一個只在經(jīng)過剖析應用程序潰散時的反應數(shù)據(jù)來檢測網(wǎng)絡進犯的研討項目已初見成效。近來����,安全公司W(wǎng)ebsense的研討人員經(jīng)過將Windows錯誤陳述和應用程序數(shù)據(jù)相聯(lián)系進行剖析的方法,成功檢測到一個對于零售商的網(wǎng)絡進犯活動�。
運用依據(jù)微軟的Windows錯誤陳述提交和創(chuàng)立信息的東西,也被稱為“Dr. Watson”。 Websense安全研討部主任Alex Watson標明:,某些反常形式痕跡標明:進犯者在企圖運用某些縫隙發(fā)起進犯的過程中,無意中會致使應用程序潰散�。
“咱們不是企圖去辨認一個特定的進犯,而是尋覓那些能夠是進犯者活動痕跡的目標?���!?Watson說道,“當咱們把它和其他情報聯(lián)系在一同剖析時,咱們得到了進犯者一個能夠的進犯途徑�。”
應用程序過于頻頻的潰散是計算機用戶和開發(fā)人員的煩惱��。但是,安全研討人員以為���,應用程序潰散是一個信號,某一軟件存在縫隙能夠被運用來綁架計算機體系�。特別是當“棱鏡門”事情的關(guān)鍵人物斯諾登標明,情報剖析人員運用潰散陳述以斷定應用程序能夠被運用后,這一技能獲得了廣泛的重視���。
承認這一技能能夠用來辨認進犯途徑后, Websense經(jīng)過搜集出售網(wǎng)點的應用程序潰散陳述,創(chuàng)立了一個進犯的指紋數(shù)據(jù)�����?���!敖?jīng)過這些信息,聯(lián)系其他猜測,咱們協(xié)助東海岸一個零售商查明晰一同運用Zeus歹意軟件進行進犯的事情?�!?Watson說����,“擴展排查規(guī)模后, Websense斷定其他零售商也表現(xiàn)出一樣的感染的痕跡?����!?/FONT>
“當咱們把一切的信息匯總在一同的時分,咱們看到整個批發(fā)��、零售職業(yè)的公司,都與一樣的指令和操控效勞器相連接?����!?Watson說���?!耙蚨?���,咱們檢測到的很能夠是Zeus對于出售職業(yè)體系的一個新變種?!?/FONT>
Websense并不是第一個經(jīng)過搜集計算機體系潰散數(shù)據(jù)來檢測潛在進犯的公司。Leviathan Security����,一家安全技能和征詢公司,一直在運用相似的技能來檢測那些有能夠逃脫其他檢測機制的領(lǐng)先和有對于性的歹意軟件。
開始的Windows錯誤陳述是不加密的��,而且包括應用程序���、效勞和硬件體系的潰散信息��。進犯者能夠運用這些信息來知道公司的環(huán)境,而安全防護人員則能夠運用這些信息檢測到能夠是進犯者正企圖發(fā)起進犯的體系反常潰散���。
Websense正方案擴展該體系����,以搜集來自其他操作體系和其他類型的設備的體系潰散陳述����。工業(yè)操控體系——如監(jiān)控和數(shù)據(jù)收集(SCADA)網(wǎng)絡����、以及金融網(wǎng)絡都能夠?qū)@益于該技能。
