丁海驁

“Sophos自己開發(fā)的深度學(xué)習(xí)算法，呈現(xiàn)出一種互相聯(lián)結(jié)的神經(jīng)層，我們稱之為網(wǎng)絡(luò)神經(jīng)元，就類似人類復(fù)雜的神經(jīng)系統(tǒng)一樣。”李黎，Sophos售前工程師日前在接受采訪時(shí)，談到Sophos剛剛推出的Sophos Intercept X，強(qiáng)調(diào)：Sophos Intercept X新增的深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)，與傳統(tǒng)意義上的機(jī)器學(xué)習(xí)是有區(qū)別的，其具有更快的速度、更準(zhǔn)確的結(jié)果，以及更少的誤報(bào)率。

眾所周知，機(jī)器學(xué)習(xí)理論事實(shí)上是從數(shù)據(jù)中自動(dòng)分析獲得規(guī)律，并利用規(guī)律對未知數(shù)據(jù)進(jìn)行預(yù)測的一種算法。所以對于算法的設(shè)計(jì)，是其是否能夠發(fā)揮更大價(jià)值的關(guān)鍵——因此，雖然很多的IT產(chǎn)品都聲稱采用了機(jī)器學(xué)習(xí)技術(shù)，但是由于采用的算法不同，其效率和效益往往不具有可比性。

實(shí)際上，在現(xiàn)在的IT領(lǐng)域，將各種新興技術(shù)應(yīng)用到各種業(yè)務(wù)場景，已經(jīng)成為IT系統(tǒng)和服務(wù)提供商的“標(biāo)配”。而Sophos此次要證明的是：其自主研發(fā)的、被應(yīng)用到端點(diǎn)保護(hù)方案的“深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)”，將能夠大大提高用戶對惡意軟件的檢測功能，結(jié)合主動(dòng)黑客攻擊緩減、先進(jìn)的應(yīng)用程序鎖定，以及增強(qiáng)型勒索軟件防護(hù)等功能， 從而實(shí)現(xiàn)了前所未有的檢測和預(yù)防能力。

從純粹的技術(shù)角度看，在機(jī)器學(xué)習(xí)眾多的算法當(dāng)中，目前比較多被采用的有決策樹算法和隨機(jī)森林算法，前者根據(jù)數(shù)據(jù)的屬性，采用樹狀結(jié)構(gòu)建立決策模型，是直觀運(yùn)用統(tǒng)計(jì)概率分析的一種方法；后者則是用隨機(jī)的方式建立一個(gè)森林，森林里面有很多的決策樹組成，而且每一棵決策樹之間沒有關(guān)聯(lián)。

如果想要把機(jī)器學(xué)習(xí)應(yīng)用到具體的業(yè)務(wù)場景，還需要在算法模型的基礎(chǔ)上，提供具有針對性的訓(xùn)練。一般來說，訓(xùn)練的樣本和屬性越多，得到的預(yù)測結(jié)果會(huì)越好，但是添加的數(shù)據(jù)越多，模型也會(huì)變得更加復(fù)雜，所占用的運(yùn)算資源也越多，速度也越慢。實(shí)踐的結(jié)果顯示：“決策樹算法”計(jì)算的速度快，但是結(jié)果正確率低；“隨機(jī)森林算法”的結(jié)果雖然精準(zhǔn)，但占用的計(jì)算資源大，運(yùn)算時(shí)間長——難以兩全齊美。

“Intercept X的深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)，讓系統(tǒng)可以通過經(jīng)驗(yàn)進(jìn)行學(xué)習(xí)，從而在觀察到的行為和惡意軟件之間，建立關(guān)聯(lián)。這些關(guān)聯(lián)性分析，提高了對現(xiàn)有的和零日惡意軟件檢測的精確性，降低了誤報(bào)率。ESG實(shí)驗(yàn)室的分析表明，這種神經(jīng)網(wǎng)絡(luò)模型很容易擴(kuò)展，并且它得到的數(shù)據(jù)越多，模型就變得越智能。這樣就可以主動(dòng)進(jìn)行檢測，而且不會(huì)影響管理或者系統(tǒng)性能?！盩ony Palmer，企業(yè)戰(zhàn)略集團(tuán)（ESG）高級(jí)認(rèn)證分析師如是說。

在提高精度和減少誤報(bào)之間找到最佳的平衡點(diǎn)，顯然是深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)給予Intercept X最顯而易見的價(jià)值。

一方面，Sophos Intercept X的深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)，由于融入了自身多年積累的經(jīng)驗(yàn)和知識(shí)——通過將實(shí)驗(yàn)室研究和數(shù)據(jù)科學(xué)的結(jié)合，為用戶提供一種可預(yù)見的、以往不能被避免的攻擊。

“跟汽車一樣，以往的安全氣囊等都是被動(dòng)的安全設(shè)施；而現(xiàn)在所裝備的自適應(yīng)系統(tǒng)，能夠在發(fā)現(xiàn)和預(yù)見危險(xiǎn)的情況下，自動(dòng)實(shí)現(xiàn)減速、停車，甚至變線，這對于駕駛者來講，就是一種主動(dòng)的安全設(shè)施。”鐘明輝，Sophos公司中國大區(qū)總經(jīng)理如是說。

而在Sophos的合作伙伴Networking Technologies and Support Inc.業(yè)務(wù)運(yùn)營高級(jí)副總裁Mark Brandon看來，Sophos Intercept X的深度學(xué)習(xí)模型可在已知和未知的惡意軟件以及潛在不需要的應(yīng)用程序（PUA）執(zhí)行前，無需依靠特征碼對其進(jìn)行檢測，這對于解決用戶零點(diǎn)漏洞、應(yīng)對勒索軟件的短板，具有極大的價(jià)值，是一種非常有益的補(bǔ)充：“2017年的勒索軟件讓大家最為頭痛，我們曾采用傳統(tǒng)的端點(diǎn)保護(hù)措施盡力去阻止它”，通過將Sophos Intercept X與其他傳統(tǒng)的端點(diǎn)保護(hù)方案一起安裝，“我們就可以立即解決這一問題”。

另一方面，減少誤報(bào)對于用戶也同樣具有價(jià)值?！罢`報(bào)幾乎和實(shí)際威脅一樣耗費(fèi)時(shí)間。在IT資源有限的情況下，我們希望能夠集中精力保證業(yè)務(wù)高效運(yùn)營，員工能夠有更多的時(shí)間去支持業(yè)務(wù)目標(biāo)，而不是追風(fēng)逐影?！盌enney Fifield，Strong& Hanni PC公司的技術(shù)服務(wù)主管的觀點(diǎn)代表了絕大多數(shù)企業(yè)IT運(yùn)維人員的態(tài)度。

在Sophos提供的一項(xiàng)統(tǒng)計(jì)數(shù)據(jù)顯示，在保證極高準(zhǔn)確率的前提下，通過應(yīng)用Intercept X產(chǎn)生的誤報(bào)率，被控制在萬分之一以下，與傳統(tǒng)安全解決方案的誤報(bào)率接近（但準(zhǔn)確性高于傳統(tǒng)安全方案一倍），但明顯低于傳統(tǒng)算法機(jī)器學(xué)習(xí)解決方案的百分之一誤報(bào)率?！拔覀兊乃惴ㄔ谄渲邪l(fā)揮了更大的作用，由于能夠從更多維度進(jìn)行分析和解讀，所以Intercept X不再需要簽名庫來區(qū)別可執(zhí)行文件的安全，而是通過更有價(jià)值的行為分析等方式，來發(fā)現(xiàn)具有隱患的安全漏洞，所以在保證準(zhǔn)確率的前提下，Intercept X能夠并不神經(jīng)質(zhì)，所以誤報(bào)率方面同樣值得信任?！崩罾枵f。

寫在最后

作為一家能夠提供防火墻、端點(diǎn)安全和數(shù)據(jù)安全解決方案的網(wǎng)絡(luò)安全系統(tǒng)提供商，Intercept X將通過基于云的管理平臺(tái)Sophos Central進(jìn)行部署，并能夠與任何廠商現(xiàn)有的端點(diǎn)安全軟件一同安裝，并即刻增加端點(diǎn)保護(hù)?！爱?dāng)與Sophos XG防火墻一起使用時(shí)，Intercept X引入的同步安全功能將進(jìn)一步增加保護(hù)能力。”接受采訪的鐘明輝表示，將機(jī)器學(xué)習(xí)等新興技術(shù)應(yīng)用到與網(wǎng)絡(luò)安全的各個(gè)方面，一定是未來的一個(gè)趨勢，而且Sophos也有這方面的計(jì)劃。