漏洞也分三六九等，理論上有一些漏洞并不足以讓攻擊者去威脅你的系統(tǒng)，但是有一些漏洞，比如“零日漏洞”（Zero-day Exploit）就具有巨大的破壞力。有些人依靠這樣的漏洞，開(kāi)發(fā)出惡意軟件，侵入人們的計(jì)算機(jī)系統(tǒng)，竊取重要的信息，這是如今網(wǎng)絡(luò)安全中最大的威脅之一。

發(fā)現(xiàn)漏洞，并阻止惡意軟件的產(chǎn)生，是網(wǎng)絡(luò)安全專家重要的工作。如今，亞利桑那州立大學(xué)的一個(gè)研究團(tuán)隊(duì)，開(kāi)發(fā)出一套機(jī)器學(xué)習(xí)算法，幫助監(jiān)測(cè)和識(shí)別這些在黑市中交易的漏洞。

一個(gè)惡意軟件的誕生

2015年2月，微軟發(fā)現(xiàn)了Windows操作系統(tǒng)中一個(gè)嚴(yán)重的漏洞，這可能會(huì)讓黑客遠(yuǎn)程操控目標(biāo)計(jì)算機(jī)。該漏洞影響范圍巨大，包括了Vista、Win7、Win8及其他服務(wù)器系統(tǒng)。

微軟隨后立即發(fā)布了補(bǔ)丁，但是漏洞的細(xì)節(jié)很快在整個(gè)黑客社區(qū)傳播開(kāi)來(lái)。

在4月，一個(gè)基于這個(gè)漏洞的攻擊程序（Exploit）在黑市售賣，售價(jià)1.5萬(wàn)美元。7月，基于這個(gè)產(chǎn)品的第一個(gè)惡意軟件出現(xiàn)，是一個(gè)名為“ Dyre Banking”的木馬程序，可以攻擊全球用戶并盜取被感染設(shè)備上的信用卡號(hào)。

從上面這個(gè)事件里，我們可以看到惡意軟件誕生的基本過(guò)程。首先，黑客利用一個(gè)漏洞開(kāi)發(fā)出可作攻擊使用的程序產(chǎn)品，在黑市上售賣，購(gòu)買者利用它開(kāi)發(fā)出惡意軟件，然后感染用戶設(shè)備。

在這個(gè)案例里，微軟自己發(fā)現(xiàn)了這個(gè)漏洞，并提前發(fā)布補(bǔ)丁。但是，如果惡意黑客們?cè)谲浖局熬桶l(fā)現(xiàn)了這個(gè)漏洞，那么這個(gè)漏洞就是“零日漏洞”了?！傲闳铡边@個(gè)詞用來(lái)諷刺軟件商和安全公司根本不知曉自己的漏洞：軟件商們知道這個(gè)漏洞有幾天呢？一天也沒(méi)有！而網(wǎng)絡(luò)安全專家的主要目標(biāo)，就是在“零日漏洞”程序變成惡意軟件之前找到它們。

機(jī)器學(xué)習(xí)之下的深網(wǎng)和暗網(wǎng)

對(duì)亞利桑那州立大學(xué)的Eric Nunes和同事們來(lái)說(shuō)，這次的Dyre Banking木馬事件給了它們一個(gè)重要的靈感，可以用一種全新的方法來(lái)應(yīng)對(duì)這類網(wǎng)絡(luò)安全問(wèn)題。

他們利用機(jī)器學(xué)習(xí)來(lái)研究深網(wǎng)（Deep Web） 和暗網(wǎng)（Dark Web）里的黑客論壇和交易市場(chǎng)，追蹤最新的漏洞線索。

先來(lái)說(shuō)一下深網(wǎng)和暗網(wǎng)的概念。一般的網(wǎng)絡(luò)分三層，首先是表層網(wǎng)絡(luò)，即普通人平時(shí)熟悉和使用的網(wǎng)絡(luò)，任何搜索引擎都能抓取并輕松訪問(wèn)。然后是深網(wǎng)：表層網(wǎng)之外的所有網(wǎng)絡(luò)我們都稱之為深網(wǎng)，搜索引擎無(wú)法對(duì)其進(jìn)行抓取，它并沒(méi)有完全隱藏起來(lái)，只是普通搜索引擎無(wú)法發(fā)現(xiàn)它的行蹤。第三層是暗網(wǎng)：暗網(wǎng)是深網(wǎng)的一部分，但被人為地隱藏了起來(lái)。如果不是技術(shù)大牛，你很難打入這個(gè)網(wǎng)絡(luò)之中。

Nunes和他的同事們開(kāi)發(fā)出一個(gè)爬蟲(chóng)程序，從深網(wǎng)和暗網(wǎng)的HTML網(wǎng)頁(yè)上搜集信息，來(lái)監(jiān)控這里的黑客的活動(dòng)。 顯然，這一工作的關(guān)鍵在于為爬蟲(chóng)程序找到最佳的起始頁(yè)面，而這個(gè)任務(wù)必須由熟悉深網(wǎng)的人來(lái)完成。

深網(wǎng)里的內(nèi)容龐雜，Nunes的系統(tǒng)只提取與黑客活動(dòng)有關(guān)的信息，而摒棄掉無(wú)關(guān)的類似毒品、武器交易等內(nèi)容。所以，在建立數(shù)據(jù)庫(kù)的過(guò)程中，需要為信息貼上標(biāo)簽，為算法指出哪些與黑客活動(dòng)有關(guān)而哪些無(wú)關(guān)。在目前的訓(xùn)練數(shù)據(jù)庫(kù)中，25%的標(biāo)簽都是由人工完成，一個(gè)人每分鐘要給5個(gè)黑市產(chǎn)品或給一個(gè)論壇里的兩個(gè)話題貼上標(biāo)簽。之后，他們用貼好標(biāo)簽的數(shù)據(jù)來(lái)訓(xùn)練算法，用未貼標(biāo)簽的數(shù)據(jù)來(lái)測(cè)試學(xué)習(xí)成果。

研究成果

機(jī)器學(xué)習(xí)的成果十分有趣。Nunes和他的同事們表示，這個(gè)機(jī)器學(xué)習(xí)模型，對(duì)于黑市產(chǎn)品的識(shí)別準(zhǔn)確率是92% ，對(duì)于論壇里惡意攻擊話題討論的識(shí)別準(zhǔn)確率是80%。這是一個(gè)很高的準(zhǔn)確度了。

而且這個(gè)系統(tǒng)已經(jīng)揭露了一些惡意黑客行為?！霸?周時(shí)間里，我們從黑市交易數(shù)據(jù)中發(fā)現(xiàn)了16個(gè)零日漏洞?！痹搱F(tuán)隊(duì)透露道。這其中包括一個(gè)安卓系統(tǒng)的嚴(yán)重漏洞，交易價(jià)格為2萬(wàn)美元，還有一個(gè)IE 11瀏覽器的安全漏洞，價(jià)格為1萬(wàn)美元。

該團(tuán)隊(duì)也制作出了深網(wǎng)論壇和交易市場(chǎng)里的社交譜系。團(tuán)隊(duì)表示，有751個(gè)深網(wǎng)用戶出現(xiàn)在不止一個(gè)交易市場(chǎng)中，其中有一個(gè)賣家在7個(gè)市場(chǎng)和1個(gè)論壇中十分活躍，并提供了80多個(gè)與惡意攻擊有關(guān)的產(chǎn)品。

這門(mén)生意真是獲利頗豐?！昂谑锌蛻魧?duì)這個(gè)賣家的評(píng)分在4.7到5.0之間，他進(jìn)行過(guò)超過(guò)7000筆成功的交易，這表示他的產(chǎn)品非?？煽浚⑶以谫I家中很受歡迎?！盢unes和同事們說(shuō)道。

目前，這個(gè)系統(tǒng)平均每周搜集305個(gè)高質(zhì)量的網(wǎng)絡(luò)威脅警告，這吸引了很多商家的目光。實(shí)際上，團(tuán)隊(duì)透露他們現(xiàn)在正準(zhǔn)備把這個(gè)系統(tǒng)移交給一個(gè)商業(yè)合作伙伴。如果這個(gè)團(tuán)隊(duì)繼續(xù)搜尋零日漏洞，趕在這些漏洞發(fā)展成為惡意程序之前，他們就可以幫助軟件開(kāi)發(fā)者及時(shí)修復(fù)漏洞，這對(duì)網(wǎng)絡(luò)安全專家有很大的幫助。

當(dāng)然，這也會(huì)變成網(wǎng)絡(luò)安全里“貓鼠游戲”的其中一環(huán)?，F(xiàn)在黑客們已經(jīng)知道自己正在被系統(tǒng)性地監(jiān)視著，不知道他們將如何改變行為方式。 如果這個(gè)改變發(fā)生了，貓鼠游戲就會(huì)進(jìn)入新的一輪。

Via MIT Technology Review

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。