如何發(fā)現(xiàn)那些知道我們在跟蹤他們的黑客

網(wǎng)絡(luò)攻擊者的方法發(fā)展很快，昨天有效檢測網(wǎng)絡(luò)攻擊的軟件明天可能會失效。

最好的探測器并不只是把入侵者拒之門外：它們還有助于識別已經(jīng)入侵的入侵者，比如通過惡意鏈接或電子郵件附件。

SFI博士后研究員賈斯汀·格拉納說：“攻擊者從一臺電腦到另一臺電腦，我的電腦獲取信息，尋找系統(tǒng)憑證，提升他們的特權(quán)。”

旨在尋找這些攻擊者的安全工具通常會掃描網(wǎng)絡(luò)并搜索異常——這種活動與“正常”行為有很大不同。這些統(tǒng)計方法假設(shè)攻擊者在網(wǎng)絡(luò)中移動時會伸出。

格拉納說，這種策略是有問題的，因為很難知道哪些行為是正常的。看來入侵者在系統(tǒng)中徘徊的可能是新員工在網(wǎng)絡(luò)中的良性活動。格拉納說：“有一噸假警報。

在《網(wǎng)絡(luò)與計算機應(yīng)用雜志》的一篇新論文中，格拉納及其合作者——包括SFI教授大衛(wèi)·沃爾珀特（David Wolpert）和坦莫伊·巴塔查里亞（Tanmoy Bhat tacharya）——采取了不同的方法。利用博弈論的工具，他們認(rèn)為阻止攻擊者的一個更好的方法可能是像這樣思考。

而不是假設(shè)它知道攻擊者的行為，建議的檢測器假設(shè)攻擊者將遵循接近最優(yōu)的策略，因為他們知道捍衛(wèi)者正在尋找他們。這允許檢測器將某些活動是由正常網(wǎng)絡(luò)行為產(chǎn)生的概率與它起源于攻擊者的概率進行比較。這一比率——不僅僅是活動反映正常網(wǎng)絡(luò)行為的概率——被用來決定是否發(fā)出警報。

這更好地解決了一個聰明的攻擊者會做什么，格拉納說。

Wolpert補充說：“我們希望利用這些信息來完善我們的探測器，而不是假設(shè)我們知道攻擊者將如何實現(xiàn)他們的目標(biāo)，只知道這些目標(biāo)是什么。”

在許多網(wǎng)絡(luò)場景下，研究人員的模型優(yōu)于簡單的異常檢測器。為了確保他們的結(jié)果達(dá)到現(xiàn)實世界的條件，該團隊在來自洛斯阿拉莫斯國家實驗室的網(wǎng)絡(luò)數(shù)據(jù)上測試了該模型。

格拉納說，這篇論文代表了將博弈論思想集成到智能探測器中的第一步。