未知病毒，特征检测引擎永远的痛

随着网络技术的发展，当今网络病毒包含大量的已知病毒变种和新型未知病毒，病毒具有传播速度更快、破坏能力更强、使用更多的加壳和隐藏技术等特点，使病毒检测工作面临着巨大挑战。

目前主流的病毒检测方法是使用特征码扫描技术，其基本原理是：提取已知病毒样本中的一段二进制特征码，该特征码能唯一识别该类病毒，将此特征数据添加到病毒特征库中，在病毒检测时搜索病毒特征库查找是否存在匹配的病毒特征数据来检测是否存在病毒。该技术能快速和准确地识别已知病毒，但无法识别新型未知病毒，同时大量已知病毒变种的传播无疑给检测过程带来很大的阻碍。

通过沙箱技术对异常文件行为进行监控和分析作为当前较为流行的未知病毒检测方法，是通过将未知病毒文件运行在虚拟环境下检测病毒行为的方法。检测结果依赖于分析技术的专业水平，一般情况下能够取得较好的识别率，但多为分钟级响应，检测效率相对低下。

如何对病毒进行高效且准确的分类，使得分析过程自动识别过滤病毒变种并快速锁定新型病毒，对反病毒研究工作显得尤为重要。

AI之深度学习，未知病毒检测的大杀器

北京中科网威推出的基于深度学习的病毒检测是一种先进的人工智能（AI）检测方法，采用深度学习技术对海量已知病毒样本进行图像处理，按照图像识别的方式识别病毒，能够不断学习和自我进化，不但能够对已知文件进行病毒检测（例如宏病毒、勒索病毒、蠕虫、木马等），而且能够对病毒变种和未知病毒进行有效检测，并实现秒级甚至毫秒级响应，大幅提高检测效率。

基于深度学习的病毒检测能力

AI赋能，更胜一筹

基于深度学习的病毒检测，使用深度学习模型（深度神经网络）对分类过程建模，实现输入文件（或其特征）到输出分类的映射。具有以下特点：

1.自行学习，自动检测。深度模型的训练过程中，模型可以自行学习到与最终分类结果最相关的原始输入特征，这避免了手工定制特征所需的先验专业知识和工作量。

2.准确率高，误报率低。深度学习模型使用的深度神经网络可以建立复杂得多的输入空间到输出空间的映射关系和更高层次抽象知识的学习和表达能力。因此深度学习模型通常可以提供更高的分类精度，以及实现对未见样例的更准确预测。

3.跨平台，执行效率高。深度学习模型可识别跨平台的病毒，不依赖虚拟化，执行效率高。

4.轻量级，易于集成。基于深度学习的病毒检测是一个独立的动态链接库模块，系统资源占用少。模块以标准C接口函数形式提供病毒分类识别的基本功能，可以方便地被各种网络安全产品主程序调用。

自主可控+AI，敢为人先

与主流深度学习硬件平台相比，当前自主可控处理器的计算性能还存在一定差距。如何在保证AI模型精度不明显衰减的前提下，精简出高效模型以适应硬件，同时最大程度地挖掘自主平台的计算性能潜力，成为研发工作中的最大难题。

北京中科网威研发团队经过深入研究，自行定制和优化了深度学习模型，包含文件预处理算法、自定制的图像分类模型等，实现了高精度的未见样例的预先分类。

通过使用大量的病毒样例文件训练深度学习模型，模型将学习到病毒文件二进制位图中的不变性特征，这些特征往往本质上反应了其恶意行为。深度学习模型可以应对新文件中任意位置出现的特征及其位图缩放，因此可以对未知新病毒文件进行分类识别。

基于深度学习的病毒检测框架

随着人工智能应用领域的不断拓展，智能化网络安全产品已经成为业界热点，但是当前研究进展大都集中于通用处理器平台。弄潮儿向涛头立，手把红旗旗不湿。北京中科网威作为自主可控网络安全行业的领跑者，时刻跟进和把握前沿技术，仅仅半年就自主研制出基于深度学习的病毒检测模块，具备自动化、智能化的病毒检测能力，可以集成到所有处理器平台（目前申威、龙芯、飞腾、x86均通过测试），用于中科神威防火墙、IDS等多款网络安全产品，成功填补了智能化自主可控网络安全产品的空白。

中科网威

北京中科网威信息技术有限公司成立于1999年，前身是中科院 1996年成立的“网威安全工作室”，是我国较早从事网络安全技术研究及网络安全产品研发、生产、销售和服务的国有参股企业。 公司是国家高新技术企业，具备军工资质。总部位于北京市，在天津、郑州、无锡等地设有多个分公司及研发中心，拥有覆盖全国的营销和服务支撑体系。 经过二十年的发展和积累，形成了成熟的产品和技术研发体系，拥有了稳定可靠的自主可控防火墙、入侵检测、入侵防御、等系列产品，在党政、军队、军工等领域有着十分广泛的成功应用案例并获得用户的一致好评。