RSS-каналы
Уровень опасности: 1
Главная→Блог→Новости→ 8 ноя 2010→TUBA вычислит бот по почерку
TUBA вычислит бот по почерку
Блогер
опубликовано 8 ноя 2010, 14:38 MSK
Сюжеты: Антивирусные технологии, Технологии вредоносных программ
В Вирджинском политехническом институте создана биометрическая система аутентификации, которая различает программу-робот и человека по клавиатурному почерку.
Биометрические механизмы, основанные на мониторинге особенностей работы с клавиатурой, хорошо зарекомендовали себя как инструменты для различения почерков. Однако специалисты по сетевой безопасности до сих пор применяли их лишь с целью распознавания действий, непосредственно выполняемых хакером. Экспериментальная система TUBA (Telling Human and Bot Apart) позволяет удаленно отслеживать любые аномалии в работе с клавиатурой на отдельных ПК, включая те, что спровоцированы программой-автоматом.
Робот может с успехом имитировать простые и однообразные действия, но выполняет их в более высоком темпе, чем человек. Конечно, вирусописатель может скорректировать стиль работы программы, используя наличную статистику по клавиатурным почеркам, однако он никогда не сможет точно воспроизвести манеру ввода, практикуемую на конкретном ресурсе. Назначением TUBA и является защита ПК от таких программ-имитаторов. Она определяет почерк владельца компьютера, регистрирует соответствующие системные события и сличает динамику процесса с выявленным образцом. Такой механизм позволяет обнаруживать любые угрозы, выполняющие несанкционированный ввод, даже те, которых нет в антивирусных базах.
В TUBA использована патентованная технология детектирования вредоносных программ, которая основана на поведенческом распознавании человека и автомата. Исследования в этом направлении финансирует Национальный научный фонд США (National Science Foundation, NSF). Доклад по TUBA получил первую премию на 6-й международной конференции по коллективным вычислениям (CollaborateCom '10), проведенной в октябре в Чикаго. Одна неназванная коммерческая структура уже ведет переговоры о заключении лицензионного соглашения в отношении этой технологии. Руководитель проекта не намерена останавливаться на достигнутом и планирует приступить к реализации новаторского способа детектирования на уровне сетевого узла.
|
08 ноя 2010, 15:45
Что мешает сделать таймауты в процессе ввода? |
|
1 |
Re:
Я так поняла, такие подделки возможны, т.к. базы образцов почерков существуют, что и отразила в тексте новости ("вирусописатель может скорректировать стиль работы программы, используя наличную статистику по клавиатурным почеркам"). Однако вирусописатели, которые этим пользуются, создают некий среднестатистический стереотип. TUBA же определяет почерк владельца конкретной машины, который неизбежно будет отличаться от такой синтетической подставы.
|
08 ноя 2010, 16:42
Хм. А вот это тогда чего: http://www.anti-malware.ru/news/2010-11-04/3228 Обсуждение: http://www.anti-malware.ru/forum/index.php?showtopic=15828 |
|
1 |
Re:
Вы как раз указали пример того, как биометрическая система помогает выявить подмену, когда с клавиатурой работает человек. TUBA же позиционируется как инструмент для распознавания несанкционированных действий, выполняемых как человеком, так и автоматом.
|
0 |
Re: Re:
Не, я не пойму в чем принципиальное различие? Что мешает разработку японцев докрутить до детекта неких ботов?
|
1 |
Re: Re: Re:
Докрутить-то, наверное, несложно, только до сих пор этим никто не озаботился. А эта команда создала вполне универсальную модель, использовав свои наработки в области распознавания человека и ботов, которые к тому же оформила патентом.
Я нашла сам доклад - http://people.cs.vt.edu/~danfeng/papers/keystroke.pdf. Там клиент не только караулит ввод, но и отслеживает определенные сетевые события. В таких подозрительных случаях, например, когда с ПК идет массовая рассылка почтовых сообщений без фактического использования клавира или мыши либо регистрируются множественные http запросы к зарубежному узлу, а браузер при этом не работает, включается проверка на аутентичность (окошко для тестового ввода). Клиент также прослушивает определенные порты и следит за чат-каналами. В общем, там объемный функционал и слежка идет по многим фронтам, а тесты можно гнать и на регулярной основе, в фоновом режиме.
|
1 |
|
0 |
Re: Re: Re: Re: Re:
Согласна, поторопилась. В большинстве случаев приходится работать по сообщениям в СМИ и блюсти актуальность - все-таки новостная колонка. Ссылки на первоисточник далеко не всегда присутствуют, приходится самой проводить "журналистское расследование" :(
Ссылки по теме
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей