追蹤入侵代理服務(wù)器的惡意用戶
在西班牙巴塞羅那舉行的(美國計算機(jī)協(xié)會)數(shù)據(jù)通信專業(yè)組(SIGCOMM)2009年會上,三位來自微軟研究中心的研究員演示了一種移除影子殺手的匿名保護(hù)傘的方法。通過一種新型的軟件工具,識別出制造惡意行為的計算機(jī),即使該主機(jī)的IP地址在頻繁的變換中。
該模型系統(tǒng)被命名為“主機(jī)追蹤器”(HostTracker),它在抵御在線攻擊和垃圾郵件運動時表現(xiàn)良好。例如,安保公司可以開創(chuàng)出更好的局面,阻止網(wǎng)絡(luò)主機(jī)向他們的用戶傳送數(shù)據(jù),而網(wǎng)絡(luò)罪犯若想用合法的通信行為去掩蓋他們的活動,則變得更加艱難。
研究員謝穎蓮(音)和她的同事余方以及馬丁·阿巴迪(Martin Abadi)分析了從一家大型電子郵件服務(wù)提供商所收集到的一個月的數(shù)據(jù)量——330GB,試圖確定哪些用戶在傳播垃圾郵件。為了追蹤出多個垃圾郵件爆發(fā)的起始地址,三位科學(xué)家一共研究了5.5億個用戶名,2.2億個IP地址,以及每一次諸如發(fā)送信息和登錄帳戶等事件的時間標(biāo)簽。
追蹤消息的起始地址,它是追蹤垃圾郵件和其它網(wǎng)絡(luò)攻擊的關(guān)鍵任務(wù),涉及到在帳號和用戶所連接的電子郵件服務(wù)主機(jī)之間,重新建立起聯(lián)系。為此,研究員們將所有在一段時間內(nèi)通過不同主機(jī)訪問的帳號全都集中在一起。“主機(jī)追蹤器”軟件對這些數(shù)據(jù)進(jìn)行梳理,來解決任何沖突。例如,有時候有多個用戶出現(xiàn)在一個IP的起始地址上,或者一個用戶卻同時出現(xiàn)在多個IP地址上。
“主機(jī)追蹤器”通過交叉對照數(shù)據(jù)來識別出代理服務(wù)器(它使幾個主機(jī)可以顯示為同一個IP地址),從而解決沖突,并測定客戶在何時使用合法的主機(jī)。謝說:“我們能夠追蹤進(jìn)入代理服務(wù)器的惡意流量,這件事本身就是一次進(jìn)步,因為我們已經(jīng)可以精確地定位起始地址。”
研究員們也發(fā)明了自動防御措施,一旦“主機(jī)追蹤器”確定位于某地址的主機(jī)受到波及,它就把來自于該IP地址的流量列入黑名單。在此種方法的模擬試驗中,研究員們阻擋惡意流量時的誤碼率是5%。也就是說,每100個合法數(shù)據(jù)段中,有5個被識別有潛在的惡意威脅。通過附加信息來鑒定正當(dāng)?shù)挠脩粜袨?,可以將誤報率降低到1%以下。
“這項技術(shù)將會幫助查找那些進(jìn)行頻繁通信的僵尸網(wǎng)絡(luò),例如垃圾郵件活動,分布式阻斷服務(wù)攻擊(DDoS attack),和點擊式攻擊(click-through attack)。”Damballa公司主管研發(fā)的副總裁甘特·歐爾曼說,“其他的攻擊,比如密碼竊取和銀行木馬(banking trojan),是以主機(jī)為中心的,而這項技術(shù)將不會那樣有效。”