如何发现那些知道我们在跟踪他们的黑客

2020-03-21 21:20:34 编辑：来源：

导读网络攻击者的方法发展很快，昨天有效检测网络攻击的软件明天可能会失效。最好的探测器并不只是把入侵者拒之门外：它们还有助于识别已经入侵的入侵者，比如通过恶意链接或电子邮件附件。 SFI博士后研究员贾斯汀·格拉纳说：“攻击者从一台电脑到另一台电脑，我的电脑获取信息，寻找系统凭证，提升他们的特权。” 旨在寻找这些攻击者的安全工具通常会扫描网络并搜索异常——这种活动与“正常”行为有很大不同。这些统计方法假

网络攻击者的方法发展很快，昨天有效检测网络攻击的软件明天可能会失效。

最好的探测器并不只是把入侵者拒之门外：它们还有助于识别已经入侵的入侵者，比如通过恶意链接或电子邮件附件。

SFI博士后研究员贾斯汀·格拉纳说：“攻击者从一台电脑到另一台电脑，我的电脑获取信息，寻找系统凭证，提升他们的特权。”

旨在寻找这些攻击者的安全工具通常会扫描网络并搜索异常——这种活动与“正常”行为有很大不同。这些统计方法假设攻击者在网络中移动时会伸出。

格拉纳说，这种策略是有问题的，因为很难知道哪些行为是正常的。看来入侵者在系统中徘徊的可能是新员工在网络中的良性活动。格拉纳说：“有一吨假警报。

在《网络与计算机应用杂志》的一篇新论文中，格拉纳及其合作者——包括SFI教授大卫·沃尔珀特（David Wolpert）和坦莫伊·巴塔查里亚（Tanmoy Bhat tacharya）——采取了不同的方法。利用博弈论的工具，他们认为阻止攻击者的一个更好的方法可能是像这样思考。

而不是假设它知道攻击者的行为，建议的检测器假设攻击者将遵循接近最优的策略，因为他们知道捍卫者正在寻找他们。这允许检测器将某些活动是由正常网络行为产生的概率与它起源于攻击者的概率进行比较。这一比率——不仅仅是活动反映正常网络行为的概率——被用来决定是否发出警报。

这更好地解决了一个聪明的攻击者会做什么，格拉纳说。

Wolpert补充说：“我们希望利用这些信息来完善我们的探测器，而不是假设我们知道攻击者将如何实现他们的目标，只知道这些目标是什么。”

在许多网络场景下，研究人员的模型优于简单的异常检测器。为了确保他们的结果达到现实世界的条件，该团队在来自洛斯阿拉莫斯国家实验室的网络数据上测试了该模型。

格拉纳说，这篇论文代表了将博弈论思想集成到智能探测器中的第一步。

标签：黑客