機(jī)器學(xué)習(xí)+編碼，檢測并報警妄圖從員工處套取口令的嘗試。

[[200965]]

美國加州大學(xué)伯克利分校和勞倫斯伯克利國家實(shí)驗(yàn)室的安全研究人員，想出了企業(yè)環(huán)境中緩解魚叉式網(wǎng)絡(luò)釣魚風(fēng)險的辦法。

來自這兩個機(jī)構(gòu)的幾位研究員，在 Usenix 2017 上發(fā)表了論文《企業(yè)環(huán)境中檢測憑證魚叉式網(wǎng)絡(luò)釣魚》。論文描述了利用網(wǎng)絡(luò)流量日志和機(jī)器學(xué)習(xí)的一套系統(tǒng)，可以在雇員點(diǎn)擊嵌入電子郵件中的可疑URL時，實(shí)時觸發(fā)警報。

魚叉式網(wǎng)絡(luò)釣魚是一種社會工程攻擊方法，針對特定個人進(jìn)行，精心編造電子郵件，誘騙收件人安裝惡意文件或訪問惡意網(wǎng)站。

此類針對性攻擊不像廣撒網(wǎng)式的網(wǎng)絡(luò)釣魚那么常見，但其破壞力更為巨大。美國人事管理局(OPM)大規(guī)模數(shù)據(jù)泄露事件(2210萬人受害)，醫(yī)療保險提供商Anthem數(shù)據(jù)泄露事件(8000萬病歷記錄被盜)，以及其他引人注目的數(shù)據(jù)失竊案，均涉及到魚叉式網(wǎng)絡(luò)釣魚。

研究人員將重點(diǎn)放在了憑證竊取上，因?yàn)檫@一攻擊相對漏洞利用類攻擊要容易得多。如果涉及惡意軟件，積極修復(fù)和其他安全機(jī)制會提供防護(hù)，即便目標(biāo)已經(jīng)中招。而一旦憑證被找到，就只需誘使目標(biāo)暴露出數(shù)據(jù)了。

冒充受信實(shí)體，是研究人員重點(diǎn)處理的攻擊方式。這種攻擊往往涉及冒用電郵名稱字段、偽造看起來可信的名稱(如helpdesk@example.com)，或者從被黑受信賬戶發(fā)送郵件。另一種假冒方式——冒用電子郵件地址，則不在研究人員考慮之列，因?yàn)橛蛎荑€識別郵件標(biāo)準(zhǔn)(DKIM)和域名消息驗(yàn)證報告一致性協(xié)議(DMARC)之類電子郵件安全機(jī)制會處理。

自動化魚叉式網(wǎng)絡(luò)釣魚檢測的難點(diǎn)，在于此類攻擊比較少見，這也是為什么很多企業(yè)仍然依賴用戶報告來啟動調(diào)查的原因所在。研究人員指出，他們的企業(yè)數(shù)據(jù)集包含3.7億電子郵件——約4年的量，但只有10例已知的魚叉式網(wǎng)絡(luò)釣魚案例。

因此，即便只有0.1%的誤報率，都意味著37萬次虛假警報——足以癱瘓企業(yè)IT部門。而且，魚叉式網(wǎng)絡(luò)釣魚樣本的相對稀少性，也使機(jī)器學(xué)習(xí)技術(shù)缺少了創(chuàng)建可靠訓(xùn)練模型所需的大量數(shù)據(jù)。