是直觀運用統計概率分析的一種方法；后者則是用隨機的方式建立一個森林，森林里面有很多的決策樹組成，而且每一棵決策樹之間沒有關聯。

如果想要把機器學習應用到具體的業務場景，還需要在算法模型的基礎上，提供具有針對性的訓練。一般來說，訓練的樣本和屬性越多，得到的預測結果會越好，但是添加的數據越多，模型也會變得更加復雜，所占用的運算資源也越多，速度也越慢。實踐的結果顯示：“決策樹算法”計算的速度快，但是結果正確率低；“隨機森林算法”的結果雖然精準，但占用的計算資源大，運算時間長——難以兩全齊美。

“Intercept X的深度學習神經網絡，讓系統可以通過經驗進行學習，從而在觀察到的行為和惡意軟件之間，建立關聯。這些關聯性分析，提高了對現有的和零日惡意軟件檢測的精確性，降低了誤報率。ESG實驗室的分析表明，這種神經網絡模型很容易擴展，并且它得到的數據越多，模型就變得越智能。這樣就可以主動進行檢測，而且不會影響管理或者系統性能。”Tony Palmer，企業戰略集團（ESG）高級認證分析師如是說。

在提高精度和減少誤報之間找到最佳的平衡點，顯然是深度學習神經網絡給予Intercept X最顯而易見的價值。

一方面，Sophos Intercept X的深度學習神經網絡，由于融入了自身多年積累的經驗和知識——通過將實驗室研究和數據科學的結合，為用戶提供一種可預見的、以往不能被避免的攻擊。

“跟汽車一樣，以往的安全氣囊等都是被動的安全設施；而現在所裝備的自適應系統，能夠在發現和預見危險的情況下，自動實現減速、停車，甚至變線，這對于駕駛者來講，就是一種主動的安全設施。”鐘明輝，Sophos公司中國大區總經理如是說。

而在Sophos的合作伙伴Networking Technologies and Support Inc.業務運營高級副總裁Mark Brandon看來，Sophos Intercept X的深度學習模型可在已知和未知的惡意軟件以及潛在不需要的應用程序（PUA）執行前，無需依靠特征碼對其進行檢測，這對于解決用戶零點漏洞、應對勒索軟件的短板，具有極大的價值，是一種非常有益的補充：“2017年的勒索軟件讓大家最為頭痛，我們曾采用傳統的端點保護措施盡力去阻止它”，通過將Sophos Intercept X與其他傳統的端點保護方案一起安裝，“我們就可以立即解決這一問題”。

另一方面，減少誤報對于用戶也同樣具有價值。“誤報幾乎和實際威脅一樣耗費時間。在IT資源有限的情況下，我們希望能夠集中精力保證業務高效運營，員工能夠有更多的時間去支持業務目標，而不是追風逐影。”Denney Fifield，Strong& Hanni PC公司的技術服務主管的觀點代表了絕大多數企業IT運維人員的態度。

在Sophos提供的一項統計數據顯示，在保證極高準確率的前提下，通過應用Intercept X產生的誤報率，被控制在萬分之一以下，與傳統安全解決方案的誤報率接近（但準確性高于傳統安全方案一倍），但明顯低于傳統算法機器學習解決方案的百分之一誤報率。“我們的算法在其中發揮了更大的作用，由于能夠從更多維度進行分析和解讀，所以Intercept X不再需要簽名庫來區別可執行文件的安全，而是通過更有價值的行為分析等方式，來發現具有隱患的安全漏洞，所以在保證準確率的前提下，Intercept X能夠并不神經質，所以誤報率方面同樣值得信任。”李黎說。

寫在最后

作為一家能夠提供防火墻、端點安全和數據安全解決方案的網絡安全系統提供商，Intercept X將通過基于云的管理平臺Sophos Central進行部署，并能夠與任何廠商現有的端點安全軟件一同安裝，并即刻增加端點保護。“當與Sophos XG防火墻一起使用時，Intercept X引入的同步安全功能將進一步增加保護能力。”接受采訪的鐘明輝表示，將機器學習等新興技術應用到與網絡安全的各個方面，一定是未來的一個趨勢，而且Sophos也有這方面的計劃。