近日,奇安信研究团队与中国科学技术大学、山东大学等研究机构合作开展的关于住宅网络代理(Residential Proxies)安全威胁的研究成果——《An Extensive Study of Residential Proxies in China》,被计算机安全顶级学术会议ACM CCS 2022录用。ACM CCS是世界网络和系统安全领域四大顶级学术会议之一,此次的录用率为18%(58/324)
这是针对中国境内住宅网络代理的首个安全研究。研究发现了50多个专注于中国市场的住宅网络代理服务商,其代理节点规模庞大(百万乃至于千万节点),分布广泛(全国大部分省份都有分布),但却没有被之前的工作研究过。这些网络代理服务商专注于中国市场,其代理节点也大部分在中国,这和英文互联网中的住宅网络代理服务商有较大差别。 考虑到欧美地区住宅网络代理在自动化网络攻击中的大量使用, 这些新兴住宅网络代理对于国内网络空间,尤其是对政府与企业的基础设施与数据,所带来的安全威胁,需要深入且持续的研究刻画。
该论文由山东大学郭山清团队、中科大糜相行团队、与奇安信技术研究院团队合作完成,作者包括山东大学杨明烁、纽约州立大学布法罗分校于韵楠、中国科学技术大学糜相行教授、奇安信技术研究院汤舒俊、山东大学郭山清教授、奇安信技术研究院郑晓峰,以及清华大学段海新教授等。
该研究创新性地设计了基于自然语言处理的机器学习分类器,以自动化地捕获住宅网络代理服务商,并成功识别了399个RESIP(residential proxies,住宅代理服务提供者)服务商。此外通过基于流量标记的代理节点抓取机制等方法,研究者抓取到了900多万个RESIP IPs(其中51.36%位于中国),其中96.70%从未在以往的RESIP数据集中出现。
在对RESIPs及其服务的广泛测量中,研究者发现了一些潜在的安全隐患。特别的,位于中国的80.05% RESIP IPs在2021年至少产生了一条恶意网络流量 (traffic flows),总计5200万条。而对这些恶意流量的分析表明,非法挖矿行为在RESIPs访问的流量中占比最高,且62.61% RESIP IPs曾被用于非法挖矿活动。在包括政府机构、教育机构和企业在内的559个敏感组织的网络中也观察到了RESIPs。另外323万多个中国境内的RESIP IPs曾经打开并监听了一个公网IP上的TCP/UDP端口,以服务流量代理的请求,这对RESIP节点所在的本地网络带来了不可忽视的安全风险。除此之外,91%的RESIP IPs的使用寿命不到10天,而大多数RESIP服务在生命周期内的日活RESIP呈现出波峰波谷的模式,这种快速变化与迁移的特征,会给传统的安全防护机制,例如基于IP地址黑名单的网络访问控制等,带来新的挑战。
研究团队已就相关研究发现,向住宅代理IP定位到的敏感组织与机构进行了负责任的披露,并获取了部分的反馈。正在协助相关组织机构,进一步定位问题根源。此项研究将有助于防范和化解住宅网络代理带来的重大安全风险,提升受威胁的敏感组织的安全防护水平。
奇安信集团与山东大学的合作始于2018年,双方在网络空间安全科研及人才交流上进行了全方位的合作,并成立了山东大学-奇安信集团联合实验室,围绕密码学研究,围绕网络空间态势感知等领域发挥各自优势,强化创新,推动产学研深度融合,并建立了开放协作的网络安全人才培养体系,取得了丰硕的成果。
(注:住宅网络代理 (RESIP) 在近些年兴起并得到广泛使用, 其相比传统网络代理,具有规模大、分布广、高匿名性等特点。 近期一份安全报告[1]表明,相比于2019年一季度,使用住宅网络代理的自动化攻击在2019年第二季度增加了361\%。此外,彭博社在2021年10月份的新闻报道[2]中宣称,来自俄罗斯的黑客组织,在大规模网络攻击中,通过使用住宅网络代理,将其攻击流量伪装成美国普通用户的网络流量。这些攻击的受害者包括美国的情报部门、非政府组织、以及一些安全防护公司等。黑客们所使用的住宅网络代理服务包括Bright Data (Luminati) 、Oxylabs、以及IP Burger等。)
参考文献