一個只在經(jīng)過剖析應(yīng)用程序潰散時(shí)的反應(yīng)數(shù)據(jù)來檢測網(wǎng)絡(luò)進(jìn)犯的研討項(xiàng)目已初見成效。近來,安全公司W(wǎng)ebsense的研討人員經(jīng)過將Windows錯誤陳述和應(yīng)用程序數(shù)據(jù)相聯(lián)系進(jìn)行剖析的方法����,成功檢測到一個對于零售商的網(wǎng)絡(luò)進(jìn)犯活動。
運(yùn)用依據(jù)微軟的Windows錯誤陳述提交和創(chuàng)立信息的東西,也被稱為“Dr. Watson”���。 Websense安全研討部主任Alex Watson標(biāo)明:,某些反常形式痕跡標(biāo)明:進(jìn)犯者在企圖運(yùn)用某些縫隙發(fā)起進(jìn)犯的過程中,無意中會致使應(yīng)用程序潰散。
“咱們不是企圖去辨認(rèn)一個特定的進(jìn)犯,而是尋覓那些能夠是進(jìn)犯者活動痕跡的目標(biāo)���。” Watson說道���,“當(dāng)咱們把它和其他情報(bào)聯(lián)系在一同剖析時(shí),咱們得到了進(jìn)犯者一個能夠的進(jìn)犯途徑��?�!?/FONT>
應(yīng)用程序過于頻頻的潰散是計(jì)算機(jī)用戶和開發(fā)人員的煩惱���。但是,安全研討人員以為,應(yīng)用程序潰散是一個信號,某一軟件存在縫隙能夠被運(yùn)用來綁架計(jì)算機(jī)體系�����。特別是當(dāng)“棱鏡門”事情的關(guān)鍵人物斯諾登標(biāo)明,情報(bào)剖析人員運(yùn)用潰散陳述以斷定應(yīng)用程序能夠被運(yùn)用后,這一技能獲得了廣泛的重視���。
承認(rèn)這一技能能夠用來辨認(rèn)進(jìn)犯途徑后, Websense經(jīng)過搜集出售網(wǎng)點(diǎn)的應(yīng)用程序潰散陳述�����,創(chuàng)立了一個進(jìn)犯的指紋數(shù)據(jù)�?�!敖?jīng)過這些信息,聯(lián)系其他猜測,咱們協(xié)助東海岸一個零售商查明晰一同運(yùn)用Zeus歹意軟件進(jìn)行進(jìn)犯的事情�����?�!?Watson說����,“擴(kuò)展排查規(guī)模后, Websense斷定其他零售商也表現(xiàn)出一樣的感染的痕跡?!?/FONT>
“當(dāng)咱們把一切的信息匯總在一同的時(shí)分,咱們看到整個批發(fā)、零售職業(yè)的公司,都與一樣的指令和操控效勞器相連接�。” Watson說����?�!耙蚨?�,咱們檢測到的很能夠是Zeus對于出售職業(yè)體系的一個新變種����?���!?/FONT>
Websense并不是第一個經(jīng)過搜集計(jì)算機(jī)體系潰散數(shù)據(jù)來檢測潛在進(jìn)犯的公司。Leviathan Security�,一家安全技能和征詢公司,一直在運(yùn)用相似的技能來檢測那些有能夠逃脫其他檢測機(jī)制的領(lǐng)先和有對于性的歹意軟件�����。
開始的Windows錯誤陳述是不加密的�����,而且包括應(yīng)用程序���、效勞和硬件體系的潰散信息�����。進(jìn)犯者能夠運(yùn)用這些信息來知道公司的環(huán)境,而安全防護(hù)人員則能夠運(yùn)用這些信息檢測到能夠是進(jìn)犯者正企圖發(fā)起進(jìn)犯的體系反常潰散����。
Websense正方案擴(kuò)展該體系,以搜集來自其他操作體系和其他類型的設(shè)備的體系潰散陳述���。工業(yè)操控體系——如監(jiān)控和數(shù)據(jù)收集(SCADA)網(wǎng)絡(luò)�、以及金融網(wǎng)絡(luò)都能夠?qū)@益于該技能�。
