对抗行为(十六):用于了解恶意操作的模型之环境犯罪学

admin 2022年7月22日09:17:59评论28 views字数 2669阅读8分53秒阅读模式

《网络安全知识体系》

对抗行为(十六):

用于了解恶意操作的模型之环境犯罪学


环境犯罪学

虽然网络犯罪是一种相对较新的威胁,但学者们已经对人身犯罪进行了数十年的研究。因此,调查这一既定知识体系是否能够用于更好地理解和减轻新出现的在线犯罪威胁是很有趣的。特别是环境犯罪学,是犯罪学的一个分支,它侧重于与犯罪所犯空间相关的犯罪模式以及相关行为者(受害者,犯罪者和监护人)的活动。当我们试图将环境犯罪学理论应用于网络犯罪时,出现的一个特殊挑战是,互联网上“地方”的概念没有得到很好的定义。就像在现实世界中一样。在下文中,我们简要回顾了环境犯罪学的关键概念,并提供了一些如何将其应用于减轻互联网犯罪的例子。
常规活动理论。常规活动理论是环境犯罪学中常用的概念,假设犯罪的发生主要取决于犯罪的直接机会。特别是,常规活动理论指出,要使犯罪发生,需要有三个组成部分趋同:

(i)有动机的罪犯,

(ii)合适的目标和

(iii)没有有能力的监护人。

这些概念可用于更好地对在线恶意活动进行建模。例如,研究表明,僵尸网络活动在白天达到峰值,当时大多数脆弱计算机都打开了,受害者正在使用它们,而它过夜显着下降。在常规活动理论术语中,这可以转化为这样一个事实,即当更多潜在受害者在线时,犯罪分子感染他们的机会增加,这导致僵尸网络活动的增加。
理性选择理论。理性选择理论旨在为罪犯为什么做出理性选择犯罪提供一个模型。就网络犯罪而言,该模型可用于理解犯罪分子对缓解的反应,并将其作为一种理性选择,并有助于对实施问题进行建模。由流离失所等情境犯罪预防引入。例如,当防弹托管服务提供商被执法部门取缔时,哪些因素在犯罪分子选择下一个提供商时起着重要作用?
犯罪模式理论。另一种理论,称为犯罪模式理论,允许研究人员识别与犯罪有关的各个地方这些地方可能会吸引犯罪者(犯罪诱因),它们通过犯罪机会的可用性(犯罪发生者)产生犯罪,并且它们使犯罪缺乏地方管理人员(犯罪推动者)。
虽然定义网络空间中的位置并不像在物理空间中那样简单,但从模式理论的角度思考可以帮助识别网络犯罪热点的位置,无论它们是否是特别有吸引力的目标,例如存储敏感数据的公司(吸引子),配置不良且容易受到损害的系统(生成器)或卫生条件差的在线服务不要对其平台上发布的垃圾邮件/恶意软件(启用码)及时做出反应。然后,识别这些热点可用于设计针对恶意活动的适当对策(例如,向谁指导教育活动)。
情境犯罪预防。情境犯罪预防包括一套旨在通过减少犯罪机会来减少犯罪的理论和技术。情境犯罪预防背后的思想基于三个主要概念,这些概念也适用于网络犯罪:
     犯罪更有可能发生在某些地方(热点)。这个想法适用于网络犯罪的背景。正如我们所看到的,犯罪分子倾向于将其恶意服务器集中在防弹托管服务提供商中,这为他们提供了保证,即他们的操作可以持续很长时间。在频谱的另一端,关于受害者,犯罪分子倾向于针对具有易受攻击的软件配置的计算机,这些计算机也构成了这种接受的热点。
     犯罪尤其集中在“热门产品”中。这也适用于网络犯罪,歹徒专注于产生最高利润的任何操作(即,在撰写本文时,勒索软件)。
     与其他人相比,重复受害者更有可能经历犯罪。在网络犯罪的背景下,同样的概念也适用。打补丁的易受攻击的计算机很可能会再次受到威胁。同样,在预付费用欺诈的情况下,受害者很可能会一再因欺诈而堕落,因为犯罪分子使用的叙述尤其与他们产生共鸣。除了受害者再次陷入类似骗局的自然倾向外,犯罪分子还积极寻求通过编制所谓的吸盘名单和彼此共享它们
为了减少犯罪机会,情境犯罪预防提出了五类缓解措施。在下面,我们列出了它们以及计算机科学文献中提出的一些针对网络犯罪的缓解措施示例,这些示例可以分为以下几类:
     加大犯罪力度此处的缓解措施包括部署防火墙和为计算机上安装的软件设置自动更新。
     增加犯罪风险这里的缓解措施包括减少支付匿名性(例如,当有人从西联汇款兑现时请求身份证)。
     减少奖励。此处的缓解措施包括阻止可疑付款或包裹,或惩罚恶意搜索结果。
     减少挑衅。这里的例子包括对流氓ISP和银行施加同行压力。
    删除借口。此类别中的典型缓解措施包括运行教育摄像头或设置自动复位向,以转移本来会查看恶意内容的受害者,向他们解释发生了什么,并敦促他们保护他们的系统。
情境犯罪预防框架的一个有趣方面是,它确定了每次缓解措施实施时出现的实施问题。就网络犯罪而言,最相关的两个实施问题是适应流离失所
适应体现了这样一个事实,即犯罪分子将积极试图通过使其操作更隐蔽或更复杂来规避任何缓解措施。这是在计算机安全研究中可以观察到的典型军备竞赛。当研究人员开始编制已知属于C&C服务器的IP地址黑名单时,犯罪分子的反应是开发快速通量。当由于审查的增加而通过传统方式进行支付变得更加困难时,犯罪分子转向了加密货币。在设计针对网络犯罪的缓解措施时,考虑适应非常重要。特别是,有效的缓解措施是那些犯罪分子不容易做出反应的缓解措施,或者适应措施需要付出经济代价的缓解措施(例如,收入减少)。
流离失所代表着这样一个事实,即一旦实施缓解措施,犯罪分子就可以简单地将其业务转移到其他地方。虽然在现实世界中,犯罪分子可以走多远是由实际限制决定的,但在互联网上,从一个“地方”移动到另一个“地方”几乎是免费的。流离失所的例子包括犯罪分子开始向另一个注册商注册DNS域名,因为他们喜欢的注册商提高了域名价格以遏制滥用,或者大量毒品市场向其他注册商开放填补丝绸之路被拿下后留下空白。在规划针对网络犯罪的行动时,取代效应非常重要。一般而言,减轻处罚应使犯罪分子难以转移到其他地方。相反,仅仅取代网络犯罪行动而不影响其有效性的缓解行动可能不值得追求。
研究人员已将情境犯罪预防应用于许多计算机犯罪,包括组织数据泄露和软件漏洞的缓解。但是,在本节的讨论之后此框架可以应用于在线发生的任何犯罪活动。
犯罪脚本。犯罪学领域可以帮助分析互联网上恶意活动的另一种有用技术是犯罪脚本。作为这种技术的一部分,研究人员推断出对手为犯罪而执行的步骤顺序。例如,在浪漫骗局中,欺诈者在约会个人资料上创建一个虚假账户,确定合适的受害者,经历修饰阶段,然后是实际的欺诈当骗子向受害者要钱时。剖析犯罪的各个步骤有助于更好地理解犯罪和确定可能的干预措施。犯罪脚本与杀伤链有些关系,尽管这两种技术是在完全独立的领域开发的。

原文始发于微信公众号(河南等级保护测评):对抗行为(十六):用于了解恶意操作的模型之环境犯罪学

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月22日09:17:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对抗行为(十六):用于了解恶意操作的模型之环境犯罪学http://cn-sec.com/archives/1193023.html

发表评论

匿名网友 填写信息