19、大数据时代下的网络犯罪与防范：攻防之间的较量

大数据时代下的网络犯罪与防范：攻防之间的较量

1. 大数据在网络犯罪防范中的应用

商业组织正利用大数据处理技术来检测和预防网络犯罪。通常，会创建大型数据集来存储客户与组织交互的信息，通过分析已知犯罪实例，找出犯罪分子与合法客户行为上的差异，进而标记出符合犯罪特征的行为以防止更多犯罪。这种大数据方法在国家安全和执法机构中也有应用，但这里主要关注金融机构和科技公司的应用。

1.1 犯罪转移现象

犯罪转移是指由于预防措施导致犯罪者或犯罪行为发生变化，进而使犯罪不断演变。在网络环境中，犯罪者无需实际转移地点就能转移犯罪活动，如转向新的地点、时间、目标、方法、犯罪者或犯罪类型。

常见的犯罪转移情况包括：
- 拒绝服务攻击 ：提供收费拒绝服务攻击（“booter服务”）的犯罪者，因服务器补丁和支付账户被封锁等障碍，改变攻击方法并接受比特币等新支付形式。
- 网站关停 ：网站关停是打击网络犯罪（如网络钓鱼）的常用手段，但犯罪者会转移到新域名或托管提供商，选择不同目标，并采用新方法使关停更困难，还会重新恢复被关停的网站，导致网站关停常被形容为“打地鼠”游戏。
- 大数据检测犯罪 ：一些常见的大数据检测犯罪类型，如信用卡欺诈检测，也会出现犯罪转移。随着检测技术的提高，犯罪者会改变作案方式，如从信用卡欺诈转向攻击忠诚度积分账户、钓鱼旅行社获取预订系统访问凭证等。

1.2 网络犯罪风险与大数据方法

大数据系统通过算法检测异常活动，以发现特定类型的网络犯罪，包括使用被盗信用卡、访问被盗账户、恶意通信、未经授权访问计算机系统、恶意软件感染和拒绝服务攻击。

机器学习方法包括监督学习、无监督学习和强化学习：
- 监督学习 ：需要预标记的训练数据。
- 无监督学习 ：无需预标记训练数据，旨在识别有趣的模式。
- 强化学习 ：涉及奖励或惩罚信号。

这些系统通常从“正常”行为中学习，检测异常行为和“危险信号”。

1.3 常见网络犯罪类型及检测系统

1.3.1 使用被盗信用卡

信用卡被盗用的方式多样，包括数据泄露、安装在销售点终端和自动取款机上的盗刷器、恶意软件、网络钓鱼、盗窃和邮件拦截等。被盗信用卡数据有多种形式，如“dumps”（磁条数据）、信用卡号、有效期和验证码，以及“fullz”（账户完整信息）。

被盗数据市场为被盗信用卡数据提供交易平台，克隆和被盗信用卡可在柜台或ATM使用（需PIN码），非现场交易则可通过在线、电话或邮购完成，目的是将被盗信用卡变现。

欺诈检测系统在交易时检测信用卡欺诈，通过算法评估潜在风险，识别与持卡人不符的模式和已知欺诈模式。该系统可由商家、金融机构、第三方供应商和支付处理器使用，多方使用有助于更全面地检测欺诈。

1.3.2 访问被盗账户

多种账户（如银行、电子邮件、社交媒体、商家和游戏账户）可能被盗用，方式包括数据泄露、密码重用、恶意软件和网络钓鱼等。部分被盗账户凭证在网络犯罪市场出售或公开泄露，账户可被用于实施其他犯罪，如发送恶意通信。

行为分析可检测账户异常活动，如M3AAWG建议使用大数据系统检测账户从不同位置或设备访问等异常情况，不同类型账户的被盗迹象可能不同。

1.3.3 恶意通信

恶意通信可通过多种平台发送，包括电子邮件、聊天、短信或社交媒体帖子，目的包括传播垃圾邮件、网络钓鱼URL、分发恶意软件或进行社会工程欺诈。

检测恶意通信的方法包括测量与发送者正常行为不同的行为，识别消息中的异常模式和与已知恶意通信相似的模式，如消息内容、可疑URL、附件和邮件头“伪装”等。

1.3.4 未经授权访问计算机系统

远程利用机制通过系统漏洞获取计算机系统的未经授权访问，通常包括扫描网络、发送利用程序和后续利用三个阶段。另一种方式是权限提升，即具有受限权限的用户获取系统内未授权资产的访问权限。

入侵检测系统（IDS）是保护系统和网络的传统安全机制，分为基于异常的IDS和基于签名的IDS：
- 基于异常的IDS ：计算正常行为模型，当监测到不符合模型的活动时触发警报，但可能存在较高的误报率。
- 基于签名的IDS ：分析监测活动，寻找预定义规则或“签名”中的恶意模式，能精确检测已知攻击，但对零日漏洞攻击无效。

大数据技术在IDS中广泛应用，可处理大量网络数据包和系统事件，分析方法包括机器学习、图分析和聚类等。

1.3.5 恶意软件感染

恶意软件会导致数据被盗、凭证泄露、创建僵尸网络、加密数据勒索赎金等风险。

杀毒软件在系统后台运行，检测恶意软件感染，通常管理已知恶意应用列表，如恶意文件指纹、IP地址黑名单等。这些列表需定期更新以防止新恶意软件感染。

杀毒软件对新样本的分析方法包括静态分析和动态分析：
- 静态分析 ：分析二进制文件内容，不执行软件。
- 动态分析 ：在“沙箱”中执行恶意软件，分析其行为。

大数据方法对于快速分类分析的二进制文件至关重要，大量研究应用机器学习对恶意软件样本进行分类。

1.3.6 拒绝服务攻击

分布式拒绝服务（DDoS）攻击通过大量虚假流量使网站或计算机系统过载，阻止合法访问，目标广泛，包括企业、政府和游戏服务器等，目的包括勒索和抗议等。

DDoS攻击最初主要通过僵尸网络进行，现在“放大”或“反射”方法使攻击者能用有限资源发动更强大的攻击。

DDoS缓解服务行业通过在受保护系统前放置设备，检查传入流量，丢弃恶意流量，传递正常流量。过滤系统最初依赖简单启发式或自定义过滤器，现在大量学术研究致力于使用机器学习系统根据流量特征判断流量是否恶意，但商业公司的实际设备技术细节通常不公开。

以下是网络犯罪类型及检测系统的总结表格：
| 网络犯罪类型 | 犯罪方式 | 检测系统 |
| — | — | — |
| 使用被盗信用卡 | 数据泄露、盗刷器、恶意软件等 | 欺诈检测系统 |
| 访问被盗账户 | 数据泄露、密码重用、恶意软件等 | 行为分析系统 |
| 恶意通信 | 多种平台发送垃圾邮件、URL等 | 异常行为检测系统 |
| 未经授权访问计算机系统 | 远程利用、权限提升 | 入侵检测系统 |
| 恶意软件感染 | 传播恶意软件 | 杀毒软件 |
| 拒绝服务攻击 | 大量虚假流量攻击 | DDoS缓解服务 |

下面是一个简单的mermaid流程图，展示网络犯罪检测的基本流程：

graph LR
    A[收集数据] --> B[分析数据]
    B --> C{是否异常?}
    C -- 是 --> D[标记异常]
    C -- 否 --> E[继续监测]
    D --> F[调查确认]
    F -- 确认犯罪 --> G[采取措施]
    F -- 非犯罪 --> E

2. 犯罪者绕过大数据系统的方法

2.1 模仿合法用户

• 模仿操作环境 ：犯罪者通过教程学习如何模仿合法持卡人，如使用虚拟机更改操作系统、修改语言和时区设置、使用代理、匿名网络或虚拟专用网络更改IP地址。
• 伪装浏览器信息 ：部分犯罪者会伪装浏览器“用户代理”字符串，以隐藏真实身份。
• 利用Cookie ：一些恶意软件会窃取用户的Cookie，用于欺骗网站，使攻击者被视为已登录用户。
• 未来模仿手段 ：未来攻击者可能利用用于训练识别系统的数据，构建目标的准确视频和音频模型进行伪装。

2.2 看似无害

• 改变购买目标 ：犯罪者先完成不会引起怀疑的交易，确认订单后再联系商家更改订单为实际想要的物品，用于可能被标记为高风险的交易。
• 调整订单模式 ：为避免被发现，犯罪者会调整订单模式，如预订欺诈性机票时，原本倾向于预订临近出发的单程机票，后来会预订往返机票，即使不打算乘坐。
• 恶意软件伪装 ：恶意软件可通过压缩可执行文件（打包）来隐藏内容，使杀毒软件难以检测，但一些杀毒软件会标记打包文件。更高级的技术可改变二进制文件形态而不加密整个文件，以逃避检测。
• 绕过入侵检测系统 ：犯罪者通过探针攻击了解入侵检测系统（IDS）的工作方式，创建模仿正常网络流量的攻击来绕过检测。一些研究提出使用随机检测函数来对抗此类攻击，但如果攻击者能长时间与检测器交互，仍可能推断出随机化模式。

2.3 利用内部人员

犯罪者可能通过以下方式利用内部人员：
- 获取内部工作 ：在被盗数据市场上，有建议通过申请提供欺诈检测系统的公司的工作来学习专业知识，密切关注目标组织的新闻和发展，寻找就业机会。
- 腐蚀或勒索员工 ：犯罪者会针对了解欺诈检测系统且道德有问题的员工，试图腐蚀或勒索他们，以获取系统信息。

2.4 攻击未受保护的目标

大型组织有资源实施安全系统，减少犯罪发生。而小型公司可能无力支付欺诈检测系统，欺诈者了解这一点，会建议从这些小型公司购买欺诈性物品，如机票。但小型公司难以承受欺诈损失，可能导致破产，从而促进贸易垄断和竞争减少。

2.5 对抗性机器学习

许多犯罪检测技术依赖机器学习模型，通过训练数据集告知算法什么是“好”或“坏”。然而，在对抗场景下，机器学习存在弱点，攻击者可能通过获取系统知识并进行少量修改来绕过检测。

攻击机器学习算法的分类包括：
- 影响方式 ：因果性（攻击训练数据）或探索性（攻击已训练系统）。
- 安全违规类型 ：可用性、完整性或数据隐私。
- 特异性 ：针对性或无差别攻击。

虽然文献中有攻击者绕过垃圾邮件过滤器和恶意软件分类器的例子，但在现实世界中，攻击者可能难以获取足够的系统知识和进行足够的测试，从而难以欺骗检测器。

以下是犯罪者绕过大数据系统方法的总结列表：
1. 模仿合法用户
- 模仿操作环境
- 伪装浏览器信息
- 利用Cookie
- 未来模仿手段
2. 看似无害
- 改变购买目标
- 调整订单模式
- 恶意软件伪装
- 绕过入侵检测系统
3. 利用内部人员
- 获取内部工作
- 腐蚀或勒索员工
4. 攻击未受保护的目标
5. 对抗性机器学习

下面是一个mermaid流程图，展示犯罪者绕过大数据系统的流程：

graph LR
    A[了解检测系统] --> B{选择绕过方法}
    B -- 模仿合法用户 --> C[实施模仿操作]
    B -- 看似无害 --> D[调整行为或软件]
    B -- 利用内部人员 --> E[寻找内部人员并获取信息]
    B -- 攻击未受保护目标 --> F[选择目标并攻击]
    B -- 对抗性机器学习 --> G[分析模型并修改攻击]
    C --> H[尝试绕过检测]
    D --> H
    E --> H
    F --> H
    G --> H
    H --> I{是否成功绕过?}
    I -- 是 --> J[实施犯罪]
    I -- 否 --> A

3. 大数据解决方案的挑战与平衡

3.1 依赖人类行为的可预测性

大数据解决方案检测网络犯罪依赖于人类行为的相对可预测性，犯罪行为会产生独特模式，从而区分好坏。但犯罪者会试图使自己的行为融入正常行为，不过使用大数据解决方案的企业对客户行为的了解远超犯罪者。

3.2 持续反馈与“地面真相”

大数据解决方案的关键特征是使用持续反馈，使系统能够根据已知犯罪活动学习和适应。然而，系统需要知道“地面真相”，即需要检测到一定数量的恶意活动，以便系统进行跟踪和调整。

例如，报告垃圾邮件有助于提高垃圾邮件检测能力，但这也导致垃圾邮件的定义发生变化，从“大量未经请求的电子邮件”变为“用户今天不想在收件箱中看到的电子邮件”，引发了两个问题：
- 虚假反馈 ：犯罪者会提交关于自己电子邮件的错误反馈投票，因此需要构建另一个机器学习系统来识别和消除虚假投票。
- 白名单问题 ：必须对特定类型的邮件（如登机牌、电费账单等）进行白名单处理，否则少数人将其报告为垃圾邮件会导致机器学习系统将其误判为垃圾邮件。

3.3 误报与漏报的平衡

大数据解决方案需要在误报（将正常行为标记为异常）和漏报（未能检测到犯罪行为）之间保持微妙的平衡。例如，垃圾邮件检测器既要确保用户不收到不需要的邮件，又要确保用户需要的邮件能够送达；欺诈检测系统既要阻止欺诈交易，又要快速处理合法交易。如果误判，不仅会造成直接经济损失，还会增加员工时间成本和客户不满，可能导致客户流失。

3.4 犯罪者的学习与应对

犯罪者通过论坛和市场讨论、试错、逆向工程等方式学习绕过大数据解决方案的方法。他们还可以利用在线资源学习网络安全技能，内部人员也为他们提供了了解系统算法的途径。

然而，犯罪者绕过系统的方法最终可能被机器学习算法或操作人员发现，解决方案是重新设计和训练系统，同时保持结果的质量。但这也需要在保护合法客户和防范欺诈之间进行权衡，有时允许一定程度的欺诈可能比拒绝合法客户更有利可图。

3.5 经济激励的影响

经济激励在网络犯罪防范中起着重要作用。例如，在线非现场信用卡交易的欺诈成本通常由商家承担，商家怀疑交易欺诈时会向金融机构核实，但金融机构可能不重视（因为他们无需承担交易成本），导致核实过程可能因时区和语言差异而延迟。

3.6 机器学习对抗的特殊性

使用机器学习对抗攻击者与其他类型的预测（如天气预报）不同，攻击者会不断学习和改变行为以绕过检测，就像《爱丽丝镜中奇遇记》中的红皇后赛跑，需要不断努力才能保持现状。

综上所述，大数据在网络犯罪防范中发挥着重要作用，但犯罪者也在不断寻找绕过检测的方法。为了有效防范网络犯罪，需要在技术、人员和经济激励等方面进行综合考虑，不断调整和优化大数据解决方案，以应对不断变化的网络犯罪挑战。同时，企业和组织应加强员工培训，提高安全意识，保护客户信息和资产安全。

4. 应对犯罪者绕过手段的策略

4.1 加强用户身份验证

• 多因素身份验证 ：除了传统的用户名和密码，引入短信验证码、指纹识别、面部识别等多因素身份验证方式。这样即使犯罪者获取了部分用户信息，没有其他因素的配合也无法登录账户。例如，银行在用户进行重要操作时，会向用户预留的手机发送验证码，只有输入正确的验证码才能完成操作。
• 行为生物识别 ：分析用户的行为习惯，如打字速度、鼠标移动轨迹等，建立用户的行为生物识别模型。当登录账户的行为与模型不符时，进行额外的身份验证。例如，某支付平台通过分析用户的支付习惯和操作行为，识别异常支付行为并及时提醒用户。

4.2 优化检测算法

• 实时监测与动态调整 ：大数据检测系统应实时监测数据，根据犯罪者的新手段和新趋势，动态调整检测算法。例如，当发现某种新的恶意软件伪装方式时，及时更新杀毒软件的检测规则。
• 融合多种检测技术 ：将机器学习、深度学习、规则引擎等多种检测技术相结合，提高检测的准确性和全面性。例如，入侵检测系统可以同时使用基于异常的检测和基于签名的检测，既能发现已知的攻击模式，又能检测到未知的异常行为。

4.3 加强内部人员管理

• 背景审查 ：在招聘员工时，进行严格的背景审查，确保员工没有犯罪记录和不良行为。例如，金融机构在招聘涉及客户信息和资金安全的岗位时，会对候选人进行全面的背景调查。
• 培训与教育 ：定期对员工进行安全培训和教育，提高员工的安全意识和防范能力。例如，组织员工参加网络安全培训课程，学习如何识别和防范内部人员泄露信息的风险。
• 监控与审计 ：对内部人员的操作进行实时监控和审计，发现异常行为及时进行调查和处理。例如，通过审计系统记录员工的操作日志，对异常的登录、数据访问等行为进行预警。

4.4 保护未受保护的目标

• 提供低成本解决方案 ：为小型公司提供低成本的网络安全解决方案，如开源的欺诈检测系统、免费的安全软件等。例如，一些开源社区开发了适用于小型企业的网络安全工具，小型公司可以免费使用。
• 行业合作与共享 ：建立行业合作机制，共享网络犯罪信息和防范经验。例如，金融行业可以建立信息共享平台，及时通报新的欺诈手段和风险信息。

4.5 对抗性机器学习防御

• 模型加固 ：对机器学习模型进行加固，提高模型的鲁棒性和抗攻击能力。例如，使用对抗训练的方法，让模型在训练过程中学习如何抵御攻击。
• 监测与预警 ：实时监测机器学习模型的输入和输出，发现异常的输入和输出时及时进行预警。例如，当发现模型的预测结果与历史数据偏差较大时，可能是受到了攻击，及时进行调查和处理。

以下是应对犯罪者绕过手段策略的总结表格：
| 应对策略 | 具体方法 |
| — | — |
| 加强用户身份验证 | 多因素身份验证、行为生物识别 |
| 优化检测算法 | 实时监测与动态调整、融合多种检测技术 |
| 加强内部人员管理 | 背景审查、培训与教育、监控与审计 |
| 保护未受保护的目标 | 提供低成本解决方案、行业合作与共享 |
| 对抗性机器学习防御 | 模型加固、监测与预警 |

下面是一个mermaid流程图，展示应对犯罪者绕过手段的流程：

graph LR
    A[发现犯罪者绕过手段] --> B{确定应对策略}
    B -- 加强用户身份验证 --> C[实施身份验证措施]
    B -- 优化检测算法 --> D[调整检测算法]
    B -- 加强内部人员管理 --> E[管理内部人员]
    B -- 保护未受保护目标 --> F[提供保护措施]
    B -- 对抗性机器学习防御 --> G[加固模型并监测]
    C --> H[评估效果]
    D --> H
    E --> H
    F --> H
    G --> H
    H -- 有效 --> I[持续执行]
    H -- 无效 --> B

5. 未来趋势与展望

5.1 人工智能与机器学习的发展

随着人工智能和机器学习技术的不断发展，大数据检测系统将变得更加智能和高效。例如，深度学习模型可以自动学习和识别复杂的犯罪模式，提高检测的准确性和效率。同时，强化学习可以使系统根据不同的环境和情况，自动调整检测策略。

5.2 物联网与网络犯罪的新挑战

物联网设备的普及将带来新的网络犯罪挑战。大量的物联网设备连接到互联网，如智能家居设备、工业控制系统等，这些设备的安全性较低，容易成为犯罪者攻击的目标。例如，黑客可以通过攻击智能家居设备，获取用户的个人信息和隐私。

5.3 区块链技术的应用

区块链技术具有去中心化、不可篡改、可追溯等特点，可以应用于网络犯罪防范。例如，在数字货币交易中，区块链技术可以记录交易的全过程，防止欺诈和洗钱行为。同时，区块链技术可以用于构建可信的身份验证系统，提高用户身份的安全性。

5.4 国际合作与法规制定

网络犯罪是一个全球性的问题，需要国际合作和法规制定来共同应对。各国政府和国际组织应加强合作，共享网络犯罪信息，协调打击网络犯罪的行动。同时，制定统一的国际法规，规范网络空间的行为，加大对网络犯罪的打击力度。

以下是未来趋势的总结列表：
1. 人工智能与机器学习的发展
- 深度学习提高检测准确性
- 强化学习自动调整策略
2. 物联网与网络犯罪的新挑战
- 物联网设备安全性低
- 成为新的攻击目标
3. 区块链技术的应用
- 记录交易防止欺诈
- 构建可信身份验证系统
4. 国际合作与法规制定
- 加强国际合作共享信息
- 制定统一法规打击犯罪

下面是一个mermaid流程图，展示未来网络犯罪防范的发展趋势：

graph LR
    A[当前网络犯罪形势] --> B{未来趋势}
    B -- 人工智能与机器学习 --> C[智能高效检测]
    B -- 物联网新挑战 --> D[应对物联网安全]
    B -- 区块链技术应用 --> E[利用区块链防范]
    B -- 国际合作与法规 --> F[加强国际合作与立法]
    C --> G[提升防范能力]
    D --> G
    E --> G
    F --> G

6. 总结

网络犯罪在大数据时代呈现出多样化和复杂化的特点，犯罪者不断寻找绕过大数据检测系统的方法。为了有效防范网络犯罪，需要综合运用多种手段，包括加强用户身份验证、优化检测算法、加强内部人员管理、保护未受保护的目标和对抗性机器学习防御等。同时，要关注未来的发展趋势，如人工智能与机器学习的发展、物联网带来的新挑战、区块链技术的应用以及国际合作与法规制定等。只有不断适应新的形势和挑战，才能在网络犯罪防范中取得更好的效果，保护企业和用户的信息安全和资产安全。