Стратегия использовала бы в своих интересах то, что вредоносные захватчики должны общаться с их компьютерами командования и управления, создавая сетевое движение, которое может быть обнаружено и проанализировано. Наличие дальнего обнаружения заражения вредоносными инфекциями могло позволить более быстрые ответы и потенциально уменьшить воздействие нападений, говорят исследователи исследования.«Наше исследование показывает, что к тому времени, когда Вы находите вредоносное программное обеспечение, уже слишком поздно, потому что сетевые коммуникации и доменные имена, используемые вредоносным программным обеспечением, были активными неделями или даже за месяцы до того, как фактическое вредоносное программное обеспечение было обнаружено», сказал Манос Антонакакис, доцент в Школе Электротехники и Вычислительной техники в Технологическом институте штата Джорджия. «Эти результаты показывают, что мы должны существенно изменить способ, которым мы думаем о сетевой защите».
Традиционная обороноспособность зависит от обнаружения вредоносного программного обеспечения в сети. В то время как анализ вредоносных образцов может определить подозрительные области и помочь приписать сетевые нападения их источникам, полагаться на образцы, чтобы стимулировать защитные действия дает злонамеренным актерам критическое преимущество времени, чтобы собрать информацию и нанести ущерб. «Что мы должны сделать, минимизируют количество времени между компромиссом и событием обнаружения», добавил Антонакакис.Исследование, которое будет представлено 24 мая на 38-м Симпозиуме безопасности и Частной жизни IEEE в Сан-Хосе, Калифорния, было поддержано американским Министерством торговли, Национальным научным фондом, Научно-исследовательской лабораторией Военно-воздушных сил и Управлением перспективного планирования оборонных научно-исследовательских работ. Проект был сделан в сотрудничестве с EURECOM во Франции и Институтом программного обеспечения IMDEA в Испании – чья работа была поддержана региональным правительством Мадрида и правительством Испании.
В исследовании Antonakakis, Научный сотрудник Выпускника Чэз Левер и коллеги проанализировали больше чем пять миллиардов сетевых событий почти с пяти лет сетевого движения, которое несет крупный американский поставщик интернет-услуг (ISP). Они также изучили просьбы сервера доменного имени (DNS), обращенные почти 27 миллионами вредоносных образцов, и исследовали выбор времени на перерегистрацию областей с истекшим сроком – которые часто обеспечивают стартовые площадки для вредоносных нападений.«Были определенные сети, которые были более подвержены злоупотреблению, таким образом искание движения в те сети горячей точки было потенциально хорошим индикатором злоупотребления в стадии реализации», сказал Левер, первый автор статьи и студент в Школе Технологического института Джорджии Электротехники и Вычислительной техники. «Если Вы видите много запросов DNS, указывающих на горячие точки злоупотребления, которое должно поставить вопросы о потенциальных инфекциях».
Исследователи также нашли, что запросы о динамическом DNS, также связанном с плохой деятельностью, поскольку они часто коррелируют с услугами, используемыми подлецами, потому что они обеспечивают бесплатные регистрации домена и способность добавить быстро, добавляют области.Исследователи надеялись, что регистрация ранее доменных имен с истекшим сроком могла бы обеспечить предупреждение предстоящих нападений. Но Рычаг нашел, что была часто задержка месяцев между тем, когда области с истекшим сроком были повторно зарегистрированы, и нападения от них начались.
Исследование потребовало, чтобы развитие системы фильтрации отделило мягкое сетевое движение от вредоносного трафика в данных ISP. Исследователи также провели то, чему они верят, самое большое вредоносное усилие по классификации до настоящего времени, чтобы дифференцировать злонамеренное программное обеспечение от потенциально нежелательных программ (ЩЕНКИ). Чтобы изучить общие черты, они назначили вредоносное программное обеспечение на определенные «семьи».Изучая связанное с вредоносным программным обеспечением сетевое движение, замеченное ISPs до обнаружения вредоносного программного обеспечения, исследователи смогли решить, что вредоносные сигналы были существующими неделями и даже за месяцы до того, как новое злонамеренное программное обеспечение было найдено.
Связывая это со здоровьем человека, Antonakakis сравнивает сетевые сигналы с лихорадкой или общим настроением недуга, который часто предшествует идентификации микроорганизма, ответственного за инфекцию.«Вы знаете, что Вы больны, когда у Вас есть лихорадка, прежде чем Вы будете знать точно, что вызывает ее», сказал он. «Первая вещь, которую делает противник, настроена присутствие в Интернете, и что первый сигнал может указать на инфекцию. Мы должны попытаться заметить, что признак сначала в сети, потому что, если мы ждем, чтобы видеть вредоносный образец, мы почти наверняка позволяем серьезной инфекции развиваться».В целом, исследователи нашли больше чем 300 000 вредоносных областей, которые были активны в течение по крайней мере двух недель, прежде чем соответствующие вредоносные образцы были определены и проанализированы.
Но как со здоровьем человека, диагностируя инфекцию указания изменения требует знания деятельности основания, сказал он. У сетевых администраторов должна быть информация о нормальном сетевом движении, таким образом, они могут диагностировать отклонения, которые могут сигнализировать о развивающемся нападении.
В то время как много аспектов нападения могут быть скрыты, вредоносное программное обеспечение должно всегда общаться назад тем, кто послал его.«Если у Вас будет способность обнаружить торговлю сетью, независимо от того, как вредоносное программное обеспечение, возможно, вошло, действие сообщения через сеть будет заметно», сказал Антонэкэйс. «Сетевые администраторы должны минимизировать неизвестные в своих сетях и классифицировать их соответствующие коммуникации как можно больше, таким образом, они видят плохую деятельность, когда это происходит».Антонакакис и Левер надеются, что их исследование приведет к разработке новых стратегий защиты компьютерных сетей.«Узкое горло – сетевое движение, и это – то, где этот бой должен вестись», сказал Антонакакис. «Это исследование обеспечивает фундаментальное наблюдение за тем, как следующее поколение защитных механизмов должно быть разработано.
Поскольку более сложные нападения возникают, мы должны будем стать умнее при обнаружении их ранее».