為什麼需要靜態分析、動態分析和機器學習？

透過動態分析，可疑檔案會在虛擬機器 (例如惡意軟體分析環境) 中引爆，然後進行分析，看看它會做什麼。檔案的等級是根據其執行時所做的事情來評定，而不是依賴簽章來識別威脅。這使得動態分析能夠識別出前所未有的威脅。

為了得到最準確的結果，樣本應該可以完全存取網際網路，就像企業網路中的一般端點一樣，因為威脅通常需要指令和控制才能完全解除自我封鎖。作為一種防護機制，惡意軟體分析可以禁止接觸網際網路，並會偽造回應呼叫，試圖誘騙威脅暴露自己，但這可能不可靠，無法真正取代網際網路存取。

惡意軟體分析環境可辨識且過程耗時

為了逃避偵測，攻擊者會嘗試透過剖析網路來識別攻擊是否在惡意軟體分析環境中執行。他們會搜尋惡意軟體在虛擬環境中的跡象，例如在相似的時間或由相同的 IP 位址引爆、缺乏有效的使用者活動 (例如鍵盤敲擊或滑鼠移動)，或是虛擬化技術 (例如異常大量的磁碟空間)。如果確定是在惡意軟體分析環境中執行，攻擊者會停止執行攻擊。這表示分析結果很容易受到任何故障的影響。舉例來說，如果樣本在引爆過程中打電話回家，但因為攻擊者識別出惡意軟體分析而導致作業癱瘓，則樣本不會做任何惡意的事情，分析也不會識別出任何威脅。同樣地，如果威脅需要特定軟體的特定版本才能執行，它就不會在惡意軟體分析環境中做出任何可辨識的惡意行為。

要啟動虛擬機器、將檔案放入其中、查看它的作用、關閉機器並分析結果，可能需要花費幾分鐘的時間。雖然動態分析是最昂貴且耗時的方法，但也是唯一能有效偵測未知或零時差威脅的工具。

靜態分析

結果迅速，無分析需求

與動態分析不同，靜態分析檢視的是特定檔案存在於磁碟上時的內容，而非檔案被引爆時的內容。它能解析資料，擷取模式、屬性和工件，並標示異常。

靜態分析對動態分析所提出的問題具有彈性。它的效率極高，只需要幾分之一秒的時間，而且更具成本效益。靜態分析也適用於任何檔案，因為沒有特定的需求、需要量身訂做的環境，或需要從檔案傳出通訊才能進行分析。

打包檔案會導致可見度降低

但是，如果檔案是打包的，靜態分析可以相對容易地避開。雖然打包的檔案在動態分析中運作良好，但在靜態分析中卻會失去實際檔案的可視性，因為重新打包樣本會使整個檔案變成雜訊。可以靜態提取的幾乎沒有。

機器學習

新版威脅根據行為與已知威脅聚類

機器學習不是進行特定的模式匹配或引爆檔案，而是解析檔案並擷取數以千計的特徵。這些特徵會透過分類器 (也稱為特徵向量) 來執行，以根據已知的識別碼辨別檔案的好壞。與其尋找特定的東西，如果檔案的某個特徵與任何先前評估過的檔案群組一樣，機器就會將該檔案標示為群組的一部分。為了達到良好的機器學習效果，需要訓練好的判斷集和不好的判斷集，增加新的資料或特徵會改善這個過程，降低假陽性率。

機器學習可彌補動態和靜態分析的不足。惰性、沒有引爆、被封裝程式削弱、指令與控制失效或不可靠的樣本，仍可透過機器學習識別為惡意。如果某種威脅的許多版本都被看到並聚集在一起，而某個樣本具有類似叢集中的特徵，機器就會假定該樣本屬於叢集，並在幾秒鐘內將其標示為惡意。

只能發現更多已知的事物

就像其他兩種方法一樣，機器學習應該被視為一種工具，它有許多優點，但也有一些缺點。也就是說，機器學習只根據已知的識別碼訓練模型。與動態分析不同，機器學習永遠找不到真正原創或未知的東西。如果機器遇到的威脅與它之前所見過的完全不同，機器就不會標示出來，因為它只是被訓練來尋找更多已知的東西。

平台中的分層技術

要挫敗任何先進的對手，您需要的不只是一塊拼圖。您需要分層技術 - 這個概念過去是多廠商的解決方案。雖然縱深防禦仍然是適當且相關的，但它需要超越多供應商點解決方案，發展成整合靜態分析、動態分析和機器學習的平台。三者合作，可透過層層整合的解決方案實現縱深防禦。

Palo Alto Networks Next-Generation Security Platform 整合 WildFire^® 雲端威脅分析服務，提供元件情境化、可操作的威脅情報，在網路、端點和雲端提供安全啟用。WildFire 結合自訂的動態分析引擎、靜態分析、機器學習和裸機分析，提供先進的威脅防護技術。雖然許多惡意軟體分析環境都利用開放原始碼技術，但 WildFire 已移除動態分析引擎內的所有開放原始碼虛擬化，取而代之的是從頭建立的虛擬環境。攻擊者必須創造出完全獨特的威脅，才能避開 WildFire 的偵測，而非針對其他網路安全廠商的技術。對於少數可以迴避 WildFire 前三層防禦機制 (動態分析、靜態分析和機器學習) 的攻擊，顯示迴避行為的檔案會被動態導引至裸金屬環境，以完整硬體執行。

在平台內，這些技術以非線性方式共同運作。如果某項技術識別出某個檔案為惡意檔案，則會在整個平台上註明該檔案為惡意檔案，這種多層次的方法可提高所有其他功能的安全性。