Công cụ mới phát hiện các trang web độc hại trước khi chúng gây hại

Giờ đây, một nhóm nghiên cứu gồm có Nick Feamster, giáo sư khoa học máy tính thuộc Trường Đại học Princeton và TS. Shuang Hao đã phát triển được kỹ thuật gây khó khăn cho việc đăng ký các tên miền mới vì mục đích phi pháp.

Trong một báo cáo trình bày tại Hội nghị Máy tính và An ninh truyền thông ACM 2016 được tổ chức vào ngày 27/10 vừa qua, các nhà nghiên cứu đã mô tả một hệ thống được gọi là PREDATOR, có khả năng phân biệt giữa những người mua trang web mới hợp pháp và bất hợp pháp. Hệ thống xác định phương thức hai nhóm thực hiện hành vi trực tuyến theo cách khác nhau thậm chí trước khi nhóm lừa đảo kịp thực hiện bất cứ hành vi phi pháp nào. Những dấu hiệu ban đầu của nghi phạm giúp các chuyên gia an ninh áp dụng các biện pháp phòng ngừa thay vì chờ mối đe dọa an ninh xuất hiện.

Khi trang web bắt đầu được sử dụng với ý đồ xấu - ví dụ, khi nó được liên kết đến các chiến dịch thư rác hoặc cài mã độc vào máy của người truy cập, hệ thống bảo vệ có thể liệt trang web này vào dạng nguy hiểm và bắt đầu ngăn chặn. Nhưng khi đó, trang web đã được sử dụng cho nhiều hành vi bất hợp pháp. Hệ thống PREDATOR có thể dự báo khả năng xảy ra sự cố.

Kỹ thuật của các nhà nghiên cứu dựa vào giả thuyết những kẻ lừa đảo sẽ có hành vi đăng ký khác với người sử dụng bình thường như mua và đăng ký nhiều tên miền cùng một lúc để được giảm giá nhiều. Do đó, bọn tội phạm có thể thích ứng nhanh khi các trang web của chúng bị chú ý và đưa vào danh sách đen. Ngoài ra, chúng còn thường xuyên đăng ký nhiều trang web bằng các tên được thay đổi một chút như từ "home" đổi thành “homes”.

Thông qua xác định những mô hình đó, nhóm nghiên cứu bắt đầu chọn lọc hơn 80.000 tên miền mới đăng ký mỗi ngày để tạm thời xác định những tên miền nào nhiều khả năng được sử dụng vì mục đích gây hại. Kết quả kiểm tra các web trong danh sách đen quen thuộc cho thấy hệ thống PREDATOR đã phát hiện 70% web độc hại chỉ dựa vào thông tin được biết vào thời điểm các tên miền đó đăng ký lần đầu. Tỷ lệ dương tính giả của hệ thống PREDATOR hay tỷ lệ các web hợp pháp được xác định không chính xác là độc hại bằng công cụ này chỉ chiếm 0,35%.

Theo Feamster, khả năng phát hiện các trang web độc hại tại thời điểm đăng ký trước khi chúng được sử dụng vì mục đích phi pháp, có thể mang lại nhiều lợi ích an ninh. Các trang web độc hại có thể bị ngăn chặn sớm hơn, nên sẽ khó được sử dụng để gây hại nếu các nhà khai thác không được phép mua chúng. "PREDATOR có khả năng phát hiện sớm thường là vài ngày hoặc vài tuần trước khi danh sách đen xuất hiện, mà thông thường không thể phát hiện việc lạm dụng tên miền cho đến khi một cuộc tấn công được thực hiện”, các tác giả cho biết. "Lợi thế chính của hệ thống là khả năng ứng phó kịp thời để bảo vệ và hạn chế để những kẻ lừa đảo có thể được hưởng lợi từ việc sử dụng tên miền".

Ngoài ra, các công cụ ngăn chặn hiện có dựa vào phát hiện hoạt động gian lận từ các trang web và sau đó ngăn chặn chúng, cho phép bọn tội phạm tiếp tục mua các trang web mới. Việc loại bỏ các nhà khai thác trang web độc hại vào thời điểm họ thực hiện đăng ký, sẽ ngăn chặn vĩnh viễn âm mưu rình rập. Phương thức bảo vệ chống lại các mối đe dọa trực tuyến này là hiếm có trong lĩnh vực an ninh máy tính, trong đó, bọn tội phạm thường dễ dàng tránh các hàng phòng thủ mới.

Để hệ thống PREDATOR có thể hỗ trợ người sử dụng Internet thường nhật, nó cần được sử dụng bởi các công ty cung cấp danh sách đen tên miền hiện có như Spamhaus, chuyên lưu giữ danh sách các trang web bị chặn hoặc bởi các cơ quan quản lý tên miền như GoDaddy.com bán các tên miền mới.

N.P.D-NASATI (Theo Techxplore)