深度学习：能击败欧洲围棋冠军，还能防恶意软件

上月底，权威科学杂志Nature发表了一篇关于谷歌人工智能程序AlphaGo击败欧洲围棋冠军的文章，其中介绍了AlphaGo程序的细节，它 实际上 是一个结合了深度学习与树搜索（tree-search）的程序。虽然，对弈发生于去年十月，但还是在网络及朋友圈引起不小轰动：人类智力最后的骄傲崩塌了吗？

在对问题进行肯定或否定的回答前，我们先来了简单了解一下这些概念。

FreeBuf 百科：什么是人工智能、机器学习和深度学习

图片来源：《 从机器学习谈起 》

人工智能（Artificial Intelligence，简称AI）：

作为计算机学科的一个分支，按字面理解，人工智能是指有人工制造的系统所表现出来的智能，通常就是指通过普通电脑实现的智能。

目前，人工智能这门学科的目的已经发展为“开发一个模拟人类能在某种环境下做出反应和行为的系统或软件”。由于这个领域涉及非常广泛，因此出现多个子目标，每个子目标都发展为一个独立的研究分支。AI要完成的主要目标如下（也称作AI问题）：

1、Reasoning（推理）；
2、Knowledge representation（知识表示）；
3、Automated planning and scheduling（自动规划）；
4、Machine learning（机器学习）；
5、Natural language processing（自然语言处理）；
6、Computer vision（计算机视觉）；
7、Robotics（机器人学）；
8、General intelligence or strong AI（通用智能或强人工智能）；
……

机器学习（Machine Learning，简称ML）：

机器学习这一领域则是由AI的一个子目标发展而来，用于帮助机器和软件进行自我学习以解决遇到的问题。

机器学习是一种让计算机在没有事先明确的编程的情况下做出正确反应的科学。

至于如何实现机器学习，借用 知乎网友 的回答概括：

简单点说，机器学习需要数据，也需要模型。有了这两样，把模型放在数据上通过优化算法自动调整模型参数的过程就是训练。 训练出来的就是模型中的参数。

深度学习（Deep Learning，简称DL）：

深度学习是机器学习的一个分支，它基于试图使用包含复杂结构或由多重非线性变换构成的多个处理层对数据进行高层抽象的一些列算法。可能有些抽象，其实理念非常简单，“就是传统的神经网络发展到了多隐藏层的情况”。

利用“深度学习”防御恶意软件

通过签名或者基于启发式的恶意软件检测方法已渐弱，这就是说大多数杀毒（AV）程序对于变异的恶意软件鲜有作用，特别是抵御APT（高级持续性威胁）攻击时。恶意软件通常由大约1000行代码构成，而变更其中的1%，便可让大部分AV束手无策。

五六年前机器学习开始被用于解决非线性问题，如人脸识别、认识恶意软件，以及通过某种特征对程序进行抓取。而沙盒以及其他基于机器的技术，都没法做到比深度学习更加迅速和准确。

Deep Instinct 是一家安全公司，由Guy Caspi和Eli David两名以色列国防网络安全部队“8200”退役老兵创立，他们运用人工智能学习算法检测软件结构及程序特征，发现恶意软件。Deep Instinct能够同时检测并阻止所有资产中“首次出现”的恶意活动。公司的大部分员工都拥有高等数学学位，以色列特拉维夫和美国硅谷都有他们的办公地点。

Deep Instinct公司运用深度学习在实验室构造了一个巨型神经网络，并用一组包含了8000个恶意软件的样本对程序进行训练。这么做目的是为了训练软件，从而检测出恶意软件特征性的程序调用和小的模块组合。Deep Instinct的学习方法将恶意软件样本分解为大量的小“碎片”，恶意软件从而可以进行映射，就像是基因组序列便是由成千上万更小的序列组合构成。这些被“分解”的样本仍是二进制位字符串，用于训练神经网络进行系统地识别。在进行了数百万次计算之后，神经网络运行于一个GPU集群中，最终得出一个能够指向终点的静态神经网络结果。

由于该解决方案不能进行更新，它运行得非常快同时占用的计算机资源很少。因此网络管理员基于当下的威胁生态环境，决定进行有间隔的更新。

Deep Instinct恶意软件识别率远超传统安全公司

Göttingen大学举行的对16000个恶意软件样本进行识别测试中，来自西门子CERT、Bit-Defender、McAfee、Trend（趋势科技）、AVG、卡巴斯基、Sophos以及其他安全公司平均识别率为61%， 而Deep Instinct对于恶意软件的识别率则高达98.86% 。测试所使用的是德国发开的DERBIN测试，这里有介绍。一些恶意软件样本自主突变，而其功能并没有受到影响。PDF恶意软件的识别率是99.7%，可执行文件的检测率为99.2%。为公平起见，Deep Instinct仅使用所有样本中的8000个进行训练，仍然取得了令人惊讶的结果。

Cylance和FireEye同样使用了机器学习，将一些理论更为先进的检测软件运用其中。但是他们使用沙箱，至少比Deep Instinct使用得多，而且他们也不进行具有低误报率的实时监测。

英国Dark Trace公司，针对网络流量使用威胁指标，采用机器学习彻底改变了其威胁检测方式；Cybereason则开发了一种不同的检测方式，对其他威胁模式进行分析，诸如外部指标、不同的域以及威胁情报等等。

与其他同样采取先进的科学技术手段的这些新兴安全公司相比，Deep Instinct又凭借什么脱颖而出呢？Deep Instinct预期到今年第二季度时，将拥有一个据称“可以取代防火墙”的流量模块，该模块可用于检测恶意软件和APT，而它更像是一个有很大作用的帮手。

安全检测行业：后浪拍前浪 

据Guy Caspi介绍，朝鲜黑客针对索尼影业的网络攻击采用的是一种新型恶意软件，攻击者仅对已有的恶意软件稍加修改而成，过程并非十分复杂。当各种机构的边界在无限扩展时，恶意软件检测的难度也逐渐增加，出现的新威胁与移动访问已经蔓延至众多组织机构的网络边缘。

因此，包括三星、高通和Nvidia在内的一些大公司可能会对Deep Instinct进行“投资”。而Deep Instinct的产品采用了相对保守的价格，在同行中保有极大的竞争力。

基于签名的恶意软件检测变得越来越不准确，而且没有可拓展空间。将恶意软件“粉碎”成微小颗粒之后，通过神经网络进行分析，Deep Instinct便能发现发现一个恶意软件的“本来面目”，任何突变都无法掩盖它作为恶意软件需要具备的功能。一旦挑战成功，Deep Instinct的安全产品将改写安全检测市场的游戏规则，不知道这次是谁家的股票要跳水了。