论文部分内容阅读
分析网站之间的链接可以帮助发现网络攻击行为。
在过去的几年里,网络犯罪分子越来越将注意力集中于一个问题,那就是寻找将恶意代码嵌入合法网站的方法。通常,他们会将一段恶意代码嵌入某网页的可编辑部分,然后使用此代码从该网页的其他部分发送有害的内容。但是这种行为非常难被发现,因为很多网站也越来越多地从一些外部网站引入合法的内容,比如广告、视频,或一小段代码等。
现在,位于圣地亚哥的网络安全提供商韦伯斯特公司的一位研究员已经找到一种方式,能够自动地监控这种恶意行为。
3月初,RSA算法信息安全大会在美国旧金山举行。韦伯斯特公司的首席网络安全研究员斯蒂芬-切尼特(Stephan Chenette),在会议上详细描述了一个还处于实验阶段的软件系统,该系统能够依附于网络,鉴别嵌入网页中的内容的来源,并确定该网站中是否有代码在进行恶意操作。
切尼特所说的软件叫做火鲨(FireShark),它能够绘制一张相互链接的网站之间的地图,并标记出潜在的恶意内容。每天,这个软件都会绘制出近百万个网站和服务器(为这些网站提供各项内容)之间的地图。
“当你绘制出多个网站时,就能看到它们的内容社区。”切尼特说。尽管一些连接不同社区的内容集线器可能是合法的——例如,为很多不同的网站提供广告的服务器——其他的内容来源可能会表明有攻击者正在发送恶意代码,他说到。据韦伯斯特公司发表的一份研究报告称,去年,网络攻击者利用合法网站散布恶意软件的行为增长了225%。
然而,即便是合法的内容集线器也会对网络安全构成威胁。例如,《纽约时报》在9月份发表文章指出,一些伪装成合法广告商的网络犯罪分子通过广告网络将恶意内容放到了网站上。
攻击一个这样的网络比攻击一个单独的网站要获更多的利益。“假设一个网站的安全性是一流的,那么恶意攻击者怎么才能攻击到这个网站上的用户呢?”切尼特说,“通过一个广告网络将会是个好选择。”
韦伯斯特公司的研究员们计划发布一个火狐浏览器插件,该插件能够显示出一个网站所连接的各个内容集线器。
“有趣的事情会发生在网络攻击者利用恶意软件攻击网络时,比如说,网络广告服务商双击公司(DoubleCHck)作为攻击对象的时候。”汤姆·平克尼(Tom Pinckney)说。平克尼是网络安全公司SiteAdvisor的共同创始人,SiteAdvisor公司在2006年被迈克菲(McAfee)收购,如今他担任美国消费者咨询网站Hunch的工程部副部长。“有的人会购买网络广告中的商品,但是在网站上提供这些商品的人——谁知道他们是谁呢。”
SiteAdvisor软件提供了一个插件程序,此程序与火鲨提供的服务很相似。迈克菲公司利用一个充满虚拟计算机的数据中心在网络中发现恶意网站,此数据中心会评估各个链接,并提交一系列特殊的电子邮件地址,这些邮件地址被监控是否会收到垃圾邮件。
火鲨软件比SiteAdvisor作了更深入的研究,通过对超文本链接标识语言(HTML)、Java描述语言(Javascript)和其他嵌入网页的代码进行解码,寻找内容的最终来源,即便其来源被重新使用过很多次。“火鲨软件让我们对事情的真相有了更深层次的认识。”
帮助建立恶意网站列表的非营利性机构阻止恶意软件公司(StopBadware)的执行董事马克西姆·温斯坦(MaximWeinstein)说,火鲨软件对研究人员来说可能是个有趣的工具。但需要说明的是,反常的行为不一定总是恶意的。“一些看起来不好的行为模式通常都是没问题的——仅仅是反常而已。”他说。
时刻追踪网站链接的路径,也能够帮助鉴定恶意内容在网站之间的转移,切尼特说。火鲨浏览器的插件程序,可能最终会使用户将他们访问过的网站信息反馈给韦伯斯特公司。
在过去的几年里,网络犯罪分子越来越将注意力集中于一个问题,那就是寻找将恶意代码嵌入合法网站的方法。通常,他们会将一段恶意代码嵌入某网页的可编辑部分,然后使用此代码从该网页的其他部分发送有害的内容。但是这种行为非常难被发现,因为很多网站也越来越多地从一些外部网站引入合法的内容,比如广告、视频,或一小段代码等。
现在,位于圣地亚哥的网络安全提供商韦伯斯特公司的一位研究员已经找到一种方式,能够自动地监控这种恶意行为。
3月初,RSA算法信息安全大会在美国旧金山举行。韦伯斯特公司的首席网络安全研究员斯蒂芬-切尼特(Stephan Chenette),在会议上详细描述了一个还处于实验阶段的软件系统,该系统能够依附于网络,鉴别嵌入网页中的内容的来源,并确定该网站中是否有代码在进行恶意操作。
切尼特所说的软件叫做火鲨(FireShark),它能够绘制一张相互链接的网站之间的地图,并标记出潜在的恶意内容。每天,这个软件都会绘制出近百万个网站和服务器(为这些网站提供各项内容)之间的地图。
“当你绘制出多个网站时,就能看到它们的内容社区。”切尼特说。尽管一些连接不同社区的内容集线器可能是合法的——例如,为很多不同的网站提供广告的服务器——其他的内容来源可能会表明有攻击者正在发送恶意代码,他说到。据韦伯斯特公司发表的一份研究报告称,去年,网络攻击者利用合法网站散布恶意软件的行为增长了225%。
然而,即便是合法的内容集线器也会对网络安全构成威胁。例如,《纽约时报》在9月份发表文章指出,一些伪装成合法广告商的网络犯罪分子通过广告网络将恶意内容放到了网站上。
攻击一个这样的网络比攻击一个单独的网站要获更多的利益。“假设一个网站的安全性是一流的,那么恶意攻击者怎么才能攻击到这个网站上的用户呢?”切尼特说,“通过一个广告网络将会是个好选择。”
韦伯斯特公司的研究员们计划发布一个火狐浏览器插件,该插件能够显示出一个网站所连接的各个内容集线器。
“有趣的事情会发生在网络攻击者利用恶意软件攻击网络时,比如说,网络广告服务商双击公司(DoubleCHck)作为攻击对象的时候。”汤姆·平克尼(Tom Pinckney)说。平克尼是网络安全公司SiteAdvisor的共同创始人,SiteAdvisor公司在2006年被迈克菲(McAfee)收购,如今他担任美国消费者咨询网站Hunch的工程部副部长。“有的人会购买网络广告中的商品,但是在网站上提供这些商品的人——谁知道他们是谁呢。”
SiteAdvisor软件提供了一个插件程序,此程序与火鲨提供的服务很相似。迈克菲公司利用一个充满虚拟计算机的数据中心在网络中发现恶意网站,此数据中心会评估各个链接,并提交一系列特殊的电子邮件地址,这些邮件地址被监控是否会收到垃圾邮件。
火鲨软件比SiteAdvisor作了更深入的研究,通过对超文本链接标识语言(HTML)、Java描述语言(Javascript)和其他嵌入网页的代码进行解码,寻找内容的最终来源,即便其来源被重新使用过很多次。“火鲨软件让我们对事情的真相有了更深层次的认识。”
帮助建立恶意网站列表的非营利性机构阻止恶意软件公司(StopBadware)的执行董事马克西姆·温斯坦(MaximWeinstein)说,火鲨软件对研究人员来说可能是个有趣的工具。但需要说明的是,反常的行为不一定总是恶意的。“一些看起来不好的行为模式通常都是没问题的——仅仅是反常而已。”他说。
时刻追踪网站链接的路径,也能够帮助鉴定恶意内容在网站之间的转移,切尼特说。火鲨浏览器的插件程序,可能最终会使用户将他们访问过的网站信息反馈给韦伯斯特公司。