集结一支小军队对抗日益壮大的敌人

中科院教授扮演信息高速公路上的交警

2011年1月11日
3
推特 脸谱网
根据Mark Crovella的说法,计算机病毒在过去五年中发生了巨大的变化,用户现在成为看不见的入侵者的牺牲品。 Vernon Doucette摄

你很有可能拥有一只僵尸。 你的电脑可能被你访问过的网站或你点击的来自你信任的朋友的电子邮件中的链接感染了。 或者,也许你根本没有做任何事情来破坏你的计算机,但攻击者仍然溜过了你的防火墙,把它变成了一个致命的无人机。

然而,有一件事几乎是肯定的。 如果你的电脑被入侵了,你可能永远不会知道。

艺术与科学学院计算机科学教授马克·克罗维拉(Mark Crovella)解释说,计算机病毒在过去五年中发生了巨大变化。 曾经,攻击对受害者来说是显而易见的——电脑可能会变慢或运行不需要的程序——而现在,用户却成了看不见的入侵者的牺牲品。 被称为“机器人”的小程序不知不觉地溜进了电脑保护系统的薄弱环节; 从那里,他们可以在电脑上秘密居住,并从互联网上其他地方的遥控器下载复杂的指令。 这些僵尸电脑随时准备听任主人的摆布,成为“僵尸网络”的一部分——由数千甚至数百万台电脑组成的网络,通过扫描互联网寻找其他易受攻击的电脑,发送大量垃圾邮件诱骗其他用户,泄露键盘输入或在线交易信息以窃取密码和信用卡号码,或发起分布式拒绝服务(DDoS)攻击,使其他网站过载并关闭。

这些是计算机科学系实验室运营主任Crovella和他的计算机科学家和统计学家团队花了很多时间寻找的威胁类型。 他们的目标不是治疗你的电脑,甚至不是给你现有的安全防护。 相反,他们的目标是识别不需要的互联网流量,允许网络提供商阻止它到达你的电脑。

“在大多数情况下,我们倾向于把安全留给我们购买并安装在个人电脑上的病毒防护程序,”Crovella说。 这些程序通常试图通过查找签名(内容中的代码序列或其他内容)来识别恶意软件,然后阻止具有这些签名的程序。 例如,他说,“有些程序可以告诉计算机屏蔽标题中含有‘伟哥’字样的电子邮件。” 他说,它们可能是有效的,但只能持续一小段时间。 “对手只需要改变签名中的一个字母,比如变成‘Vi@gra’,就能得逞。”

Crovella的策略是描绘一幅“正常”互联网使用的图景,而不是试图定义不受欢迎的流量的属性。 利用他和他的团队设计的软件,他们每隔五分钟捕获和分析一次匿名交通信息,因为这些数据流经世界各地的数千个路由器。

不寻常的模式——数据传输数量或类型的统计异常——提示Crovella和他的团队有潜在的恶意活动。 这些程序如何潜入个人电脑每天都在变化,甚至每小时都在变化。 但他们的行为模式,他们在互联网上互动的方式,几乎总是超出常规。

例如,DDoS攻击会产生异常大量的流量。 内容也可以揭露犯罪分子的工作。 Crovella解释说:“如果你在短时间内看到大量不同的互联网协议或IP地址——识别单个计算机的数字——来自一个来源,这种活动在统计上是异常的。” “任何超出统计正常流量模式的东西都可能是恶意的。”

其他新濠影汇线上赌场研究人员和公司也尝试过类似的技术,但一次只使用一台路由器。 克罗维拉说,利用波士顿大学开发的独特的多元统计方法,“突然之间,超出常规的活动就会脱颖而出,而如果你在每个来源都寻找它,这是永远无法做到的。”

His technique—based on a method called principal component analysis and licensed to Guavus公司。, a venture-backed binational company led by one of Crovella’s former PhD students, Anukool Lakhina (CAS’01, GRS’01,’07)—is now being used by GÉANT, Europe’s main multigigabit computer network, for research and academic purposes.

克罗维拉在波士顿大学继续完善这项技术。 执行这种类型的分析需要收集大量的数据,当计算机收集和评估这些数据时,他和他的团队必须在提交新濠影汇线上赌场研究报告发表之前自己验证他们的结果。 这种对多个太字节(一个太字节等于一万亿字节)的手动检查不仅需要大量的时间和耐心,还需要计算机科学和统计方面的专业知识。 克罗维拉通常一次与两到三名学生和一到三名其他教员调查人员合作。 这是一支对抗日益增长的敌人的小军队:根据计算机保护提供商赛门铁克MessageLabs的数据,每天大约有1510亿条未经请求的信息通过受感染的计算机分发。

“大约一年前,我发现我自己的电脑感染了僵尸网络,”Crovella微笑着摇着头说。 “IT人员发现了它。 我从来不知道它在那里。”

这个故事最初出现在2010年的 新濠影汇线上赌场研究 杂志.

探索相关主题:

  • 分享这个故事
  • 3 评论 添加

分享

集结一支小军队对抗日益壮大的敌人

分享

评论与讨论

波士顿大学缓和评论,以促进知情的、实质性的、文明的对话。 辱骂、亵渎、自我推销、误导、语无伦次或离题的评论将被拒绝。 版主在正常营业时间(EST)有新濠影汇赌场,只能接受用英语写的评论。 统计数据或事实必须包含引文或引文链接。

There are 3 comments on 集结一支小军队对抗日益壮大的敌人

  2. Few reports on the problem of compromised computers come right out and say that the issue is principally with Windows PCs, largely due to Microsoft’s historic failings to robustly architect and program their software. PC用户不能定期应用软件更新,使用弱密码,对多个帐户使用相同的密码,响应网络钓鱼,以及允许在他们的计算机上安装可疑软件,这些都加剧了这个问题。 Security experts warn that “virus protection” is no protection because it is always behind the curve, and closes the gate after the invaders have entered. Professor Crovella’s techniques for identifying anomalous activity can go a long way toward finding compromised PCs and making a site more secure, at the same time making the site a better netizen.

    回复
    链接

  3. 我在一家从事渗透测试的道德黑客公司担任技术作家。 它还开发了一款产品,可以检查web应用程序的行为,以响应探测并指出易受攻击的代码。
    马克·克罗维拉所做的是卓越而有效的,但我们仍然需要继续建立防御措施,以领先于网络罪犯。 在我看来,没有一个单一的工具可以满足。 Let us say that Mark’s multivariate method is successful, what next? 面对每一个新的威胁,我们仍然必须加强防御。 不幸的是,攻击者将继续思考突破防御的新方法,而我们,好人,将不得不保持领先一步,或更多。

    杰克沙沙村,技术作家

    回复
    链接

发表评论吧。

您的电子邮件地址将不会被公布。 必填项被标记 *

最新的 但是今天