追蹤入侵代理服務器的惡意用戶

在西班牙巴塞羅那舉行的（美國計算機協會）數據通信專業(yè)組（SIGCOMM）2009年會上，三位來自微軟研究中心的研究員演示了一種移除影子殺手的匿名保護傘的方法。通過一種新型的軟件工具，識別出制造惡意行為的計算機，即使該主機的IP地址在頻繁的變換中。

該模型系統(tǒng)被命名為“主機追蹤器”（HostTracker），它在抵御在線攻擊和垃圾郵件運動時表現良好。例如，安保公司可以開創(chuàng)出更好的局面，阻止網絡主機向他們的用戶傳送數據，而網絡罪犯若想用合法的通信行為去掩蓋他們的活動，則變得更加艱難。

研究員謝穎蓮（音）和她的同事余方以及馬丁·阿巴迪（Martin Abadi）分析了從一家大型電子郵件服務提供商所收集到的一個月的數據量——330GB，試圖確定哪些用戶在傳播垃圾郵件。為了追蹤出多個垃圾郵件爆發(fā)的起始地址，三位科學家一共研究了5.5億個用戶名，2.2億個IP地址，以及每一次諸如發(fā)送信息和登錄帳戶等事件的時間標簽。

追蹤消息的起始地址，它是追蹤垃圾郵件和其它網絡攻擊的關鍵任務，涉及到在帳號和用戶所連接的電子郵件服務主機之間，重新建立起聯系。為此，研究員們將所有在一段時間內通過不同主機訪問的帳號全都集中在一起。“主機追蹤器”軟件對這些數據進行梳理，來解決任何沖突。例如，有時候有多個用戶出現在一個IP的起始地址上，或者一個用戶卻同時出現在多個IP地址上。

“主機追蹤器”通過交叉對照數據來識別出代理服務器（它使幾個主機可以顯示為同一個IP地址），從而解決沖突，并測定客戶在何時使用合法的主機。謝說：“我們能夠追蹤進入代理服務器的惡意流量，這件事本身就是一次進步，因為我們已經可以精確地定位起始地址?！?/p>

研究員們也發(fā)明了自動防御措施，一旦“主機追蹤器”確定位于某地址的主機受到波及，它就把來自于該IP地址的流量列入黑名單。在此種方法的模擬試驗中，研究員們阻擋惡意流量時的誤碼率是5%。也就是說，每100個合法數據段中，有5個被識別有潛在的惡意威脅。通過附加信息來鑒定正當的用戶行為，可以將誤報率降低到1%以下。

“這項技術將會幫助查找那些進行頻繁通信的僵尸網絡，例如垃圾郵件活動，分布式阻斷服務攻擊（DDoS attack），和點擊式攻擊（click-through attack）。”Damballa公司主管研發(fā)的副總裁甘特·歐爾曼說，“其他的攻擊，比如密碼竊取和銀行木馬（banking trojan），是以主機為中心的，而這項技術將不會那樣有效?！?/p>