微软中国：近20%恶意代码只在中国流行 具有中国本土特色

目前中国境内流行的网络威胁中，前三类非常的典型直观：木马、病毒和蠕虫。

值得注意的是，在中国流行的一些恶意代码，将近20%是在全球其他地方看不到的，具有中国本土特色。

微软中国首席安全观邵江宁，在11月7日的首届全球网络安全创新论坛上表示，我们原来用“三大件”：杀毒软件、防火墙、蠕虫检测，来应对很多的恶意代码。但在新的攻击形式下，可能效果不大。很多黑客或者发起恶意攻击的组织，是瞄着用户身份去的，一旦获取用户身份，再用一些不法的工具加以攻击，这是目前最大的威胁。从一些安全事故分析报告里面可以看到，此类攻击在全球需花费的发现时间长达8个月。也就是说黑客攻入你的系统后，拥有200多天的时间隐入你的网络，为所欲为。

我们应对网络安全防御的三大传统手段失效或者低效，归咎于三大问题，第一是非常复杂，需要手工配置，设置很多的边界条件、初始的门槛和策略，导致不够灵活。面对新威胁新挑战，效率特别低。第二容易误报，我们很多手工或者编程搭建的模型，它的误报比例非常高。

第三是万物互联的时代，传统的边界防御非常难。分享一个数字，在微软的平台上，平均每天监测到的恶意代码攻击数目达到900亿个。在全球范围内，96%的恶意代码只在1台机器上出现1次，在1000台以上机器出现过1次的代码只有0.01%。这样大的挑战就意味着，我们传统的速度（比较慢的手工防御或者手工干涉的机制），其实不能适应恶意代码本身的迭代和进化的速度，我们必须要用新的手段，包括使用人工智能，提高响应整个流程的自动化。

在网络安全方面，我们必须采用一些策略，包括三个方面，第一是平台，我们要保证平台的安全，从根本上把代码写得安全。第二是打造全球网络安全威胁情报，可能国内市场上听到炒作的概念比较多，但它真的是很有用。第三个是我们依赖于合作伙伴，一起打造统一的生态系统平台，保护网络平台安全。

我们的策略其实非常朴素：保护、探测、响应。每一步在传统的定义上都有突破和创新。我们的保护是跨越各个终端，希望从终端捕捉很多有用的数据。这些数据会输入深度学习人工智能平台。在探测方面，要形成一个完整的循环，探测只是整个响应流程中的起点，而不是重点。响应的最终目标就是缩短发现和响应之间时间差。

利用机器学习人工智能的技术，能够提高响应速度，还能够降低误报。人工智能运用在安全防御里的基本原则，就是利用数据，尤其是标注的数据，利用深度学习的模型，最后训练出一个模型，把这个模型放在实际环境里面进行应对。模型本身能够应对的这样一些场景比较多，应对复杂性能力也比较高，将来有更好数据也可以进行重复训练，提高模型的准确度。

“今天微软也已经不是传统的操作系统平台了，我们是人工智能平台，Windows10是我们第一款人工智能操作系统。我们的责任是普及人工智能，整个平台很多都是开源的，大家可以随时上去用。让大家一块儿来努力实现人工智能。”邵江宁最后总结到。