德克萨斯大学达拉斯分校的研究人员正在应用机器学习技术开发更有效的蜜罐式网络防御——智能DeepDig。
所谓的“网络安全欺骗技术”是指被策略性地放置在网络周围的陷阱或诱饵系统。这些诱饵系统充当蜜罐,因此一旦攻击者侵入网络,就会漏出马脚并触发安全警报。
欺骗技术不是一个新概念。包括Illusive Networks和Attivo在内的公司已经在该领域耕耘多年。
但是最近,德克萨斯大学达拉斯分校(UT Dallas)的研究人员正致力于将这一概念向前推动一大步,他们正在应用机器学习技术开发更有效的蜜罐式网络防御——智能DeepDig(DEcEPtion DIGging,欺骗挖掘)。
把黑客变成免费渗透测试人员
与传统蜜罐不同,DeepDig技术会将陷阱和诱饵植入真实系统中,借助机器学习技术更深入地了解攻击者的行为。
换而言之就是将网络攻击作为基于机器学习的入侵检测系统的实时培训数据的免费来源。说直白点就是把攻击者当成免费的渗透测试人员。
UT达拉斯大学的计算机科学教授Kevin Hamlen博士解释说:
像Illusive Networks、Attivo这样的公司创建了旨在使对手感到困惑的网络拓扑,这使他们更难找到真正的资产来进行攻击。尽管防御仍然相对静止,但随着时间的流逝,攻击者学会了如何将蜜罐与真实资产区分开,从而导致了不对称博弈,最终获胜的往往是攻击者。但现有方法的缺点是这种欺骗手段不能从攻击中汲取教训。相比之下,DeepDig将真实资产变成陷阱,可以利用人工智能和数据挖掘从攻击中吸取教训(高价值数据)。
从攻击中学习
根据Hamlen博士的说法,将真实资产环境转化为“蜜罐”有很多优势。他说:
即使最熟练的攻击者也无法避免与陷阱互动,因为陷阱位于攻击者目标的真实资产内,而不是单独的机器或软件过程。这就把攻防变成了信息对称游戏,在该游戏中,防御者不断学习,甚至能够更好地阻止最隐蔽的对手。
在最近的波多黎各计算机安全应用会议上,一篇题为“通过Crook-Sourcing改进入侵检测器”的论文介绍了该研究在Web安全领域中的应用。
论文地址:https://personal.utdallas.edu/~hamlen/araujo19acsac.pdf
算法发布
该研究由美国联邦政府资助。迄今为止开发的算法和评估数据已随研究论文公开发布。
这项研究有望实现产品化,但这还需要一段时间,目前该技术仍处于原型阶段。
UT达拉斯发言人解释说:
在实践中,公司通常会与一所大学合作进行他们感兴趣的研究,以开发出完整的产品。Hemlen博士的项目还没有到那个阶段。