如果深度学习能识别一杯尿，那它也能用来识别恶意软件

这是一个悲伤的故事，你可能经历过。

你又热又渴，看到桌子上有一瓶看起来像水的东西，来不及思考，揭开瓶盖喝了一大口。哦！漏！是油！

时间回到10秒前，我们重来一次。

这一次，额外的剧情是，你有一个看不惯的死敌和你一起住（这种情况在合租大军中很容易出现），他放了一瓶类似水的不明液体在桌上。

你又进来了，有累又热又渴，这一次你又端起来这瓶液体。这一次，你仔细分析了这种物质、形状和体积，你利用曾经的斗争经验再次判断，然后信心满满地做出了正确选择，完美地躲避了这场恶作剧——一瓶100%纯尿。

福音来了

如果我把这瓶看似是水的东西放置在传统的计算机视觉模块下分析，可以轻易识别出来它的成分。如果我手欠，非得手抓瓶子再来试一次，由于手指光荣出镜，传统的计算机视觉模块突然无法识别了。但是，如果我机智地把系统升级，加入人工智能模块，即所谓的深度学习技术，那么即使手指出镜，这瓶液体也可以被识别出来。这就是在微小变化下，深度学习的好处——即使只能读取部分数据，大部分图像被遮盖，也能正确识别。

两类老办法"然并卵"

我们先简单回顾下检测恶意软件方案的历史。

基于签名的解决方案是最古老的恶意软件检测形式，它们也被称为传统的解决方案。为了检测恶意软件，防病毒引擎将一个身份不明的代码块的内容与它的数据库中已知的恶意软件签名相比较。如果与已知恶意软件签名不匹配，那么就要靠手动调整的启发式算法来生成一个新的手工签名，然后更新发布。

这个过程十分耗时，有时签名是在初步检测的数月后才发布。因此，这种检测方法无法与时俱进，跟不上每天产生百万个新的恶意软件变种的节奏，这也导致了企业和组织容易受到新的及已经被检测到却没有发布签名的威胁袭击。

用基于代码行为特点的启发式技术来识别恶意软件，产生了基于行为的解决方案。该恶意软件检测技术分析了恶意软件运行时的行为，而非针对恶意软件代码本身的硬编码。这种恶意软件检测方法的主要限制是，它仅能在恶意行动已经开始时发现恶意软件。结果，预防被推迟，有时甚至就是处理得太迟。

沙箱解决方案则是基于行为检测方法的发展。这些解决方案在一个虚拟的环境中执行恶意软件，以确定该文件是否恶意，而非检测运行时的行为指纹。虽然这种技术已被证明在检测精度上相当有效，但是由于过程耗时长，因此实时保护成本高。此外，新类型的恶意代码可以通过拖延执行逃避沙箱检测，从而构成新的挑战。

深度学习检测效果显著

使用人工智能侦测恶意软件的方法应运而生。

来，看我的手势，完美！