【摘要】当AI技术应用于新领域时，给了新的创业者以新的机遇。新的创业者除了利用AI技术在新领域建立技术优势之外，更有必要在该新领域建立专利制高点，将技术优势转化为知识产权优势，获得与行业巨头同场竞技的机会或者巩固在该新领域的市场地位。

Cylance，致力于摘取皇冠上明珠的公司

▼

by

德理达-智能制造团队

在病毒时代或者传统的互联网安全领域，为保证用户访问网络过程的安全性，普遍需要对用户访问过程进行黑白名单数据（包括黑名单数据和白名单数据）控制，一般情况下，黑白名单数据由第三方系统提供，黑名单通常是指含有非法内容、可能对用户造成威胁的网站的名单，白名单通常是指合法的、不会对用户造成威胁的网站的名单，当用户访问黑名单中的网站时，根据黑白名单数据中的黑名单数据阻断用户的访问过程。

比如第三方系统扫描分析网站信息并提炼获取黑白名单数据，然后将获得的黑白名单数据发送至网络管理员（或者网络管理平台），网络管理员将获得的黑白名单数据通过网关的WEB界面同步给网关，网关将黑白名单数据刷新到内存中后，根据黑白名单对用户请求进行控制。

如今的信息社会已逐步从移动互联网时代步入了物联网时代，比如通过智能手机或可穿戴设备与车载终端或智能家具等各种智能设备实现互通互联。在这个万物互联的时代，网络安全形势将越来越严峻，显然不能再局限于“黑名单”和“白名单”这种传统的网络隔离手段进行安全管理。例如奇虎360等网络安全领域的大公司就提出有“大安全”的概念。

奇虎360公司的CEO周鸿祎在一个访谈节目中谈到“利用人工智能去主动扫描和发现漏洞是未来网络安全的一个方向，这个技术是现在网络安全领域中皇冠上的明珠，谁能先解决谁将来在网络安全上立于不败之地”。而本期要讲的就是一个致力于摘取这颗明珠的创业公司。

▼

致力摘取皇冠上明珠的公司：Cylance

本期将介绍一家将AI技术应用于网络安全的初创公司：Cylance，Cylance公司在网络安全领域引入AI技术，特别是机器学习，来帮助企业更好地分析网络威胁并响应攻击和安全事件。

Cylance公司位于美国加州欧文市（Irvine, California），是由Stuart McClure（Cylance公司的CEO） and Ryan Permeh于2012年成立，Cylance公司的主要业务之一在于开发能主动检测和预防病毒或恶意软件的软件产品，阻止病毒或恶意软件对用户的智能设备产生影响，帮助终端使用者，公司，政府解决最复杂的网络安全问题。Cylance公司的客户包括Amazon、IBM、splunk等。

Cylance公司的创始人Stuart McClure是网络安全领域的领军人物之一，其早前是安全咨询公司Foundstone的联合创始人，于2004年将Foundstone出售给McAfee公司，并曾在McAfee公司一度担任过首席技术官（CTO）一职。凭着其丰富的工作经验，McClure意识到：许多安全攻击是由已知的薄弱环节导致的。

因此，在他的带领下，Cylance公司开发的软件产品采用了一套基于算法的安全协议来检查网络薄弱环节并及时关闭。同时，特别值得注意的是，该软件产品具有一套学习黑客心理的系统，利用机器学习实现“像网络黑客一样思考”，实现对网络威胁的事先预测和防护，从而重塑端点安全行业。

Cylance公司结合机器学习技术来强化网络安全服务，引领了网络安全行业发展的新的技术趋势，因此，Cylance公司备受资本市场的青睐。Cylance公司最近的一轮（E轮）融资发生在2018年6月，由Blackstone Tactical Opportunities等机构领投，从融资规模来看，Cylance已然成为了一家独角兽公司。

Cylance公司的技术和产品

基于公司服务目标，Cylance公司推出有一款旗舰端点安全产品CylancePROTECT，该产品建立在突破性的预测分析过程之上，能快速准确地识别出安全威胁，并防止恶意代码在目标系统上执行，提供真正预测和预防最先进威胁的技术和服务。

与依赖于签名和行为分析来检测威胁的传统端点安全产品不同，CylancePROTECT具有如下特点：

使用而非签名来识别和阻止于端点上运行的已知和未知的恶意软件；

无需云连接即可提供针对常规和未知（例如，零日）威胁的预防措施；

持续保护端点，而不会中断端点用户。

CylancePROTECT可切实有效保护端点免受攻击。

Cylance公司的专利布局

由上可知，Cylance公司的主要特点就是在网络安全服务中结合AI技术，因此，其在专利申请时，围绕AI技术（特别是机器学习）来检测和分析病毒或恶意软件是重中之重。截止成文前，Cylance公司已经在全球公开了近百件专利申请，申请地区主要集中在美国、欧洲和日本。

通过对文件熵进行小波变换分析进行病毒侦测的专利技术

文件熵一向是区分正常文件和病毒的一个重要特征。熵值代表信息的混乱程度，低熵值的信息混乱程度低（符号序列简单，例如一大串相同的字符），而高熵值的信息则往往是符号分布较均匀、重复率较低的序列，常出现在压缩/加密的数据中。为了免杀，病毒往往需要对恶意代码进行加密/加壳进行伪装，这就导致了这些恶意程序的熵会和正常程序不同。

Cylance公司使用的是Haar小波变换，分析熵值允许研究者在不同解析度对文件的熵进行分析，文件的熵信息通过小波变换后可以作为很好的机器学习特征，Cylance公司提出的方法是训练多个不同的回归模型，每个回归模型对应一个区段的文件长度。转制出来小波信号输入到对应的模型中，而这个模型则通过不同解析度的小波特征来打分衡量可疑程度。该技术方案体现在Cylance公司其中的一篇专利US20180144131A1中。

近些年，国内一些安全软件也发布了各自的基于大数据或“人工智能”的反病毒引擎，这些引擎大多通过对海量样本以固定方法抽取特征，并对特征进行统计、分析，进而产生计算模型，依照计算模型对待扫描样本进行分类。但，无论算法如何、样本如何选取，都逃不过一个重要条件，那就是对特征的抽取，不能抽取到有效的特征，一切都只会是徒劳。而这正是Cylance公司的专长。

使用卷积神经网络分析反汇编的二进制文件以检测恶意文件

计算机程序通常通过编译生成可执行程序，编译过程将计算机程序从源代码转换为目标代码，其中，源代码是由高级的、可读的编程语言（例如，C，Java）编写的，而目标代码则是二进制格式。虽然目标代码可以在反汇编的过程中转换为可读形式，但是操作人员不能通过检查反汇编的目标代码来有效且可靠地检测恶意计算机程序。

Cylance公司采用卷积神经网络来处理反汇编二进制文件，具体包括检测反汇编二进制文件包含的多个指令中的一个或多个指令序列并基于指令序列确定反汇编二进制文件的分类（例如，恶意或非恶意）。该技术方案体现在Cylance公司其中的一篇专利US20170017793A1中。

使用机器学习模型确定易受攻击的代码以输出安全威胁警报

Cylance公司应用机器学习模型以至少确定计算机程序是否包含易受攻击的代码，并在计算机程序被确定为包含有易受攻击的代码时，提供计算机程序包含易受攻击的代码的指示，例如，将所述指示显示在用户界面中，将所述指示发送到远程计算系统，将所述指示加载到存储器中，或者将所述指示存储在物理持久性中。该技术方案体现在Cylance公司其中的一篇专利US20180157845A1中。

▼

在AI技术挺近的新领域内建立专利制高点

在即将到来的万物互联时代，对网络安全的挑战无疑是严峻的，这些威胁不仅来自越来越复杂的网络信息系统，更是来自难以追溯攻击源或者可以隐藏在任何一个角落的攻击者。

在例如无线通信等以技术标准为导向的领域，巨头公司早期的研发和海量的专利积累可以形成长期的市场垄断，但在网络安全领域，由传统互联网到移动互联网再到智能物联网时代，信息网络的系统和结构均发生了巨大的变化，传统互联网及病毒时代的网络防护技术远不能完成维护物联时代的网络安全的使命。

随着AI技术的兴起，在网络安全领域引入AI技术，特别是机器学习，利用AI技术可以完成大量的工作，特别是，能高效地检测及分析网络危险并快速响应攻击和安全事件。这是AI技术进入新的领域的一种尝试，且已取得令人瞩目的成效。

对于AI技术驱动的公司而言，要想在新的技术潮流下占得一席之地，应该如何应对呢？Cylance公司的发展历程或许可以给我们一些启示：

获得行业的竞争优势不在于是否使用AI技术本身，而是在于如何将AI技术与新领域内技术特点有机结合。以Cylance公司为例，在恶意软件检测中，很重要的一点就是在于从恶意软件样本中抽取特征，将这些特征与AI技术结合，从而在恶意软件检测中获得突出的技术效果。

在应用的新领域中建立专利制高点，将产品的技术优势转化为知识产权优势，巩固在该领域的市场地位。如此，诚如周鸿祎所言，谁跑得快，谁拥有更多核心专利，谁将是这个市场最终的赢家。

* 以上文字仅为促进讨论和交流，不构成法律意见或咨询建议。