一个旨在通过分析应用程序崩溃时的反馈数据来检测网络攻击的研究项目已初见成效。近日，安全公司Websense的研究人员通过将Windows错误报告和应用程序数据相结合进行分析的方式，成功检测到一个针对零售商的网络攻击活动。

使用根据微软的Windows错误报告提交和创建信息的工具,也被称为“Dr. Watson”。 Websense安全研究部主任Alex Watson表示：,某些异常模式迹象表明：攻击者在试图利用某些漏洞发动攻击的过程中,无意中会导致应用程序崩溃。

“我们不是试图去识别一个特定的攻击,而是寻找那些可能是攻击者活动迹象的指标。” Watson说道，“当我们把它和其他情报结合在一起分析时,我们得到了攻击者一个可能的攻击路径。”

应用程序过于频繁的崩溃是计算机用户和开发人员的烦恼。然而,安全研究人员认为，应用程序崩溃是一个信号,某一软件存在漏洞可能被利用来劫持计算机系统。特别是当“棱镜门”事件的关键人物斯诺登表示,情报分析人员使用崩溃报告以确定应用程序可能被利用后，这一技术获得了广泛的关注。

确认这一技术可以用来识别攻击路径后, Websense通过收集销售网点的应用程序崩溃报告，创建了一个攻击的指纹数据。“通过这些信息,结合其他预测,我们帮助东海岸一个零售商查明了一起利用Zeus恶意软件进行攻击的事件。” Watson说，“扩大排查范围后, Websense确定其他零售商也表现出同样的感染的迹象。”

“当我们把所有的信息汇总在一起的时候,我们看到整个批发、零售行业的公司,都与相同的命令和控制服务器相连接。” Watson说。“因此，我们检测到的很可能是Zeus针对销售行业系统的一个新变种。”

Websense并不是第一个通过收集计算机系统崩溃数据来检测潜在攻击的公司。Leviathan Security，一家安全技术和咨询公司,一直在使用类似的技术来检测那些有可能逃脱其他检测机制的先进和有针对性的恶意软件。

最初的Windows错误报告是不加密的，并且包含应用程序、服务和硬件系统的崩溃信息。攻击者可以利用这些信息来了解公司的环境,而安全防护人员则可以使用这些信息检测到可能是攻击者正试图发动攻击的系统异常崩溃。

Websense正计划扩大该系统，以收集来自其他操作系统和其他类型的设备的系统崩溃报告。工业控制系统——如监控和数据采集(SCADA)网络、以及金融网络都可能将受益于该技术。

(责任编辑：)