機(jī)器學(xué)習(xí)+編碼，檢測(cè)并報(bào)警妄圖從員工處套取口令的嘗試。

[[200965]]

美國(guó)加州大學(xué)伯克利分校和勞倫斯伯克利國(guó)家實(shí)驗(yàn)室的安全研究人員，想出了企業(yè)環(huán)境中緩解魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)的辦法。

來(lái)自這兩個(gè)機(jī)構(gòu)的幾位研究員，在 Usenix 2017 上發(fā)表了論文《企業(yè)環(huán)境中檢測(cè)憑證魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)》。論文描述了利用網(wǎng)絡(luò)流量日志和機(jī)器學(xué)習(xí)的一套系統(tǒng)，可以在雇員點(diǎn)擊嵌入電子郵件中的可疑URL時(shí)，實(shí)時(shí)觸發(fā)警報(bào)。

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)是一種社會(huì)工程攻擊方法，針對(duì)特定個(gè)人進(jìn)行，精心編造電子郵件，誘騙收件人安裝惡意文件或訪(fǎng)問(wèn)惡意網(wǎng)站。

此類(lèi)針對(duì)性攻擊不像廣撒網(wǎng)式的網(wǎng)絡(luò)釣魚(yú)那么常見(jiàn)，但其破壞力更為巨大。美國(guó)人事管理局(OPM)大規(guī)模數(shù)據(jù)泄露事件(2210萬(wàn)人受害)，醫(yī)療保險(xiǎn)提供商Anthem數(shù)據(jù)泄露事件(8000萬(wàn)病歷記錄被盜)，以及其他引人注目的數(shù)據(jù)失竊案，均涉及到魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)。

研究人員將重點(diǎn)放在了憑證竊取上，因?yàn)檫@一攻擊相對(duì)漏洞利用類(lèi)攻擊要容易得多。如果涉及惡意軟件，積極修復(fù)和其他安全機(jī)制會(huì)提供防護(hù)，即便目標(biāo)已經(jīng)中招。而一旦憑證被找到，就只需誘使目標(biāo)暴露出數(shù)據(jù)了。

冒充受信實(shí)體，是研究人員重點(diǎn)處理的攻擊方式。這種攻擊往往涉及冒用電郵名稱(chēng)字段、偽造看起來(lái)可信的名稱(chēng)(如helpdesk@example.com)，或者從被黑受信賬戶(hù)發(fā)送郵件。另一種假冒方式——冒用電子郵件地址，則不在研究人員考慮之列，因?yàn)橛蛎荑€識(shí)別郵件標(biāo)準(zhǔn)(DKIM)和域名消息驗(yàn)證報(bào)告一致性協(xié)議(DMARC)之類(lèi)電子郵件安全機(jī)制會(huì)處理。

自動(dòng)化魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)檢測(cè)的難點(diǎn)，在于此類(lèi)攻擊比較少見(jiàn)，這也是為什么很多企業(yè)仍然依賴(lài)用戶(hù)報(bào)告來(lái)啟動(dòng)調(diào)查的原因所在。研究人員指出，他們的企業(yè)數(shù)據(jù)集包含3.7億電子郵件——約4年的量，但只有10例已知的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)案例。

因此，即便只有0.1%的誤報(bào)率，都意味著37萬(wàn)次虛假警報(bào)——足以癱瘓企業(yè)IT部門(mén)。而且，魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)樣本的相對(duì)稀少性，也使機(jī)器學(xué)習(xí)技術(shù)缺少了創(chuàng)建可靠訓(xùn)練模型所需的大量數(shù)據(jù)。