每年1.2亿新恶意样本：每次攻击都是零日攻击时代

第一时间阻止恶意软件如今仍只是个梦想。但自动化、人工智能和深度学习有望改变这一现状。

黑客活动从根本上改变了网络防御的游戏规则。今天，对手也在应用自动化技术快速制造和发起大量新的攻击，每一款恶意软件如今都必须被当成零日漏洞利用来考虑，每一次攻击都必须当成高级持续性威胁(APT)来对待。

这一点儿都没夸张。AV-Test的研究显示，2017年发现的新恶意软件样本数超过1.2亿。相当于每天33.3万个新样本，每分钟230个新样本，每秒钟接近4个新恶意软件样本。

当不断变换的恶意软件大规模涌现的时候，传统防御很快就承受不住了。基于特征码的检测只对已知威胁有效。基于沙箱的检测技术赶不上新恶意软件的涌现速度，因为当企业被从未见过的恶意软件变种狂轰滥炸的时候，是没有足够的时间和资源去分析并识别攻击特征的。

第一时间阻止恶意软件攻击如今仍然只是一个美好的梦想，所以以时间来衡量的成功就成为了标准，但这个标准已经被恶意软件隐秘起效的本质给冲击得七零八落了。如果某个攻击成功了一次，但是以后的99次攻击都被阻止了，那这就是一个99%的防御成功率。但为了达到这99%的防御成功率，总有人要成为 “零号病人”。总有那么一个人要为团队担下一次成功攻击，以便从这初次攻击收集到的情报能够被共享并用于阻止后续攻击。但当攻击是全球大规模爆发的时候，当每年都有超过1.21亿新恶意软件样本的时候，零号病人就绝对不只是一个了。不幸沦为零号病人之一肯定不是什么良好的体验。

不过，自动化、人工智能和深度学习研发的进展为安全带来了希望的曙光。

深度学习是应用人工神经网络进行决策的一类机器学习。人工神经网络几年前便已出现，但最近处理性能的提升大大增强了其能力。同时，其底层技术的成本也下降了，深度学习应用如今很多行业都能负担得起，包括网络安全行业。事实上，深度学习的功能非常适合处理网络防御战中遇到的诸多挑战。

网络安全基本上就是关于数据和模式的问题。威胁情报服务与多年来聚集的各类威胁数据存储构建了一个巨大的威胁数据池，可用于训练基于深度学习的防御。将该巨大的威胁数据即馈送进神经网络，深度学习就能学会识别恶意流量，即便攻击是从未见过的全新攻击。

这不仅仅是理论上的。深度学习已经应用在现场和云端的网络入口点上，检查早期客户部署中的流量，并成功检测和封锁了前所未见的多态恶意软件，包括Emotet变体。深度学习的底层架构确保了威胁分析、判定和组织都发生在数秒之间，能够实时保障网络不受恶意软件侵害。

尽管尚处于早期阶段，而且至今没有任何独立测试发布，但深度学习能够取得巨大进展几乎是肯定的。在实验室和贝塔测试环境中，深度学习不断取得接近100%的威胁检测率，检测样本囊括已知威胁和零日威胁，且结果与操作系统或应用无关。

深度学习的安全意义十分重大，因为黑客已经开发出能够绕过或挫败沙箱、特征码之类传统防御的技术。深度学习的威胁检测结果表明，安全行业可能已经走到了能够遏制威胁升级的阶段，网络安全中传统的见招拆招模式——黑客制造并投送新恶意软件，安全供应商识别新变种并发布其特征码，然后黑客再创建更新的恶意软件变种加以响应，有望迈向终结。

当攻击者意识到自己能够运用自动化技术快速产生并分发恶意软件变种，令安全行业疲于应付，他们以极高的热情拥抱了这项新的能力。如果深度学习能够给安全行业带来回击的方法，以更高的速度和智能化水平挫败他们的攻击，那我们也应该热情拥抱这一新的力量。

AV-Test的研究：

https://www.av-test.org/en/news/the-av-test-security-report-20172018-the-latest-analysis-of-the-it-threat-scenario/