漏洞也分三六九等，理論上有一些漏洞并不足以讓攻擊者去威脅你的系統(tǒng)，但是有一些漏洞，比如“零日漏洞”（Zero-day Exploit）就具有巨大的破壞力。有些人依靠這樣的漏洞，開發(fā)出惡意軟件，侵入人們的計(jì)算機(jī)系統(tǒng)，竊取重要的信息，這是如今網(wǎng)絡(luò)安全中最大的威脅之一。

發(fā)現(xiàn)漏洞，并阻止惡意軟件的產(chǎn)生，是網(wǎng)絡(luò)安全專家重要的工作。如今，亞利桑那州立大學(xué)的一個研究團(tuán)隊(duì)，開發(fā)出一套機(jī)器學(xué)習(xí)算法，幫助監(jiān)測和識別這些在黑市中交易的漏洞。

一個惡意軟件的誕生

2015年2月，微軟發(fā)現(xiàn)了Windows操作系統(tǒng)中一個嚴(yán)重的漏洞，這可能會讓黑客遠(yuǎn)程操控目標(biāo)計(jì)算機(jī)。該漏洞影響范圍巨大，包括了Vista、Win7、Win8及其他服務(wù)器系統(tǒng)。

微軟隨后立即發(fā)布了補(bǔ)丁，但是漏洞的細(xì)節(jié)很快在整個黑客社區(qū)傳播開來。

在4月，一個基于這個漏洞的攻擊程序（Exploit）在黑市售賣，售價(jià)1.5萬美元。7月，基于這個產(chǎn)品的第一個惡意軟件出現(xiàn)，是一個名為“ Dyre Banking”的木馬程序，可以攻擊全球用戶并盜取被感染設(shè)備上的信用卡號。

從上面這個事件里，我們可以看到惡意軟件誕生的基本過程。首先，黑客利用一個漏洞開發(fā)出可作攻擊使用的程序產(chǎn)品，在黑市上售賣，購買者利用它開發(fā)出惡意軟件，然后感染用戶設(shè)備。

在這個案例里，微軟自己發(fā)現(xiàn)了這個漏洞，并提前發(fā)布補(bǔ)丁。但是，如果惡意黑客們在軟件公司之前就發(fā)現(xiàn)了這個漏洞，那么這個漏洞就是“零日漏洞”了。“零日”這個詞用來諷刺軟件商和安全公司根本不知曉自己的漏洞：軟件商們知道這個漏洞有幾天呢？一天也沒有！而網(wǎng)絡(luò)安全專家的主要目標(biāo)，就是在“零日漏洞”程序變成惡意軟件之前找到它們。

機(jī)器學(xué)習(xí)之下的深網(wǎng)和暗網(wǎng)

對亞利桑那州立大學(xué)的Eric Nunes和同事們來說，這次的Dyre Banking木馬事件給了它們一個重要的靈感，可以用一種全新的方法來應(yīng)對這類網(wǎng)絡(luò)安全問題。

他們利用機(jī)器學(xué)習(xí)來研究深網(wǎng)（Deep Web） 和暗網(wǎng)（Dark Web）里的黑客論壇和交易市場，追蹤最新的漏洞線索。

先來說一下深網(wǎng)和暗網(wǎng)的概念。一般的網(wǎng)絡(luò)分三層，首先是表層網(wǎng)絡(luò)，即普通人平時熟悉和使用的網(wǎng)絡(luò)，任何搜索引擎都能抓取并輕松訪問。然后是深網(wǎng)：表層網(wǎng)之外的所有網(wǎng)絡(luò)我們都稱之為深網(wǎng)，搜索引擎無法對其進(jìn)行抓取，它并沒有完全隱藏起來，只是普通搜索引擎無法發(fā)現(xiàn)它的行蹤。第三層是暗網(wǎng)：暗網(wǎng)是深網(wǎng)的一部分，但被人為地隱藏了起來。如果不是技術(shù)大牛，你很難打入這個網(wǎng)絡(luò)之中。

Nunes和他的同事們開發(fā)出一個爬蟲程序，從深網(wǎng)和暗網(wǎng)的HTML網(wǎng)頁上搜集信息，來監(jiān)控這里的黑客的活動。 顯然，這一工作的關(guān)鍵在于為爬蟲程序找到最佳的起始頁面，而這個任務(wù)必須由熟悉深網(wǎng)的人來完成。

深網(wǎng)里的內(nèi)容龐雜，Nunes的系統(tǒng)只提取與黑客活動有關(guān)的信息，而摒棄掉無關(guān)的類似毒品、武器交易等內(nèi)容。所以，在建立數(shù)據(jù)庫的過程中，需要為信息貼上標(biāo)簽，為算法指出哪些與黑客活動有關(guān)而哪些無關(guān)。在目前的訓(xùn)練數(shù)據(jù)庫中，25%的標(biāo)簽都是由人工完成，一個人每分鐘要給5個黑市產(chǎn)品或給一個論壇里的兩個話題貼上標(biāo)簽。之后，他們用貼好標(biāo)簽的數(shù)據(jù)來訓(xùn)練算法，用未貼標(biāo)簽的數(shù)據(jù)來測試學(xué)習(xí)成果。

研究成果

機(jī)器學(xué)習(xí)的成果十分有趣。Nunes和他的同事們表示，這個機(jī)器學(xué)習(xí)模型，對于黑市產(chǎn)品的識別準(zhǔn)確率是92% ，對于論壇里惡意攻擊話題討論的識別準(zhǔn)確率是80%。這是一個很高的準(zhǔn)確度了。

而且這個系統(tǒng)已經(jīng)揭露了一些惡意黑客行為。“在4周時間里，我們從黑市交易數(shù)據(jù)中發(fā)現(xiàn)了16個零日漏洞。”該團(tuán)隊(duì)透露道。這其中包括一個安卓系統(tǒng)的嚴(yán)重漏洞，交易價(jià)格為2萬美元，還有一個IE 11瀏覽器的安全漏洞，價(jià)格為1萬美元。

該團(tuán)隊(duì)也制作出了深網(wǎng)論壇和交易市場里的社交譜系。團(tuán)隊(duì)表示，有751個深網(wǎng)用戶出現(xiàn)在不止一個交易市場中，其中有一個賣家在7個市場和1個論壇中十分活躍，并提供了80多個與惡意攻擊有關(guān)的產(chǎn)品。

這門生意真是獲利頗豐。“黑市客戶對這個賣家的評分在4.7到5.0之間，他進(jìn)行過超過7000筆成功的交易，這表示他的產(chǎn)品非常可靠，并且在買家中很受歡迎。”Nunes和同事們說道。

目前，這個系統(tǒng)平均每周搜集305個高質(zhì)量的網(wǎng)絡(luò)威脅警告，這吸引了很多商家的目光。實(shí)際上，團(tuán)隊(duì)透露他們現(xiàn)在正準(zhǔn)備把這個系統(tǒng)移交給一個商業(yè)合作伙伴。如果這個團(tuán)隊(duì)繼續(xù)搜尋零日漏洞，趕在這些漏洞發(fā)展成為惡意程序之前，他們就可以幫助軟件開發(fā)者及時修復(fù)漏洞，這對網(wǎng)絡(luò)安全專家有很大的幫助。

當(dāng)然，這也會變成網(wǎng)絡(luò)安全里“貓鼠游戲”的其中一環(huán)。現(xiàn)在黑客們已經(jīng)知道自己正在被系統(tǒng)性地監(jiān)視著，不知道他們將如何改變行為方式。 如果這個改變發(fā)生了，貓鼠游戲就會進(jìn)入新的一輪。