研究人員發現新式魚叉式釣魚檢測方法，獲FaceBook價值10萬美元的互聯網防禦獎

近日，加利福尼亞大學伯克利分校以及勞倫斯伯克利國家實驗室的一組研究人員獲得 Facebook 本年度價值 10 萬美元的「互聯網防禦獎金」，他們的主要貢獻是研究發現了一種新的在密切監測的企業網路中檢測魚叉式釣魚的方法。這個研究小組有五名成員，專註於研究魚叉式釣魚攻擊的檢測方法。

Facebook 官方獲獎合影（別問我，我也不知道第五個人在哪）

這五名成員分別是：來自加利福尼亞大學伯克利分校的 Grant Ho, Mobin Javed 和 David Wagner；來自勞倫斯伯克利國家實驗室的 Aashish Sharma 以及來自加利福尼亞大學伯克利分校國際計算機研究所的 Vern Paxson。

DAS 檢測系統

本周在加拿大溫哥華舉行的 USENIX 安全會議上，該研究小組公布了其研究成果。研究論文名為」Detecting Credential Spearphishing in Enterprise Settings「 （檢測企業網路中有憑證的魚叉式釣魚攻擊）。

在論文中，研究人員表示：為了解決之前的釣魚檢測中出現的誤報率高、訓練模型小、分類不平衡等問題，他們在研究中首先針對魚叉式釣魚攻擊的基礎特徵進行分析，總結出成功的魚叉式釣魚攻擊在不同階段的特徵。然後引入只需未標註分類的數據即可訓練的 DSA （定向異常得分）系統。與普通的異常檢測系統相比，DSA 的數量級數據處理能力是一項優勢。將魚叉式釣魚攻擊的特徵與 DSA 的大量數據分析處理相結合，就能得到魚叉式釣魚攻擊的實時檢測工具。

他們讓 DAS 系統分析了某個擁有幾千名員工的大公司在 2013 年 3 月到 2017 年 1 月之間往來的 3.7 億多封郵件以及相關的 HTTP 日誌，用作對 DAS 的訓練。

接受訓練後，DAS 系統中配置了一系列評估指標，用於評估最新接收到的郵件。

第一階段的評估指標包括：發件人域名信譽得分、發件人信譽得分。

其中，域名信譽指標的評估需要分析郵件中的鏈接，確認其是否含有風險。如果同一個公司內訪問某 URL 的員工數量不多，或者之前沒有任何人訪問、近期才有訪問記錄，那麼這個 URL 就被判定為含有風險。而發件人信譽指標則是為了確認「From」欄中的發件人姓名是否有欺詐性、識別出一個之前沒有被發現的並利用偽造的已知或權威企業的名稱或郵箱地址的攻擊者、識別可疑郵件內容（涉及賬戶和登錄憑證的內容，或者標明為緊急的內容等）。

一旦發件人和 URL 的信息被搜集完畢，DSA 系統就會評估並確認是否發出警報。DSA 會根據郵件的可疑程度把所有事件分級，並在分級之後將最高層級的事件篩選出來，向安全團隊發出警告。

此外，DSA 還會

分析 SMTP、NIDS 和 LDAP 日誌；檢測來自新 IP 的登錄情況、每位員工的總登錄情況、不活躍的時段等。

DAS 對這些指標進行評估後，就能檢測出欺詐性網址、欺詐性發件人姓名，甚至檢測出被攻擊的賬戶對同事帶來的側面攻擊。

高檢測率、低誤報率是 DAS 的主要突破

該小組的研究人員表示：

之前的釣魚檢測方法主要遇到的挑戰有兩點：一是發件人歷史記錄很少，二是標題混亂不利於分析。這兩點導致普通釣魚攻擊檢測方法的誤報率達到 1% 甚至更高。這意味著，如果使用普通檢測方法，訓練數據的 3.7 億郵件中將會有 3700 萬郵件遭到誤報，這無疑大大增加了分析人員的工作量。

而在研究中，DAS 能檢測出19 封攻擊郵件中的 17 封（6 起已知且成功的魚叉式釣魚攻擊；9 起未成功的魚叉式釣魚攻擊和 2 起成功但之前沒出現過的攻擊）。研究員還表示，

DSA 系統的平均誤報率降低到了 0.004%

，比之前的研究結果低了近 200 倍。

在訓練中，DSA 平均每天發布的警報低於 10 個；藉助 DSA，一名分析員可以在 15 分鐘內處理完之前 1 個月才能完成的工作。具體到所使用的公司數據表明，該公司平均每天接收到 263086 封郵件。這意味著，如果使用了 DAS 系統進行郵件檢測，事件響應小組平均每天只需要人工檢測 10.5 封郵件（263086 * 0.004% ≈ 10.52）。省下來的時間可以去處理其他工作。

Facebook 表示，之所以將今年的互聯網防禦獎頒發給 DAS 研究小組，原因之一就是其超低的誤報率。另一個原因則是魚叉式釣魚攻擊（例如 DNC 攻擊、OPM 攻擊等）已成為如今網路攻擊的主要根源，而 DAS 系統可以有效監測出魚叉式釣魚攻擊。

下文是  Facebook 頒獎給 DAS 研究小組的完整原因：

首先，在近些年中，成功的魚叉式釣魚攻擊造成許多重大信息泄露事件。當人們加強了技術方面的檢測和預防能力之後，人為因素就成了更重要的入侵環節。幫助人們避免社會工程學攻擊變得愈發重要。這個研究有助於減少未來發生的魚叉式釣魚攻擊。其次，作者稱承認並解釋了其檢測機制中的誤報成本，這一點十分重要，因為對於應急響應團隊而言，誤報成本算是間接成本，關係到響應時間。

互聯網防禦獎榮譽提名

除了 DAS 系統外，今年還有其他兩個在 USENIX 上公布的項目入圍 Facebook 的互聯網防禦獎。

一、 「DR. CHECKER: A Soundy Analysis for Linux Kernel Drivers「 （ DR. CHECKER: 針對 Linux 內核驅動的有效分析系統」 ）這項研究詳細描述了現有的一種靜態分析技術，可以找出 Linux 內核驅動中的大量漏洞。

二、」Oscar: A Practical Page-Permissions-Based Scheme for Thwarting Dangling Pointers「 （Oscar：實用的基於頁面許可的懸空指針阻撓機制）這項研究詳細描述了阻止特定低級代碼類別漏洞的方法。

2016 年的 Facebook 互聯網防禦獎 10 萬美元獎金花落名為「Post-quantum Key Exchange—A New Hope」（後量子密鑰交換——一種新希望）的研究。這項研究主要講述提升 TSL 中的後量子加密保護。目前，谷歌 Chrome 已經採用了這項研究成果，Tor 瀏覽器也計劃支持這個項目成果。

*參考來源：bleepingcomputer，SecurityWeek 等，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: