佐治亚理工学院的网络安全研究人员已获得价值1280万美元的合同，用于开发从根本上加速在本地和远程网络中检测和补救感染的新技术。研究人员将利用可利用大型数据集的新颖机器学习技术，开发出在入侵者造成严重破坏之前的24小时内检测网络感染的方法。

被称为“ Gnomon”的新系统的技术目标是通过分析可疑网络流量来检测单个计算机系统中的变化，这些可疑网络流量在识别出任何恶意软件(或恶意软件)证据之前的几周或几个月内就已出现。作为概念验证，研究人员将与两家主要电信公司合作，并在基础研究中提供数PB的数据，以检测其网络上的恶意活动信号。

佐治亚理工学院的网络安全研究人员已获得价值1280万美元的合同，用于开发从根本上加速在本地和远程网络中检测和补救感染的新技术。图片来源：佐治亚理工学院Rob Felt

该奖项由国防高级研究计划局(DARPA)资助，为期四年，是该机构“应对网络攻击者系统利用自主权”(HACCS)计划的一部分。除了快速检测感染以外，该项目还将加快感染后的清理工作，从而在称为补救的过程中创建更清晰的途径。

佐治亚理工学院电气与计算机工程学院的助理教授 ，该项目的首席研究员马诺斯·安托纳卡基斯( Manos Antonakakis)说：“只有在原始感染仍未被察觉到足以使对手造成损害的情况下， 妥协才是违约。” “如果您查看发生的重大漏洞，就会发现对手已经在系统中呆了几个月。我们希望在数小时之内就将它们识别出来，以控制感染，然后再进行任何实际的破坏。”

即将开发的新技术将解决以下认识：现有防御和基于恶意软件的检测系统无法完全阻止网络攻击。动态智能将是系统的关键功能，旨在为IPv4空间中的每个地址创建一个连续更新的卷宗。

乔治亚理工学院 (GTRI)首席战略家，该计划的首席研究员迈克尔·法雷尔( Michael Farrell)说：“妖精将在计算机系统和网络信号中寻找表明感染开始的非法行为，” 。“我们将利用我们的经验来关闭僵尸网络(受感染计算机的网络)，以加快检测和补救过程。必须以与威胁发展相同的速度发展我们对互联网络基础设施的看法。”

为了保护两家公司网络上的数百万台计算机，研究人员必须找到在不危害个人隐私的情况下识别单个IP地址上令人不安的行为的方法。故障的迹象之一是与已知可容纳恶意活动的网络位置进行通信。这样的通信对于恶意团体控制被入侵的计算机，以及从中窃取的数据进行移动是必不可少的。

Antonakakis说：“如果知道感染群体的位置，则可以很容易地排除网络上发生的大多数良性活动。” “我们需要能够确定整个网络中的计算机发生了什么变化，了解发生变化的原因，并确定该变化是否可归因于良性或恶意活动。这是一种突破性的网络安全新方法，将需要巨大的计算能力和基础架构。”

自从1980年代第一批病毒感染计算机以来，网络安全已经见证了检测和攻击策略的快速发展。Gnomon的成功可能会将对手推向新的攻击技术，这种攻击技术可能比现有活动更为复杂且昂贵。使网络攻击的发起成本更高，可能会降低此类活动的利润，从而降低其吸引力。

Antonakakis说：“如果我们能够更快，更有效地清理网络，那将增加攻击的成本，使对手更加努力地工作。” “如果增加攻击成本，则投资回报会变小，而被识别的风险会变高。我们希望使攻击业务对敌人来说是如此无利可图且冒险，以至于让他们在我们的网络中进行重大运营毫无意义。”

前两家电信公司成功开发新技术可能会为将Gnomon扩展到工业中的其他大型网络以及政府系统打开大门。

“部署不仅会为大部分互联网基础设施带来改善卫生的明显好处，而且公私合作关系将使我们能够在整个HACCS计划中就有价值的原型提供宝贵的反馈意见。真实的业务和任务对现实世界的影响。” Farrell说。“目标非常雄心勃勃，但是如果我们成功了，我们将能够缩小感染与补救之间的差距。”

该计划是佐治亚理工学院网络安全领域最新的跨学科研究合作，由信息安全与隐私研究所 (IISP)精心策划 。除了电气与计算机工程学院和GTRI之外，该项目还将包括佐治亚理工学院物理学院的Brian Kennedy教授。

标签： 清理网络感染