人工智能如何应对勒索软件

在六周的时间里，世界两次遭受勒索软件的重大攻击--恶意软件锁定存储在你电脑上的照片和其他文件，然后要求金钱释放它们。

很明显，这个世界需要更好的防御，幸运的是，这些防御正在开始出现，尽管速度很慢，而且是以拼凑的方式出现的。当他们到达时，我们可能要感谢人工智能。

勒索软件并不一定比潜入你电脑的其他恶意软件更狡猾或更危险，但它可能更令人恼火，有时甚至是毁灭性的。大多数这样的感染不会像勒索软件那样把你的数字东西从你身边拿走，也不会花数百美元或更多的钱把你打倒。

尽管有这些风险，许多人就是不善于跟上安全软件的更新。最近的两次勒索软件攻击都重创了那些未能安装几个月前发布的Windows update的人。

看门狗安全软件也有它的问题。根据安全研究人员的说法，在本周的勒索软件攻击中，最初测试的大约60个安全服务中只有两个抓住了它。

“许多正常的应用程序，尤其是在Windows上，表现得像恶意软件，很难区分它们，”加州安全供应商ProfPoint的专家瑞安·卡伦贝尔说。

如何发现恶意软件

在早期，识别恶意程序（如病毒）涉及将它们的代码与已知恶意软件数据库进行匹配。但是这种技术只是和数据库一样好；新的恶意软件变体很容易就会溜走。

因此，安全公司开始根据恶意软件的行为来描述它。在勒索软件的情况下，该软件可以通过加密文件来寻找锁定文件的重复尝试。但这可以标记普通的计算机行为，如文件压缩。

较新的技术包括寻找行为的组合。新西兰安全公司Emsisoft的首席技术官Fabian Wosar说，例如，一个在屏幕上不显示进度条的情况下开始加密文件的程序可能会被标记为秘密活动。但这也有可能在一些文件已经被锁定后，太晚识别有害软件。

一种更好的方法是使用通常与恶意意图相关的可观察的特征来识别恶意软件--例如，通过隔离一个用pDF图标伪装的程序来隐藏其真实本质。

这种恶意软件分析不会依赖于精确的代码匹配，所以它不能轻易被规避。这样的检查可以在潜在危险的程序开始运行之前进行。

机器vs。机器

不过，两三个特征可能无法正确区分恶意软件和合法软件。但打一打怎么样？还是几百？甚至上千？

为此，安全研究人员转向机器学习，这是人工智能的一种形式。安全系统分析好的和坏的软件样本，并计算出恶意软件中可能存在的因素组合。

当它遇到新软件时，系统会计算它是恶意软件的可能性，并拒绝那些得分超过某个阈值的软件。当某件事通过时，这是一个调整计算或调整阈值的问题。研究人员时不时地看到一种新的行为来教机器。

军备竞赛

另一方面，恶意软件编写者可以获得这些安全工具，并调整他们的代码，看看他们是否可以逃避检测。一些网站已经提供针对领先的安全系统测试软件。最终，恶意软件作者可能会开始创建自己的机器学习模型，以击败专注于安全的人工智能。

加州供应商CrowdStrike的联合创始人兼首席技术官德米特里·阿尔佩罗维奇（Dmitri Alperovitch）表示，即使一个特定的系统提供99%的保护，“这只是一个数学问题，即你必须偏离多少次攻击才能获得这1%。”

尽管如此，使用机器学习的安全公司声称成功阻止了大多数恶意软件，而不仅仅是勒索软件。SentinelOne甚至提供100万美元的防范勒索软件的担保；它还没付呢。

根本性的挑战

那么为什么勒索软件在最近几周仍然能够传播呢？

普通的杀毒软件--甚至是一些免费版本--可以帮助阻止新形式的恶意软件，因为许多软件还结合了行为检测和机器学习技术。但这类软件仍然依赖于恶意软件数据库，用户通常不善于保持最新。

CrowdStrike、SentinelOne和Cylance等下一代服务倾向于完全抛弃数据库，转而支持机器学习。

但这些服务侧重于企业客户，每台电脑每年收费40至50美元。小型企业通常没有预算--或对安全的关注--来提供这种保护。

而忘记了消费者；这些安全公司还没有卖给他们。尽管Cylance计划在7月份发布消费者版本，但它表示，这将是一个艰难的销售--至少在有人受到人身攻击或认识朋友或家人受到攻击之前。

正如Cylance首席执行官斯图尔特·麦克卢尔所说：“当你没有被龙卷风袭击时，你为什么要买龙卷风保险？”