新工具让恶意网站见光死容易

各种恶意站充斥络，它们表面看似正常，却在暗地里非法获取电脑里的各种数据，是当今络一大毒瘤。如何尽快建立恶意站黑名单，防其继续为恶，是络安全工程师的重要职责。美国普林斯顿大学一研究小组27日在美国计算机协会(ACM)计算机与通信安全大会上提交论文称，他们开发出一种名为捕食者的系统，可区分新建站是合法站还是恶意站，从而让这些恶意站见光死。

本文摘自：《经君健选集》 捕食者系统依赖于这样一个判断，即恶意用户在注册站时的行为与正常用户有所区别。比如，他们通常会一次购买多个域名，注册多个站;经常会用一个名字的变体，如调整字母顺序、使用复数形式等注册多个址。普林斯顿大学计算机科学教授尼克菲姆斯特带领研究人员对恶意用户和正常用户的线上行为进行了大量分析，据以建立识别模式，开发出了捕食者系统。

通过该系统，研究小组在一段时间内每天对80000多个新注册域名进行筛查，判断哪些站最有可能是恶意站。而其预测结果与后来的实际情况，也就是被络安全工程师列入黑名单的站名单对比，70%的恶意站在注册时即被捕食者系统揪了出来。虽然该系统也会有失误，给一些合法站贴上恶意标签，但这一失误率仅有0.35%。

菲姆斯特指出，能在恶意站注册时就发现它们，这对络安全的维护具有重要意义。现有的屏蔽工具依靠检测站的恶意活动来识别并阻止它们。不法分子可以不断购买新的域名，建立新的站，他们在站被屏蔽前总有一段时间干各种不法勾当。而捕食者系统能够在站注册时建立一个过滤，安全运营商可以据此更快速地建立黑名单，屏蔽这些站，使其无法为恶;域名提供商也可根据捕食者系统的筛查结果，确定是否批准注册申请，或进行更深入的调查，从而减少恶意站的出现。