剑客
关注科技互联网

新工具检测到恶意网站之前他们造成的伤害

新工具检测到恶意网站之前他们造成的伤害

信用︰ 维基百科

恶意网站推广诈骗,分发恶意软件和收集网络仿冒凭据充斥于网络。尽快我们阻止,或将他们列入黑名单,罪犯成立新的域名,支持他们的活动。现在包括普林斯顿大学计算机科学教授尼克姆斯和刚刚毕业的博士学生双郝研究小组开发了一种技术,使它更难注册新的域名为邪恶的目的。

本文提出了一种在计算机 2016 ACM 会议和通信安全 10 月 27 日,研究人员描述称为区别合法和恶意买家的新网站的捕食系统。在这样做的过程中,系统重要见解不同在线 themalicious 用户做任何明显不良或有害的事之前,就这两个群体的行为。这些早期迹象的可能的作恶者帮助安全专业人员采取先发制人的措施,而不是等待一个安全威胁浮出水面。

“直觉一直是,合法行为者使用它们的方式,恶意行为者使用在线资源的方式以某种方式有根本上的不同,”姆斯解释。”我们正在寻找那些信号︰ 是什么让它自动识别为一个坏的域名的域名?”

一旦网站开始被用于恶意目的 — — 当它链接到在电子邮件的垃圾邮件活动,例如,或当它在访问者的机器上的 installsmalicious 代码 — — 捍卫者可以标记为坏,然后开始阻止它。但到那时,该网站已广泛为种非常的行为,我们要防止。捕食者,主动识别和消除的域滥用站在时间的注册,获取领先的曲线。

研究人员的技术依赖假设,恶意用户将表现出不同于那些正常的用户,例如购买和注册域立刻采取批量折扣,优势很多,他们可以迅速、 便宜地适应时注意到他们的网站并列入黑名单的注册行为。此外,罪犯将经常注册多个站点名称使用略有变化︰ 更改”家”,”家园”等字眼或短语中切换的语序。

通过确定这种模式,姆斯和他的合作者们能够开始筛选通过注册每天先发制人查明哪些是最有可能用于危害超过 80,000 的新域。

测试其结果与已知列入黑名单的网站,他们表明,捕食者发现 70%的完全基于信息时已知的恶意网站这些域首次登记。假阳性率的捕食系统或被错误地识别为恶意由工具的合法网站收费率是只有 0.35%。

能够检测到恶意网站注册,目前他们正在被使用之前,可以有多个安全利益,姆斯说。这些网站可以阻止更快,因此很难用于造成尽可能多的伤害 — — 或者,事实上,任何在所有伤害如果运营商不允许购买它们。”捕食者可以经常几天或几个星期之前实现早期检测,现有的黑名单,一般无法检测到域滥用直到攻击已经正在进行中,”作者写道,在他们的论文。”的关键优势是为防御作出迅速的反应,限制期间,歹徒可能有利可图使用域的窗口”。

此外,现有的拦截工具,依靠 detectingmalicious 从网站,然后封锁他们的活动,让罪犯继续购买新的网站。经营者恶意网站注册时刻切断防止这永恒的猫捉老鼠动态。抵御在线威胁这更永久形式是在安全领域的计算机,在对手经常新道防线轻易逃避,研究人员说,实属罕见。

为了帮助普通互联网用户捕食者系统,它将必须使用由现有的域名黑名单服务,像 Spamhaus,保持被封锁的网站列表,或出售新的顶级域名的注册,像 GoDaddy.com。

“我们的设想是,如果书记官长试图决定是否要注册一个域名,那么如果捕食者表明该域名可能用于恶意目的,书记官长可以至少等待,做更多的一部分之前它向前发展,完成尽职调查”姆斯说。

虽然仍然书记官长必须手动检查域注册尝试,捕食者为他们提供了有效的工具来预测潜在的滥用。”之前我不认为他们觉得司法常务官,很容易走到方法了甚至搞清楚如果他们注册域会变成要恶意这样的工作,”姆斯说。

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址