网络犯罪支撑技术
第1节中咱们综述了网络犯罪产业链中网络犯罪攻击形式的犯罪规律和检测分析技术。在详细攻击形式的背面,一般有隐蔽的网络犯罪支撑技术对其供给保证与支持。网络犯罪支撑技术虽然不直接和用户产生接触,但其在为详细的攻击方式增多隐蔽性、加强攻击效率和成功率方面起着重要功效,如技术支持诈骗依赖于黑帽搜索引擎技术优化吸引用户拜访;钓鱼网站依赖误植域名技术诈骗用户等。因此呢,近年来,对网络犯罪的支撑技术的科研亦作为科研人员的关注重点。本节以黑帽搜索引擎优化, 误植域名为例,论述网络犯罪支撑技术的概念、特点和检测分析办法。
2.1 黑帽搜索引擎优化
搜索引擎自诞生败兴,极重地提高了用户从互联网上获取信息的有效性和便利性,据统计,每日人们会发起70亿余次的Google搜索请求[55]。与此同期,搜索引擎提出了PageRank等为表率的算法对结果搜索结果进行持续优化。另外,随着需要被检索的信息增多,大部分搜索引擎亦逐步采用竞价排名来决定搜索结果的排名,热门关键词对应的价格水涨船高。另外,因为各地法律法规的制约,部分违法或灰色地带的关键词没法在搜索结果中呈现,使得违法产业只得另寻他法。昂贵的价格加上法律法规的制约,促成为了黑帽搜索引擎优化技术的产生和发展。
本节先简要介绍平常的黑帽搜索引擎优化技术,并讨论其对应的检测技术和评定办法,而后讨论当前黑帽搜索引擎检测技术上遇到的挑战并讨论后续发展方向。
黑帽搜索引擎优化指的是经过违规设置垃圾关键字、链接农场等方式,操作针对特定关键词的搜索引擎结果的技术。日前广泛采用的技术包含:关键词篡改(keyword stuffing) 、 链接农场(link farm) 、伪装(cloaking)等。
关键词篡改[56]即在网页的内容会填充有些与页面其余部分无关的流行词。攻击者期盼经过将篡改的关键词与合法内容进行混合,加强网站在搜索引擎结果中的排行。为了最大限度地加强被索引的概率,一般一个网页中会嵌入数十乃至数百个无关的词。同期,搜索引擎亦持续在更新自己的排名算法以应对关键词篡改的攻击,如 Panda[57]和 Penguin[58]都拥有针对重复或篡改内容的页面的处罚办法。然而,检测算法通常依赖于页面内容识别被操作的网站。因此呢,黑帽攻击者亦持续更新其关联技术,关键词篡改行径更加隐蔽以逃过检测。
链接农场[59][60]指的是一组目的为了经过增多传入链接的数量来加强另一个网站的链接流行度的网站。其中,比较典型的链接农场类型包含私人博客[61][62]和论坛[63]等。整体而言,攻击者按照搜索引擎的算法规律,操作权威网站构成的网络,经过创立反向链接的方式,将搜索权重传递给需要被提高排名的网站。
伪装[64][65][66]指的是为了逃避检测,各类黑帽搜索引擎优化网站一般会向区别的拜访者或搜索引擎动态供给区别的内容。例如经过浏览器的用户代理(User Agent)、 请求头(Request Header)、IP 位置(IP Address)等特征,保准只向目的客户呈现对应违法内容。
日前,学术界针对黑帽搜索引擎优化的科研重点集中于检测技术科研和威胁评定科研两大方面。
近年间,科研人员重点从搜索结果、网站内容、网页地图等方向科研、检测黑帽搜索引擎优化技术. 文献[67][68][69][61]从搜索的结果做为入手点,其黑帽搜索引擎优化的最后目的是篡改搜索引擎结果。为此,不论攻击者采取何种技术,其结果必定能够在搜索引擎中发掘。Liao等人[67]经过利用搜索结果和结果所在域名、搜索结果之间的不一致性,检测专属顶级域名中被被移植用于推广的网站。Joslin等人[68]利用经过语言学上的特点,系统性地生成并分析因为误拼写的关键词导致的问题。Wang等人[69]则经过搜索自动补全机制入手,采用词嵌入技术检测搜索引擎中关键词被黑帽搜索引擎优化污染的状况。Van等人[61]认为若网站需要实现搜索引擎优化的目的,则需要必须将自己结果进行收录。作者以此经过搜索引擎迭代反查种子集合,收集用于黑帽搜索引擎优化的私人博客网络样本。
与以上工作区别的,Yang等人[70]经过采用网站内容分析的方向进行科研,经过采用页面结构和网页内容相结合的方式进行恶意网站的识别检测;Du等人[71]则从网站地图(sitemap)入手,捉捕采用泛解析的黑帽搜索引擎优化网站。
近年间,为了对抗黑帽搜索引擎优化,各大搜索引擎亦在频繁更新自己的排名策略。与之对应的,黑帽搜索引擎优化技术亦广泛采用有些对抗方式。Yang等人[70]指出,日前搜索引擎可能利用人工容易识别、形状相近,但语义完全无关的的词语(如“六合彩”与“六台彩”)躲避检测;Du等人[71]显示黑帽搜索引擎优化不仅会采用动态内容生成来躲避搜索引擎的内容检测,还采用DNS的泛解析功能,动态生成域名以逃避搜索引擎的回环检测。文献[68][70]则显示部分黑帽seo采用发音相近的字逃避检测。Yang等人[72]指出,攻击者可能采用“黑话”(jargon),逃避平常的关键词检测技术。
黑帽搜索引擎优化所带来的影响巨大,据Yang等人[70]报告,经过其针对7000 多个中文商场网站共超过 3800 万个网页的连续观察,发掘了在其中 11% 的网站被用于黑帽搜索引擎优化的行径;文献[62][73]则从时间维度上对黑帽SEO进行分析,Liao等人[74]识别出了3,186个云目录和318,470个门户页面用于常委关键词的黑帽SEO. Du等人[71]中经过对来自22个TLD和SLD,共13.5百万的域名的扫描,发掘458个蜘蛛池网站,且虽然网站分布在超过2.8万个IP位置,然则其自治系统、域名注册商都集中分布在一小部分的SEO攻击者中。
从搜索结果的方向衡量,Joslin等人[68]指出,谷歌和百度搜索引擎上,关于语言冲突搜索词的第1页搜索结果中,大约 1.19% 指向恶意网站。文献[69]经过对1.14亿条搜索谷歌引擎的意见词进行分析,揭示了其中0.48%的谷歌意见术语被操作的现象,并且指出其中最少有 20% 用于地下宣传、宣传赌博内容乃至分发恶意软件。
做为一种支撑技术,黑帽搜索引擎优化的最后目的在于为对应的网络黑灰产引流,针对黑帽SEO所承载的攻击载荷,学术界亦有关联工作对其进行科研。Liao等人[67]揭露了针对 .edu 域名的教育作坏处攻击,此类网站重点供给教育关联的作坏处服务,包含贩卖家庭作业,为学生供给在线考试作坏处等服务。Joslin等人[68]汇总了最受黑帽搜索引擎优化欢迎的前五个类别分别是:药物、成人相关、博彩、软件和汽车。Du等人[71]则从1,453 个已识别的黑帽搜索引擎优化客户站点中抓取的所有网页,并经过内容分析,发掘运用黑帽搜索引擎优化的网站重点包含,营销和服务、赌博、代孕、资讯、色情、游戏、医疗和药物等。
虽然工业界和学术界广泛采用各样技术对抗黑帽搜索引擎优化攻击,但因为巨大的利益驱使,黑帽攻击者亦在持续加强其自己的对抗手段。将来一段时间,检测技术和逃逸技术仍然会保持长时间的螺旋提升态势。
对抗搜索引擎黑帽搜索引擎优化最简单的办法是配置相关域名、关键词的黑名单(blacklist)。与之对应的,攻击者从最初的直接运用关联敏锐词,逐步转移到运用黑话,再到运用人工容易识别、但语义上完全无关的词语。为此,怎样能在尽可能少的基于专家人工经验的基本上准确生成关键词黑名单,尤其是先前未把握的关键词黑名单,是将来科研的一个重点。
随着搜索引擎检测算法和违法页面检测工具的持续升级,传统的一次嵌入数百、数千个关键词的粗放式关键词篡改攻击亦逐步进化,显现了仅改变关键标签位置内容的攻击方式[70]。同期,除了基于浏览器用户代理、请求头的伪装之外,还显现了基于动态代码执行的伪装技术等。因此呢,怎样能在攻击日益隐蔽的状况下,连续准确识别黑帽搜索引擎优化的关联网站,亦需要更加多科研关注。
2.2 误植域名
误植域名(Typosquatting)是一项历史悠久的网络犯罪技术,自从上世纪90年代域名起始注册败兴,网络犯罪分子就起始经过抢先注册用户输入错误的域名,诱导其进入预设的网站产生拜访流量。误植域名概念首要由Gilwit在纽约法律杂志[75]上提出,2003年Edelman[76]首次对误植域名进行了大规模的科研,发掘超过8800个误植域名,进一步骤查发掘大都数误植域名都属于John Zuccarini所有。Zuccarini经常针对儿童网站进行误植域名攻击,让误输域名的儿童重定向到色情网站从而牟利[76]。
误植域名的检测首要要认识误植域名的生成模式。误植域名的生成模式经历了由最起始的简单字符变换到后续更高级的比特变换等模式的转变,相应的检测技术亦在同步的提高。科研人员们除了关注其中的检测技术以外,还关注这些误植域名网站背面的盈利模式和其他属性,以期望更加全面的认识这一灰色产业。本节亦将从误植域名的生成模式、检测手段和其产业背面的其他关联属性进行梳理。
简单的误植域名生成模式能够分为5类[77][78]。
1)"."省略:输入域名时少输入“.”出现,如由“www.example.com”变为“wwwexample.com”。
2)字符省略:少输入域名字符时出现,如由“www.example.com”变为"www.exmple.com”。
3)字符错误摆列:如由“www.example.com”变为“www.examlpe.com”。
4)字符替换:如由“www.example.com”变为“www.ezample.com”。
5)字符插进:如由“www.exaample.com”变为“www.exaample.com”。
后续误植域名连续发展,显现了更加高级的生成模式:
6)同态误植域名:Per Holgers等人[79]提出了同态误植域名,即将目的域名变化为视觉上类似的域名。如“www.bankofthewest.com”变为“www.bankofthevvest.com”,运用两个v来替换”w“。
7)比特误植域名(Bitsquatting):Artem Dinaburg在黑帽安全会议上介绍了比特误植域名技术[80],这种技术不是依赖于用户的错误输入,而是由于设备理学故障而出现的随机比特翻转错误。
8)同音误植域名(Soundsquatting):Nikiforakis等人发掘了同音误植域名[81],即利用单词的读音类似性来进行攻击,如“www.eight.com”变为“www.ate.com”。
9)组合误植域名(Combosquatting):2017年Kintis等人[82]科研了组合误植域名入技术,该技术将流行域名与单词连接起来,如“youtube.com”变为“youtube-live.com”。zeng等人亦将这类技术归为域名组合抢注[83]。
误植域名技术的快速迭代亦促进相应的检测技术持续发展。Wang等人[77]设计了Strider Typo-patrol系统自动扫描并检测简单的误植域名(1-5),首要利用这些生成模式生成海量误植域名,再对误植域名进行拜访判断是不是被注册。Wang等人这一检测办法是最早且被人们广泛引用的办法之一,如文献[84][85][83][84]中以一样的办法对误植域名的存活数量进行了检测。Holgers等人[79]提出了同态误植域名的检测办法,即经过易被混淆的字符替换目的域名以生成误植域名,并利用DNS解析以确定域名是不是被注册。Nikiforakis等人[86]首次对比特误植域名现象进行了大规模的分析,提出了对应的检测办法。此后,Nikiforakis等人[81]又提出了同音误植域名的检测办法:作者首要利用单词列表从域名中解析单词,后利用同音单词数据库来对目的域名单词进行变化生成误植域名。此后,Kintis等人第1次[82]对组合误植域名进行了大规模科研,在长达6年的时间里,她们经过分析超过4.68亿条DNS记录识别出了270万个组合误植域名。以上误植域名的检测办法大都是以误植域名的生成模式为基本,自动化地生成海量的候选误植域名,最后利用DNS解析判断误植域名存在。按照她们实验结果显示,误植域名技术显现二十数年来并无随着时间演从而消亡,反而随着新技术的显现更加流行。
另外,在其他运用域名的场景,如邮件系统亦会受到误植域名的影响,Szurdi等人[87]首次对邮件的误植域名进行了科研,她们对自己注册的误植域名科研发掘,这些误植域名对应的邮箱确实能够收到有些包括敏锐信息的邮件,并且她们对真实世界中的邮件系统科研发掘1211个误植域名对应的邮箱每年会收到800,000个受害人的邮件。HTML或JavaScript代码中引入JavaScript库时亦会显现因为误植域名而引起的安全问题,Nikiforakis[88]经过实验对这一攻击进行了科研,她们注册了与流行的JavaScript库名相近的域名,发掘在15天之内有16万名研发者拜访这些误植域名的库,这一攻击比传统的误植域名的威胁要大得多,可能导致恶意代码注入等安全问题。
除了对误植域名进行检测之外,科研人员们亦关心误植域名的幕后经济模式以及其他关联属性。2008年Baberjee等人[78]对误植域名技术进行了海量的科研,她们发掘误植域名的假网页比目的网页体积更小,到达假网页需要经过非常多重定向耗费的时间更加多,她们的科研结果亦显示流行网站的域名更受误植域名攻击的喜爱。7年后,Szurdi等人[85]得到了相反的结论,她们的科研显示95%的误植域名攻击的目的在于网站排名“长尾分布”中的处在“长尾”的网站,Agten等人[89]亦证实了这一点,这显示误植域名的攻击趋势和对应行径随着时间在逐步变化。Agten等人在长达7个月的科研中还发掘误植域名的网页在积极的切换其盈利模式,有时利用宣传有时经过诈骗犯罪进行盈利。文献[89][85][89]亦证实日前误植域名仍然比较流行。近年来,Khan等人[90]经过“意图推理”来量化误植域名技术对用户体验的影响。Spaulding等人[91]经过用户调研的方式科研了误植域名技术在诈骗用户方面的有效性,科研发掘误植域名攻击对熟练安全关联知识的人效果不大,且字符替换和字符省略的误植域名相较其他误植域名攻击方式更有效。而Tahir等人[92]经过对人体手部结构、键盘布局和键字错误频率的探索发掘,手部结构和键盘布局造成为了某些字符组合拼写时更易出错,从而解释了引起域名更易存在误植域名的现象。
Table 1 Overview of Typosquatting-related research
表 1误植域名关联科研概览
(*暗示其作者并未知道指出运用的流行网站排名源自) 
误植域名技术更加多的是用于为其他网络犯罪活动如钓鱼攻击[6]、网络诈骗[20]等供给技术支持。犯罪分子部署与目的网站相同的网页,在用户误植域名进入犯罪分子网站后进行钓鱼攻击。因为域名是用户主动输入的,用户在输入账户秘码或银行卡号等敏锐信息时警觉心很低,很容易上当受骗。误植域名做为灰色产业地带,受到的关联法律法规监管较弱,因此首要需要从法律法规方向对这一起监管内容做出进步,同期因为用户粗心误移植错误的域名是不可避免的,对用户显现误植域名时进行提醒是有效守护用户利益的手段,怎样做到用户误植域名的判断并即时提醒是今后科研的重点。
网络犯罪基本设备
仅有网络犯罪的攻击技术和支撑技术还不足以形成完整的网络犯罪产业链,攻击技术和支撑技术都需要对应的基本设备供给配套服务。例如,攻击者实施网络犯罪之前经过地下鬼市进行关联信息或攻击软件的获取,实施攻击钓鱼、诈骗等攻击时能够利用僵尸网络服务来进行有效方便的内容分发,在攻击成功后利用洗钱途径等手段来进行违法资金的变现等。这些网络犯罪基本设备无疑为网络犯罪攻击的成功实施和网络犯罪技术的有效支持供给了方便快捷的途径。匿名、稳定、抗打击的能力强的基本设备是网络犯罪产业蓬勃发展的基石。本节对以地下论坛、僵尸网络和洗钱途径为表率的网络犯罪产业链基本设备的关联概念、检测分析办法进行梳理。
3.1 地下论坛
地下论坛(Underground Forum)是网络犯罪分子买卖各样违法商品、服务或信息的交易市场,通常亦叫做地下鬼市。地下鬼市交易的违法商品如网络犯罪软件、个人身份信息、银行卡信息等,这些网络犯罪软件的海量交易使得实施网络犯罪的“门槛”逐步降低,不具备安全背景的用户亦能够经过“傻瓜式”操作来完成网络攻击,从而引起网络攻击事件频发,同期海量用户个人信息的交易亦使得攻击的范围和规模逐步增大,威胁到大都数人的财产安全。
地下鬼市在过去的20年间以多种形式存在。初期的地下鬼市重点是利用IRC协议(Internet Relay Chat)经过群体聊天来交易[93][94],随着时间的发展网络犯罪分子逐步将这些违法交易的场所转移到更加稳定、便利且流量更大的web论坛[95][96]。因为监管和打击的趋严,这些论坛逐步转入“地下”,加入这些论坛有严格的审查过程,有些论坛最少需要三名现有成员举荐才可加入[97]。并且某些地下论坛亦逐步趋于专门化,如Stone Cross等人[97]调查的Spamdot.biz 论坛就专门售卖垃圾邮件服务。在地下鬼市的科研工作中,科研人员们关注地下论坛中交换的违法信息和运作模式以估计其背面产生的经济效应。地下鬼市类别众多变化极大,人工对这些数据分析作为了限制原因,因此科研人员们亦在尝试探索自动化分析地下鬼市的办法。本节将从地下鬼市的发展过程出发,梳理人们对地下鬼市经济模式等属性和自动化分析办法的关联科研工作。
文献[93][94]中对初期基于IRC协议的地下鬼市进行了科研,文献[93]中发掘美国大大概34到40个的比较活跃的地下鬼市,这些地下鬼市通常都是基于IRC协议,她们经过多人聊天来完成商品的交易,基于IRC协议的论坛通常都是开放的很容易被发掘,从而提醒监管者对这类地下鬼市实施打击。Franklin等人[94]首次大规模科研了基于IRC协议的地下鬼市中商品的价格和类型以认识背面的经济模式,她们从活跃的地下论坛中收集了7个月的1300万条聊天记录进行分析,发掘这些地下市场中热门的商品包含信用卡信息、金融信息和个人身份信息等。
相比基于IRC协议的地下鬼市,基于web论坛的地下鬼市中的信息更加多样繁杂,相应的每一个地下鬼市中商品的种类更加多带来的经济规模亦更加庞大。Zhuge等人[95]首次对中国公共论坛形式的鬼市进行了分析,她们提出了一种模型来描述游戏中虚拟资产等商品在的地下论坛中的详细交易流程,并从技术方向剖析了地下论坛影响下恶意网站构建过程的运作模式。MotoYama等人[98]经过对6个地下论坛的数据进行分析,科研了地下市场社交网络的形成。Afroz等人[99]利用在渔业和林业中大放异彩OSTROM 经济框架探究了这些地下论坛的发展是不是可连续,她们经过对5个地下论坛数据进行分析,发掘可连续性取决于论坛的管理。Christin等人经过在2011年到2012年收集的论坛数据,对丝绸之路(Silk Road)这一典型的地下论坛进行了全面的科研分析[100]。Pastrana[101]经过收集的4个地下论坛的长达10年的帖子,首次分析了地下市场中10年间交易货币的演变过程,发掘亚马逊礼品卡亦逐步作为地下鬼市的交换媒介,且比特币是鬼市中最受欢迎的交易货币。Hughes等人[102]运用统计建模的办法分析了地下市场在3种区别的时期(动荡、安稳和新冠肺炎)中经济发展和社会特征,在动荡时期仅有极少交易在增长;在安稳的时期她们观察到大范围的经济活动变化如亚马逊礼品卡这种中间货币大规模的兑换;在新冠肺炎大流行时期,她们发掘所有类别的商品交易都在明显地增长。
地下鬼市逐步产生了专门化的趋势,科研人员们亦起始对这些地下鬼市中特定商品进行分析。Gross等人[97]对地下论坛中垃圾邮件的经济模式进行分析,她们在主售垃圾邮件服务的Spamdot.biz 论坛关闭之前收集了其中的数据,对其进行了全面的分析,科研发掘该论坛中Email位置数据是最热销的商品, Sood等[103]揭示了地下市场中犯罪软件的买卖运作状况。Sun等人[104]首次科研了地下市场中“特权乱用”现象,文献中的“特权乱用”类比于亚马逊等电商的买家经过商家设置商品的漏洞或诈骗商家退款进行牟利。
为了减少科研地下鬼市耗时费力的人力开销,科研人员们逐步转向探索自动化分析鬼市的办法。Afroz等人[105]首次探究了地下论坛中非结构数据的分析办法,她们利用Stylometry办法——经过分析写作风格来识别匿名信息的匿名作者,自动化识别地下论坛中用户的多重身份。Li等人[106]则基于深度学习模型心情分析办法分析其中顾客对卖家商品的反馈,从而自动化识别地下鬼市的恶意软件或病毒的制作者。Portnoff等人[107]则利用自然语言处理技术(NLP)和设备学习实现了对地下鬼市中帖子类别、商品种类和价格的识别的自动化识别。
地下鬼市做为违法商品交易的场所,不仅为网络犯罪分子实施攻击供给了相应的信息和技术支持,亦为她们犯罪后快速变现供给了方便的途径。如地下鬼市中售卖的垃圾邮件服务其中的受害者邮件位置或分发邮件的僵尸网络都为垃圾邮件分发供给了更加有效方便的技术支持[97]。如今大都数网络犯罪的实施者都不太精通安全技术,她们的网络犯罪攻击和攻击流程等信息都是从地下鬼市中购买,而后加以简单操作便能实施有效的攻击,攻击之后再将所得个人信息等数据放到鬼市中售卖。
网络鬼市做为大都数网络攻击的源头和终点,对其全部生态或产业链进行科研能够加深对网络犯罪动机等的理解,从源头上减少网络犯罪事件的出现,日前大都数科研都是做的这方面的工作。然则大都数对地下鬼市的科研仍然停留在人工分析数据的周期,探究地下鬼市自动化分析办法的科研还是不足,因此探究怎样自动化分析提取地下鬼市的有价值信息,怎样利用设备学习或NLP技术抽象提取这些信息中更高维度的特征用于科研是后续的一个科研方向。同期日前对地下论坛的科研因为数据收集的限制侧重于比较开放的地下鬼市,而对其他比较隐蔽乃至需要特殊协议进入的地下鬼市科研甚少,对这部分鬼市背面的产业链以及幕后经济模式的科研能够进一步加深对黑灰产行业的理解,亦是将来需要科研的一个方向。
3.2 僵尸网络
僵尸网络(Botnet)是在黑客命令掌控下的一组受感染的终端主机,这些主机亦被叫做“肉鸡”。僵尸网络重点由3部分构成:僵尸网络掌控者(botmaster)、命令掌控通道(command and control)和僵尸主机(bots)[108]。僵尸网络不仅本身能够导致巨大的害处,如进行DDOS攻击,还能为其他网络犯罪供给最基本的服务,如利用僵尸网络以垃圾邮件为载体进行钓鱼信息、诈骗信息和恶意软件等的传播。僵尸网络所触及的科研范围较为广泛,本节以垃圾邮件分发方向为例,梳理僵尸网络在网络犯罪生态系统中关联的技术科研。
在垃圾邮件的分发方面,垃圾邮件IP黑名单过滤机制很好地限制了垃圾邮件的传播,因此呢垃圾邮件发送者起始利用或租用僵尸网络来进行垃圾邮件的分发[109]。运用海量的僵尸主机进行垃圾邮件的传播明显加强了垃圾邮件投放的成功率和黑名单即时更新的难度[110]。僵尸网络做为一个庞大的分布式计算网络,持有非常多僵尸主机,利用这些僵尸主机能够在数小时之内发送千万封垃圾邮件[111];在僵尸网络中,僵尸主机协同合作使得发送垃圾邮件的主机IP持续改变同期僵尸主机地理位置的多样性亦使得它们很容易就逃避了垃圾邮件过滤技术和IP黑名单技术的检测。因为僵尸网络规模的庞大性和分发垃圾邮件的简便有效性,从2003年第1次运用僵尸网络分发垃圾邮件败兴,僵尸网络已然作为发送垃圾邮件的重点方式,在2011年时运用僵尸网络来发放垃圾邮件的比例就已高达83.1%[112]。
比较受欢迎的垃圾邮件僵尸网络服务有Bobax、Rustock、Storm等[113]。Bobax是第1个基于模板的垃圾邮件僵尸网络,它每日发送90亿条垃圾邮件,有18.5万个发送垃圾邮件的僵尸主机[114]。Rustock僵尸网络服务最早出此刻2006年,它有15万到240万台僵尸主机,每小时能够发送多达2.5万封垃圾邮件[115],这些垃圾邮件触及假药宣传、假冒微软彩券诈骗等。Storm是最著名最大的僵尸网络,它在2007年利用1百万至5千万台受感染的主机发送了全世界20%的垃圾邮件,这些垃圾邮件触及到钓鱼攻击、雇佣诈骗宣传等[116]。
针对垃圾邮件僵尸网络服务的检测技术重点分为两种,基于被动发掘的检测技术和基于主动发掘的检测技术。基于被动发掘的检测技术指的是静默的观察僵尸网络发送垃圾邮件的活动并对产生的海量垃圾邮件进行深入分析,被动检测技术能够分为基于签名、基于DNS和基于反常的检测方式。基于签名的检测技术利用已知僵尸网络发布的垃圾邮件、恶意软件的签名或指纹来进行检测,Xie等人[117]中提出了AutoRe框架,它以垃圾邮件的内容、服务器流量等属性来生成对应的指纹和特征,AutoRe对来自Hotmail的邮件进行随机抽样识别,发掘了7721起由僵尸网络发起的垃圾邮件活动。Ching等人[118]提出EIGENBOT,该技术能够经过基于语义图分析办法动态区分僵尸网络发送的垃圾邮件。基于DNS的检测技术经过监测DNS活动和检测不寻常的DNS查找来检测僵尸网络DNS流量。Ramachandran等人[119]中提出检测DNS黑名单(DNSBL)中域名的查找状况来寻找僵尸主机。其利用启发式规则来区分合法的DNSBL流量和来自僵尸网络的查找流量,而后利用僵尸网路的查找流量跟踪僵尸主机。Ehrlich[120]等人提出了一种利用网络流数据和DNS元数据检测垃圾邮件源主机、僵尸主机以及僵尸网络掌控者的办法。基于反常的僵尸网络检测指的是,观察和分析不符合预期正常行径的电子邮件流量模式,以检测垃圾邮件的僵尸网络。Sroufe等人[121]提出了一种基于电子邮件“骨架”反常来归类僵尸网络的办法,“骨架"指的是电子邮件HTML代码中每一个标签中字符长度,而后利用设备学习将这种”骨架“信息用于归类区别僵尸网络发送的垃圾邮件。这种方式的一个局限性是,它不是检测垃圾邮件僵尸网络的完整处理方法,但它能够与垃圾邮件僵尸网络的网络行径分析相结合,以加强检测和归类僵尸网络的整体性能。Schafer等人[122]运用从SMTP服务器的日志文件中提取的数据来进行反常识别,她们从中提取源IP和连接时间来检测反常,从而检测被僵尸网络乱用的帐户。
基于主动发掘的检测技术是经过创建一个模拟C&C协议的客户端从而加入到僵尸网络中,在加入僵尸网络后准确估计僵尸网络的体积,乃至破坏全部僵尸网络。进一步地,主动发掘检测技术亦能够分为三种类型,基于渗透的、基于受控环境的和基于web恶意流量重定向的检测技术。在基于渗透的检测技术方面,Kreibich等人[123]利用分布式渗透办法对Storm僵尸网络分发的垃圾邮件进行了初步分析。Gross等人[97]经过主动攻击的方式得到Cutwail僵尸网络中13台僵尸网络服务主机的掌控权,以此她们对僵尸网络中垃圾邮件的分发操作进行演示,同期她们亦科研了基于IP的黑名单过滤机制的有效性、黑名单列表的质量和僵尸主机的靠谱性等问题。在基于受控环境方面,Andreas等人[124]研发了Botnet judo系统,该系统将在受控环境中运行僵尸主机发送的垃圾邮件处理成正则表达式签名形式,而后进行垃圾邮件的实时检测。作者利用一种模板推理算法来产生垃圾邮件的正则表达式签名,并且在受控的僵尸主机收到命令发送垃圾邮件时对签名进行实时更新。作者还评定了多个模板推理的运用状况,证明judo在一种模板方式和多种模板方式下都很有效。在基于恶意流量重定向的检测技术方面,Ramachnaran和Feamster等人[125]科研了垃圾邮件的网络级特征,并观察了垃圾邮件发送者的网络级行径。经过对垃圾邮件传播数据的跟踪,她们发掘并确定了其分析的垃圾邮件来自BoBax僵尸网络。
日前存在非常多对僵尸网络的科研工作,科研人员们提出的对僵尸网络的区别科研方式都有其局限性,尤其是针对基于P2P协议的僵尸网络检测,日前基于主动的检测方式只能得到僵尸网络的一部分信息,运用被动探测和主动检测方式结合来探究P2P僵尸网络是今后的科研方向[113]。同期随着移动设备、云服务、物联网的发展,会显现基于各样各样区别设备的僵尸网络攻击,这亦对检测办法提出了更高的需求。
3.3 洗钱途径
洗钱是犯罪分子用于逃避税务或隐匿违法资金流向的手段[126]。大都数网络犯罪都是以牟利为目的,网络犯罪分子通常最后都会进行资金的变现操作。然则运用常规的变现手段很容易被执法分部跟踪资金流向从而引起账户被冻结,因此呢,犯罪分子会运用各样的洗钱手段来使所得资金“合法化”。
传统的“理学”洗钱方式有如现金走私、赌博洗钱、保险洗钱和鬼市比索交易(Balck Market Peso Exchange)等各样各样的方式,而现如今每日网络上出现着数亿笔交易,互联网的匿名性和持续发展的技术促进网上洗钱业务变成流行。洗钱是网络犯罪生态中关键的一步,随着支付机制的变化洗钱的方式亦在逐步变化。网上洗钱方式从传统的运用Liberty Reserve(一家在线支付机构)[127]洗钱、钱骡(Money mule)洗钱逐步转变到运用网络游戏虚拟货币洗钱和利用PayPal[128]、比特币等货币的小额洗钱方式[129]。洗钱已然做为一项服务在网络犯罪产业链的重要构成部分在地下论坛中广泛存在,因此呢科研人员们常常从地下论坛的数据做为切入点,科研洗钱过程中货币交换和资金流向等问题。本节从网上洗钱方式的发展和其中货币交换的方向梳理科研人员对网络犯罪生态中洗钱手段的科研。
Liberty Reserve是一家支持匿名收付款的在线支付机构,非常多网络犯罪分子曾利用其匿名性进行洗钱[129]。然则自2013年5月Liberty Reserve被关闭后,该方式逐步被比特币洗钱替代[101]。
钱骡指的是利用自己的账户将违法资金或高价值货物进行转移的中间人,她们在转移成功后会得到一笔报答,因为将违法钱财转移到网络犯罪高发的有些国家存在困难,因此呢犯罪市场对钱骡存在海量需要[130]。钱骡通常都是被以“在家高薪工作”等诈骗邮件为噱头诈骗的个体,她们并不晓得其正在从事违法活动。按照Mikhaylov等人[130]的发掘,学生、吸毒者、流浪汉和老人是犯罪分子们理想的钱骡招募目的。Hao等人[29]发掘了一种新型网络诈骗——货物重运诈骗 (reshipping scams),犯罪分子用盗取的信用卡购买高价值商品之后经过地下市场服务租用“骡子”帮忙接收和运送包裹从而转移违法财产。
运用游戏虚拟货币亦作为此刻常用的洗钱手段,如某些大型网络游戏中存在虚拟获取兑换等功能,犯罪分子会利用违法资金购买游戏虚拟货币而后再将这虚拟货币在游戏论坛中售卖[131]。其中网上赌博等游戏亦属于这一类[129]。Irwin等人[132]提出对网络游戏大规模资金交易进行限制来对此类洗钱手段进行限制。
在洗钱过程中违法货币交换和资金流向方面,2016年,Alexander等人[130]对两个俄罗斯语的地下论坛进行了分析,发掘俄罗斯网络犯罪分子更爱好运用Webmoney电子商务支付系统[133]和西联国际汇款机构(Western Union)[134]来兑现或进行资金的转移。然而,Portnoff等人[107]证明此刻比特币和PayPal是违法交易的首选货币,同期她们亦观察到资金从PayPal、比特币或其他支付机制转移到信用卡的需要。Pastrana等人[135]的科研亦证明了PayPal、比特币分别为网络犯罪经济中最常用的两种交易方式,同期她们亦发掘2015年后亚马逊礼品卡做为交易方式逐步起始流行。Huang等人[136]对勒索软件犯罪中支付的勒索金流向做了科研,她们发掘勒索软件犯罪分子们更爱好运用BTC-e(俄罗斯一家将比特币兑换为法定货币的交易所)[137]来兑换比特币。近期Siu等人[138]科研发掘PayPal仍然是网络犯罪分子最爱好交换的交易方式,同期因为比特币价格的剧烈波动,违法资金交易媒介有从比特币转移到PayPal的趋势。
在网络犯罪生态中洗钱手段变换多样,日前已有非常多科研对洗钱的方式进行探究,然则正如文献[129]中所阐述,洗钱方式会随着支付机制的转变而转变,因此呢针对新型洗钱手段的科研是今后的科研方向。同期洗钱变现做为网络犯罪过程中的最后一环,对洗钱过程的自动识别和溯源是为受害者挽回损失的基本,亦是今后科研的重点之一。  fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
总结
随着人们的生产生活针对网络依赖的加强。网络犯罪产业链规模日趋庞大,其攻击形式、支撑技术、基本设备的协调协同更加繁杂。犯罪分子经过变化多端的攻击形式,损害人民群众的生命财产安全。网络犯罪的攻击形式除了充分思虑心理学、社会工程学和人机交互设计特点之外,常常还有关联网络犯罪支撑技术为其供给关联技术支持,保准攻击的有效性和有效性。另外,不论是攻击形式和支撑技术均没法独立完成完整的犯罪过程,其需要经过对应的网络设备进行安排,在地下交易平台上买卖用户数据并经过洗钱途径将违法所得“洗白”。
针对网络犯罪产业链的繁杂特点,本文从钓鱼、诈骗、恶意挖矿等经典的网络犯罪攻击形式入手,介绍网络犯罪攻击形式的特点和规律,从而综述黑帽搜索引擎优化、误植域名等网络犯罪支撑技术,并讨论了网络犯罪依赖的地下论坛、僵尸网络和洗钱途径等基本设备,梳理网络犯罪生态的构成部分。最后,列举了网络犯罪科研中的有些仍存在的挑战和将来科研方向。 复旦大学计算机科学技术学院 洪赓 杨珉
参考文献略
| 
发表于 2024-8-25 12:34:11