仅仅六周的时间，全球经历了两起大规模勒索软件攻击：WannaCry与NotPetya。在这期间，令黑客气焰高涨的是，勒索软件Erebus向韩国网络托管公司Nayana成功勒索683万元。

　　从目前的威胁形势来看，全球需要更好的防御措施，所幸的是，目前这种防御措施将开始出现。当这些措施实现时，也许人们要感谢人工智能给全球带来的福音。

　　虽然勒索软件的诱骗性和危险性不及其它恶意软件，但可能会进一步恶化，或带来毁灭性。

　　尽管面临如此严峻的网络威胁格局，许多人仍未养成更新安全软件的好习惯。最近这两起大规模勒索软件攻击给了这类人重重一击，人们愈发认识到安装Windows更新的重要性。

　　NotPetya来袭，安全软件几乎全军覆没

　　安全研究人员表示，监控安全软件也存在问题。NotPetya来袭时，在测试的60个安全软件中，只有2个安全软件在第一时间检测到了这款勒索软件。

　　加利福尼亚安全公司Proofpoint.赖安•卡莱博表示，大量常规的应用程序，尤其Windows上的应用程序，运作方式就像恶意软件，因此难以区分。

　　如何揪出恶意软件?

　　在早期，可以将恶意程序(例如病毒)的代码与已知恶意软件数据库进行对比，但新型恶意软件变种可能会轻易溜走。

　　因此，安全公司开始根据恶意软件的行为研究其中的特点。勒索软件可能会加密文件尝试多次将其锁定，但这种行为可能会被标记为普通的计算机行为，例如文件压缩。

　　新西兰安全公司Emsisoft的首席技术官富宾恩•瓦沙瑞表示，新型技术包括寻找行为的组合方式。例如，开始加密文件，未在屏幕显示进度条的程序可能会被标记为秘密活动，但同时也可能会带来风险，导致某些文件被锁定之后才成功识别恶意软件。

　　使用恶意意图相关的显著特征辨识恶意软件不失为一个更有效的方法，例如，隔离伪装成PDF图标隐藏真实身份的程序。

　　这类恶意软件的分析不依赖确切的代码匹配，因此不能轻易逃避。在潜在危险的程序运行之前执行此类检查较好。

　　机器Vs.机器

　　两三个特征可能无法正确辨识恶意软件与合法软件，那么几十个、几百个、甚至几千个特征会如何?
 

　　对此，安全研究人员转向了机器学习(属于人工智能的一种方式)。安全系统分析合法软件和恶意软件的样本，并找出恶意软件中可能出现的因素。

　　当遇到新软件时，系统会计算恶意软件存在的可能性，并拒绝未达到特定门槛分值的软件。当某些恶意软件顺利逃过检测，那就关乎计算或调整门槛。由此，研究人员发现一种教授机器的新行为。

　　恶意攻击者与防御者的竞赛

　　另一方面，恶意软件开发人员可以获取这些安全工具，并调整代码寻求规避检测的突破口。一些网站已经可以测试软件是否能够绕过领先的安全系统，而恶意软件开发人员可能会开始创建自己的机器学习模式，以击败专注安全的人工智能。

　　加利福尼亚安全公司CrowdStrike的创始人兼首席技术官德米特里•阿尔普洛维奇表示，即使一个特定的系统提供99%的保护，但有多少次能规避攻击的剩下1%只是数学问题。

　　不过，采用机器学习的安全公司声称，已经在阻止大多数恶意软件(不止是勒索软件)方面取得成功。安全公司SentinelOne甚至为阻止勒索软件提供了100万美元的担保金，目前该公司还未支付过这笔钱。

　　防病毒意识与消费意识需要提高

　　近几周内为何勒索软件仍能大肆传播?

　　普通的反病毒软件，甚至一些免费的反病毒软件能帮助阻止新型恶意软件，因为，许多反病毒软件也融合了行为检测和机器学习技术。但是，这类软件仍依赖用户不擅长更新的恶意软件数据库。

　　下一代服务，例如CrowdStrike、SentinelOne和Cylance倾向于以机器学习方式的挖掘数据库。但是，这些服务专注的目标是公司客户，每台电脑收费40至50美元(约为三百多人民币)。小型企业通常没有这笔安全预算，这些安全公司并没有将这些服务提供给消费者。虽然Cylance计划于7月发布针对消费者的安全服务版本，但它却表示销售会相当艰难。

(责任编辑：宋编辑)