Миру представлена система PREDATOR – «хищник» среди инструментов, способных распознать вредоносные сайты, при этом делает он это еще на этапе регистрации доменного имени. Об этом сообщает Science Bulletin.
На сегодняшний день интернет-мошенничество стало неотъемлемой частью сетевого пространства. Жулики то и дело придумывают новые способы как нажиться на доверчивых пользователях. И как бы быстро не происходила блокировка подобных веб-сайтов, их владельцы просто регистрируют новые домены и продолжают свою деятельность. Однако, с другой стороны, на месте не стоят и те, кто борется с мошенничеством во всемирной паутине. Так, исследовательская группа, в состав которой вошел профессор Принстонского университета Ник Фимстер и недавно закончивший обучение Шуан Хао, разработала уникальный инструмент, позволяющий распознать вредоносные сайты еще на этапе регистрации доменных имен.
В документе, представленном 27 октября на конференции ACM по компьютерной и коммуникационной безопасности, исследователи рассказали о системе под названием PREDATOR, которая способна отличать веб-сайты, приобритенные для вполне законных целей от тех, которые будут вовлечены в мошеннические схемы. Для этого система анализирует ранние признаки «плохого» поведения. Как пояснил профессор Фимстер, интуитивно было понятно, что то, как злоумышленники используют интернет-ресурсы, должно принципиально отличаться от способа их использования добропорядочными пользователями. «Мы искали такие сигналы: что же такого есть в доменном имени, что может автоматически указать на его вредоносность?» – отметил Фимстер.
Конечно, после того, как веб-сайт начинает использоваться в злонамеренных целях (к примеру, в рассылке спама или распространении вредоносного ПО), такой ресурс могут заблокировать. Однако к этому времени некоторое время сайт все-таки проработает и, соответственно, может нанести кому-то вред. Поэтому, в случае с PREDATOR (Proactive Recognition and Elimination of Domain Abuse at Time-Of-Registration), исследователи пошли еще дальше.
Технология этого инструмента опирается на предположение, что злоумышленники при регистрации имен будут вести себя не так, как обычные пользователи, а точнее, к примеру, регистрировать много доменов за раз, чтобы получить скидки, дабы затем быстро, да и без больших затрат, адаптировать новые сайты под свои корыстные нужды, когда другие ресурсы попадут под блокировку или будут занесены в черный список. Кроме того, преступники часто регистрируют множество сайтов, в именах которых изменяют буквы в словах или меняют местами слова в словосочетаниях.
По таким параметрам Фимстер и его сотрудники отфильтровали более 80 000 новозарегистрированных доменов. А сравнив их результаты с перечнем сайтов, о вредоносности которых было известно, исследователи выявили, что PREDATOR определил 70% из них основываясь исключительно на той информации, которая была в наличии на момент регистрации доменов.
Таким образом, подобная возможность обнаруживать вредоносные сайты еще на момент регистрации доменов может действительно стать большим преимуществом в плане безопасности. Такие сайты можно заблокировать раньше того момента, как они принесут много вреда, ну или же не смогут нанести его вообще, если регистрация домена будет отменена.
