Знакомьтесь, это Жора. Как и многие люди, Жора любит смотреть спорт по телевизору. Поскольку игра, которую он хочет посмотреть, не транслируется локально, Жора ищет бесплатную онлайн-трансляцию игры. В конце концов он её находит, но только после того, как перебирает несколько страниц с рекламой, написанных на разных языках.
В течение следующих нескольких дней Жора теряет доступ к своей электронной почте и деньги пропадают с его банковского счета. Оказывается, Жора посетил вредоносный сайт в поисках бесплатной трансляции игры. Этот веб-сайт загружал вредоносное ПО на его компьютер, позволяя злоумышленникам получать учетные данные на учетные записи Жоры.
Новое исследование от Университета Карнеги - Меллона Cylab призвано помочь предотвратить любое попадание в ту же ловушку , в которую угодил Жора.
«Большинство традиционных средств защиты являются реактивными и предупреждают пользователей только после или во время посещения вредоносного веб-сайта», - сказал Махмуд Шариф (Ph.D.), кафедры электротехники и вычислительной техники КМУ . «Мы хотели выяснить: есть ли намеки на поведение пользователя, которые могли бы сказать нам, когда что-то плохое произойдет до того, как это произойдет?» Шариф представил исследование на конференции ACM по компьютерной и коммуникационной безопасности в Торонто.
Команда провела оценку веб-трафика за три месяца, генерируемого более 20 000 пользователей мобильных устройств в 2017 году. Данные были получены с согласия пользователей с помощью сотрудников исследовательского подразделения KDDI, крупного японского оператора сотовой связи.
При их анализе веб-сайт был отмечен как «вредоносный», если он появился в черном списке безопасного просмотра Google, который содержит постоянно обновляемый список небезопасных веб-сайтов и веб-ресурсов, таких как фишинговые или вводящие в заблуждение сайты и сайты, на которых размещено вредоносное ПО.
«Из всех пользователей, которых мы наблюдали, около 11% были подвержены воздействию вредоносных сайтов», - сказал Шариф. Затем исследователи прочесали данные в поисках поведенческих различий между пользователями, которые подвергались воздействию, и которые нет. Например, они обнаружили, что подвергнутые воздействию вредоносных программ и сайтов пользователи посещали страницы с большим количеством рекламы и чаще просматривали веб-страницы в ночное время, чем не подвергнутые воздействию пользователи.
Основываясь на своих выводах, они определили три типа функций, которые могли бы помочь предсказать, будет ли пользователь "вскрыт" или нет: контекстные функции (например, количество нажатых ссылок, продолжительность сеанса, время дня и т. д.); поведение в прошлом (например, среднее количество кликов за сеанс, независимо от того, был ли пользователь "вскрыт" в прошлом или нет, и т. д.); и сообщения о поведении, о которых сообщалось в ходе опроса (например, использует ли пользователь антивирусное программное обеспечение, имел ли пользователь предыдущие инциденты в сети и т. д.). Команда проверила систему прогнозирования и обнаружила, что она может точно предсказать секунды воздействия до того, как это произойдет.
«Наша система даже могла обнаружить вредоносные веб-страницы до того, как они были добавлены в черные списки», - сказал Шариф. «Теперь мы можем использовать прогнозы для упреждающей защиты пользователей, добавляя тем самым дополнительную линию защиты к существующим реактивным защитам».
Среди других авторов исследования - профессор Института исследований и разработкипрограммного обеспечения и государственной политики Николас Кристин, а также исследователи KDDI Джумпей Уракава, Аюму Кубота и Акира Ямада.
Источник:
www.cmu.edu