追踪入侵代理服务器的恶意用户

在西班牙巴塞罗那举行的（美国计算机协会）数据通信专业组（SIGCOMM）2009年会上，三位来自微软研究中心的研究员演示了一种移除影子杀手的匿名保护伞的方法。通过一种新型的软件工具，识别出制造恶意行为的计算机，即使该主机的IP地址在频繁的变换中。

该模型系统被命名为“主机追踪器”（HostTracker），它在抵御在线攻击和垃圾邮件运动时表现良好。例如，安保公司可以开创出更好的局面，阻止网络主机向他们的用户传送数据，而网络罪犯若想用合法的通信行为去掩盖他们的活动，则变得更加艰难。

研究员谢颖莲（音）和她的同事余方以及马丁·阿巴迪（Martin Abadi）分析了从一家大型电子邮件服务提供商所收集到的一个月的数据量——330GB，试图确定哪些用户在传播垃圾邮件。为了追踪出多个垃圾邮件爆发的起始地址，三位科学家一共研究了5.5亿个用户名，2.2亿个IP地址，以及每一次诸如发送信息和登录帐户等事件的时间标签。

追踪消息的起始地址，它是追踪垃圾邮件和其它网络攻击的关键任务，涉及到在帐号和用户所连接的电子邮件服务主机之间，重新建立起联系。为此，研究员们将所有在一段时间内通过不同主机访问的帐号全都集中在一起。“主机追踪器”软件对这些数据进行梳理，来解决任何冲突。例如，有时候有多个用户出现在一个IP的起始地址上，或者一个用户却同时出现在多个IP地址上。

“主机追踪器”通过交叉对照数据来识别出代理服务器（它使几个主机可以显示为同一个IP地址），从而解决冲突，并测定客户在何时使用合法的主机。谢说：“我们能够追踪进入代理服务器的恶意流量，这件事本身就是一次进步，因为我们已经可以精确地定位起始地址。”

研究员们也发明了自动防御措施，一旦“主机追踪器”确定位于某地址的主机受到波及，它就把来自于该IP地址的流量列入黑名单。在此种方法的模拟试验中，研究员们阻挡恶意流量时的误码率是5%。也就是说，每100个合法数据段中，有5个被识别有潜在的恶意威胁。通过附加信息来鉴定正当的用户行为，可以将误报率降低到1%以下。

“这项技术将会帮助查找那些进行频繁通信的僵尸网络，例如垃圾邮件活动，分布式阻断服务攻击（DDoS attack），和点击式攻击（click-through attack）。”Damballa公司主管研发的副总裁甘特·欧尔曼说，“其他的攻击，比如密码窃取和银行木马（banking trojan），是以主机为中心的，而这项技术将不会那样有效。”