机器学习帮助探测网络漏洞

据麻省理工《技术评论》2016年8月报道,美国亚利桑那州立大学的研究人员发现了一种利用机器学习来研究黑客论坛和暗网络及深网络市场的方法,从而可探测网络漏洞。

2015年2月美国微软公司在其Windows操作系统中发现了一个关键漏洞,可能会让恶意攻击者远程控制目标计算机。这一问题影响了大范围的Windows操作系统,包括Vista、Win7、Win8、以及专为服务器和移动电脑设计的众多系统。微软公司立即发布了补丁,但该漏洞的详细信息不久就传遍了黑客圈。2015年4月,网络安全专家发现基于这种漏洞的攻击程序在暗网络市场出售,卖家要价约1.5万美元。7月,首个利用这一漏洞的恶意软件出现了,这款恶意软件叫做Dyre银行木马(Dyre Banking Trojan),目标是世界各地的用户,专门从被感染的计算机上盗取信用卡号。

这一事件让我们主要了解了恶意软件是如何演变的。短短几个月的时间里,黑客就将一个漏洞变成了一个攻击程序,用于出售,然后任由其发展成向全世界传播的恶意软件。在这个例子中,微软在漏洞还没有被攻击程序利用之前就发现了它,所以能发布一个补丁。但如果恶意软件利用了以前未发现的漏洞,软件最初的所有者就必须立即开发一个补丁,从字面上说就是用时“零天”,因此有个名字叫“零日漏洞攻击”(zero day attack)。

网络安全专家的主要目标是在零日漏洞攻击程序变成恶意软件之前发现它们。对于美国亚利桑那州立大学的埃里克·努内斯(Eric Nunes)及同事们来说,Dyre银行木马为这种类型的网络安全的全新解决方法提供了很重要的启示。现在,他们发现了一种网络威胁情报收集方法,利用机器学习来研究黑客论坛和暗网络及深网络市场,以寻找新出现漏洞的线索。他们的新系统有了令人欣喜的开端,“现在,这个系统平均每周收集了305个高质量的网络威胁警告,”努内斯和同事们说。

首先了解一些背景知识。黑客及其他心怀不轨的人总是用下列两种方法之一来隐藏他们的论坛和市场。第一种依靠广泛使用的Tor软件让其在互联网上的行踪匿名,防止被追踪,这被称为“暗网络”。另一种则是利用在网络开放部分设立的站点,但这种站点不会被搜索引擎检索,这就是“深网络”,同样难以搜寻。

要监控黑客在这些区域的活动,努内斯及其同事开发了一个爬虫程序从深网络和暗网络上的HTML页面收集信息。显然,此项工作的主要部分是让爬虫程序定位到最佳起始页面,该任务必须由熟悉这些页面的人来完成。然后,该团队从中提取关于黑客活动的具体信息,去掉了其他与毒品、武器等相关的信息。最后,他们利用机器学习算法来检测在这些站点讨论的相关产品及话题。他们的做法是手动标记25%的数据,指出哪些是相关的、哪些是无关的。一个人需要一分钟来标记五个市场产品或标记两个论坛话题,但随着机器学习的进展,这一时间可以缩短。然后,他们就利用这些标记的数据集来训练算法,并用剩余的数据来测试它。

得到的结果读起来很有趣。“使用了机器学习模型,我们可以以高准确度找到与恶意黑客攻击相关的92%的市场产品和80%的论坛话题,”努内斯和同事们说。这项技术已经发现了多个恶意行为。该团队表示,“4周时间内,我们从市场数据中检测到了16个零日漏洞攻击程序。”其中包括了一个安卓(Android)的严重攻击程序,售价约2万美元,一个与因特网浏览器(Internet Explorer 11)相关,售价约1万美元。这显然是有利可图的生意。努内斯和同事们说,“这位供应商的平均评分是4.7/5.0,评分来自市场上的顾客,成功交易超过7000次,说明了产品的可靠性和这位供应商的受欢迎程度。”

这在打击网络犯罪上迈出了有用的一步。现在,该系统每周发现超过300起网络威胁,它已经引起了商业界的注意。事实上,这个团队表示现在他们正把这个系统移交给商业合作伙伴。如果他们继续在零日漏洞开发成恶意攻击产品前就发现它们,他们能帮助软件所有者迅速开发补丁,这对安全专家帮助很大。

当然,这个系统将成为网络安全的猫捉老鼠游戏的一部分。有趣的是看到黑客现在如何改变自己的行为,因为他们知道了自己正通过这种方法被系统化监视。如果改变发生了,就会进入新的一轮游戏。

原文发布于微信公众号 - 人工智能快报(AI_News)

原文发表时间:2016-09-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

流量攻击已形成黑色产业链 江苏四人被提起公诉

利用黑客软件扫描他人电脑,盗取最高管理权限后,非法控制85台计算机,利用这些计算机攻击他人网站,非法获利2万余元。近日,江苏省淮安市洪泽区检察院依法对涉嫌非法控...

341
来自专栏镁客网

Android 曝新漏洞,2.75 亿部设备受到威胁

953
来自专栏北京马哥教育

漫画告诉你什么是DDoS攻击?

根据《2015 H1绿盟科技DDoS威胁报告》指出,如今大流量网络攻击正逐渐呈现增长趋势,前不久锤子科技的发布会以及9月12日苹果官网宕机的案例就印证了这一点。...

27011
来自专栏FreeBuf

“短信拦截马”黑色产业链与溯源取证研究

“短信拦截”木马作为安卓手机病毒中的一类常见样本,近两年来显现出爆发增长的趋势,其背后的黑色产业链也日益发展壮大,“短信拦截马”的日趋泛滥已经成为移动支付、网银...

2318
来自专栏译文

保护您的企业免受黑客攻击的5个技巧

对攻击和信息泄漏的报导成为世界各地的头条新闻,许多公司从中“学到”了他们的第一堂课:一次广为人知的信息泄漏将对他们的品牌声誉造成严重损害。在所受到的教训中,最大...

550
来自专栏安恒信息

远程办公安全威胁加剧 安恒信息发现VPN系统通用漏洞

安全需求随着网络技术和商务模式的快速发展,越来越多的企业和客户出现跨地域的分布,这样由于传统的企业联网技术的功能缺陷,原有基于固定物理地点的专线连...

2819
来自专栏大数据文摘

专访“新世界黑客组织”成员Kapustkiy

1286
来自专栏FreeBuf

【BlackHat 2017】美国黑客大会首日议题汇总,演讲PPT下载也在这里

今年是 Black Hat 举办的第 20 个年头,高温酷暑也挡不住全世界黑客和安全人员奔赴拉斯维加斯的热情。毕竟这可是一年一度的盛大狂欢啊。今年的 BHUSA...

4189
来自专栏安恒信息

Intel CPU漏洞,你不知道的那些事儿

话说, 今天要给大家说一个在业内已经轰动朝野, 然而吃瓜群众可能莫不关心的故事...... 让我用最不技术的语言,让大家了解下这其中的经过吧...... 如果大...

2516
来自专栏黑白安全

网络安全究竟是什么?

“网络安全”是指任何活动旨在保护您的网络和数据的可用性和完整性。它包括硬件和软件技术。有效的网络安全管理对网络的访问。它针对的是一种不同的威胁,阻止他们进入或在...

662

扫描关注云+社区