一项新的研究表明,通过分析前往可疑域名的网络流量,安全管理员可以在捕获入侵恶意软件样本前数周甚至数月检测到恶意软件感染。研究结果表明,需要新的与恶意软件无关的检测策略,使网络防御者能够更及时地识别网络安全漏洞。
该策略将利用恶意软件入侵者需要与他们的指挥和控制计算机通信这一事实,创建可以被检测和分析的网络流量。该研究的研究人员表示,及早获得恶意软件感染的警告可以更快地做出反应,并有可能减少攻击的影响。
“我们的研究表明,当你发现恶意软件时,已经太晚了,因为恶意软件使用的网络通信和域名在实际恶意软件被发现前几周甚至几个月都是活跃的,”佐治亚理工学院电气与计算机工程学院助理教授马诺斯·安东纳卡基斯(Manos Antonakakis)说。“这些发现表明,我们需要从根本上改变我们对网络防御的看法。”
传统的防御依赖于检测网络中的恶意软件。虽然分析恶意软件样本可以识别可疑域名,并帮助将网络攻击归因于其来源,但依靠样本来驱动防御行动,可以为恶意行为者提供关键的时间优势来收集信息并造成破坏。Antonakakis补充说:“我们需要做的是尽量缩短入侵和检测事件之间的时间。”
这项研究将于5月24日在加利福尼亚州圣何塞举行的第38届IEEE安全和隐私研讨会上公布,得到了美国商务部、国家科学基金会、空军研究实验室和国防高级研究计划局的支持。该项目是与法国的EURECOM和西班牙的IMDEA软件研究所合作完成的,后者的工作得到了马德里地区政府和西班牙政府的支持。
在这项研究中,Antonakakis,研究生研究助理Chaz Lever和同事们分析了美国主要互联网服务提供商(ISP)近五年的网络流量中超过50亿的网络事件。他们还研究了近2700万个恶意软件样本发出的域名服务器(DNS)请求,并检查了过期域名重新注册的时间,这些域名通常是恶意软件攻击的启动地点。
该论文的第一作者、乔治亚理工学院电气与计算机工程学院的学生Lever说:“有些网络更容易被滥用,所以寻找进入这些热点网络的流量可能是滥用正在进行的一个很好的指标。”“如果你看到很多DNS请求指向滥用的热点,这应该引起人们对潜在感染的担忧。”
研究人员还发现,对动态DNS的请求也与不良行为有关,因为这些请求通常与不良行为者使用的服务有关,因为它们提供免费的域名注册和快速添加域名的能力。
研究人员希望,注册之前过期的域名可以为即将到来的攻击提供警告。但Lever发现,从过期域名重新注册到来自这些域名的攻击开始,通常会有几个月的延迟。
这项研究要求开发一种过滤系统,将ISP数据中的良性网络流量与恶意流量分开。研究人员还进行了他们认为是迄今为止最大的恶意软件分类工作,以区分恶意软件和潜在的有害程序(pup)。为了研究相似性,他们将恶意软件分配给特定的“家族”。
通过研究isp在检测到恶意软件之前看到的恶意软件相关的网络流量,研究人员能够确定恶意软件信号在新恶意软件被发现前几周甚至几个月就已经存在了。将其与人类健康联系起来,Antonakakis将网络信号与发烧或一般的不适感进行了比较,后者通常是在确定导致感染的微生物之前。
他说:“当你发烧时,在你确切知道病因之前,你就知道你生病了。”“对手做的第一件事就是在互联网上建立一个存在,而第一个信号可能表明感染。我们应该先在网络上观察这种症状,因为如果我们等着看恶意软件样本,我们几乎肯定会让一次重大感染发展起来。”
总之,研究人员发现,在识别和分析相应的恶意软件样本之前,有超过30万个恶意软件域名至少活跃了两周。
但他说,与人类健康一样,检测表明感染的变化需要了解基线活动。网络管理员必须有关于正常网络流量的信息,这样他们才能检测到可能预示着正在发展的攻击的异常情况。虽然攻击的许多方面都可以隐藏,但恶意软件必须始终与发送它的人通信。
Antonakais说:“如果你有能力检测网络中的流量,不管恶意软件是如何进入的,通过网络进行通信的行为都是可以观察到的。”“网络管理员应该尽量减少网络中的未知因素,并尽可能地对适当的通信进行分类,以便在不良活动发生时能够及时发现。”
Antonakakis和Lever希望他们的研究能够引导开发新的防御计算机网络的策略。
“瓶颈是网络流量,这是这场战斗应该进行的地方,”安东纳卡基斯说。“这项研究为如何设计下一代防御机制提供了基本观察。随着更复杂的攻击出现,我们必须更聪明地及早发现它们。”
了下:M2M(机器对机器)
