如何發現那些知道我們在跟蹤他們的黑客

2020-03-21 21:20:34 編輯：來源：

導讀網絡攻擊者的方法發展很快，昨天有效檢測網絡攻擊的軟件明天可能會失效。最好的探測器并不只是把入侵者拒之門外：它們還有助于識別已經入侵的入侵者，比如通過惡意鏈接或電子郵件附件。 SFI博士后研究員賈斯汀·格拉納說：“攻擊者從一臺電腦到另一臺電腦，我的電腦獲取信息，尋找系統憑證，提升他們的特權。” 旨在尋找這些攻擊者的安全工具通常會掃描網絡并搜索異常——這種活動與“正常”行為有很大不同。這些統計方法假

網絡攻擊者的方法發展很快，昨天有效檢測網絡攻擊的軟件明天可能會失效。

最好的探測器并不只是把入侵者拒之門外：它們還有助于識別已經入侵的入侵者，比如通過惡意鏈接或電子郵件附件。

SFI博士后研究員賈斯汀·格拉納說：“攻擊者從一臺電腦到另一臺電腦，我的電腦獲取信息，尋找系統憑證，提升他們的特權。”

旨在尋找這些攻擊者的安全工具通常會掃描網絡并搜索異常——這種活動與“正常”行為有很大不同。這些統計方法假設攻擊者在網絡中移動時會伸出。

格拉納說，這種策略是有問題的，因為很難知道哪些行為是正常的。看來入侵者在系統中徘徊的可能是新員工在網絡中的良性活動。格拉納說：“有一噸假警報。

在《網絡與計算機應用雜志》的一篇新論文中，格拉納及其合作者——包括SFI教授大衛·沃爾珀特（David Wolpert）和坦莫伊·巴塔查里亞（Tanmoy Bhat tacharya）——采取了不同的方法。利用博弈論的工具，他們認為阻止攻擊者的一個更好的方法可能是像這樣思考。

而不是假設它知道攻擊者的行為，建議的檢測器假設攻擊者將遵循接近最優的策略，因為他們知道捍衛者正在尋找他們。這允許檢測器將某些活動是由正常網絡行為產生的概率與它起源于攻擊者的概率進行比較。這一比率——不僅僅是活動反映正常網絡行為的概率——被用來決定是否發出警報。

這更好地解決了一個聰明的攻擊者會做什么，格拉納說。

Wolpert補充說：“我們希望利用這些信息來完善我們的探測器，而不是假設我們知道攻擊者將如何實現他們的目標，只知道這些目標是什么。”

在許多網絡場景下，研究人員的模型優于簡單的異常檢測器。為了確保他們的結果達到現實世界的條件，該團隊在來自洛斯阿拉莫斯國家實驗室的網絡數據上測試了該模型。

格拉納說，這篇論文代表了將博弈論思想集成到智能探測器中的第一步。

標簽：黑客