本帖最后由 ∮仗剑ノ天涯 于 2015-12-20 08:43 编辑

当下”云”（Cloud）和”大数据”（Big Data）的概念越来越火，但是在一般人看来，云和大数据给我们带来的最深的印象往往落脚于”网盘”或者”云盘”以及越来越能够引起我们购物兴趣的精确展示的广告。当然，除了这些最贴近我们普通人生活的东西之外，云和大数据更多的是在后台服务器端默默地发挥着重要的作用。秉承着”Do Great Things”理念的微软，也已经开始利用云，利用其引以为豪的 Microsoft Azure 来帮助打击网络犯罪，为我们的网络安全保驾护航。

***附件停止解析***

在微软网络犯罪中心（Microsoft Cybercrime Center）里，有一块巨大的”墙幕”，其显示的的世界地图上，一束红色的光辉正横跨期间。

不出数秒，微软便开始了它的专业分析工作，着手处理着百万条数据。分析显示，感染率是预想的两倍多，同时还有数以百万的感染病例潜伏在水面以下。

可视化的数据显示方式证实了微软恶意软件分析员和网络犯罪调察员长期以来所怀疑的：在对其进行了长达数年的监视之后，这种网络罪犯可以在网络上购买和下载的”盒子里的僵尸网络”（botnet-in-the-box）——Win 32/Dorkbot——已经进化为了更显成熟老练的威胁。现在，它已经开始为那些互联网上最具攻击性的恶意软件提供传播通道，这些恶意软件可以从大量的未引起警觉的受害者那里静默地窃取大量的私人和金融信息。

***附件停止解析***

打掉这个所谓的”Dorkbot”！

作为微软恶意软件保护中心的首席研究经理，Tanmay Ganacharya 表示，每个月，有大约十万的新感染病例被这种新型的更加凶猛的 Dorkbot 恶意软件袭击。

另外来自一位微软数字犯罪中心的常务助理律师，Richard Boscovich，也表达了一丝忧虑。”感染的增长速度对用户来说是严重的威胁。所以我们迅速通知了政府部门，他们将使用我们提供的分析数据来对这个恶意软件实施打击。”

接下来，来自全世界的执法部门在这个月的早些时候开始采取行动，在 Dorkbot 的传播路径上对其传播实施截击。FBI，INTERPOL，Europol 以及众多国家计算机紧急响应队伍联合起来查获和切断与该恶意软件有关的指令和控制服务器，这些服务器被网络罪犯用来感染和传播恶意软件到全世界的不计其数的设备上。

面对汹涌而至的数据，保持敏锐的洞察力！

在这次行动之后，来自之前被网络罪犯控制的来自数百个网域的流量被重新定向到微软维护的安全服务器。分析这些流量中包含的数据是微软网络威胁智能程序的工作的一部分（Microsoft Cyber Threat Intelligence Program，C-TIP）。

通过分析这些数据，微软能够通知用户和企业关于他们被感染的设备的情况，帮助他们移除这些恶意软件，与此同时获取更多的线索来推进调查进程。

截止到目前，关于罪犯们如何使用 Dorkbot 来引导被感染的计算机贡献偷窃的信息，在新的感染活动中发出指令以及下载其他的恶意软件来实施新的犯罪行为的关键内幕，这些微软所分析的数据已经展示出了足够重要的线索。

一旦一台设备被感染，恶意软件将会和罪犯通信，等待罪犯的进一步指令来帮助罪犯实施新的犯罪活动。当你考虑到有成千上万的机器被感染，在被感染的设备与发出指令的服务器之间的通信次数是相当惊人的，实际上次数达十亿次之多。

上述我们方才讨论的数据分析操作的一个关键挑战就是需要估计整个过程中需要的计算能力和存储空间。这也是 Azure 能一展宏图的地方，它所具有的自适应能力能够处理所有涌入的数据，这也是成功打击僵尸网路的关键。如果失去这种能力，进行这些分析行为所产生的令人抓狂的超量数据将会耗费数天时间来处理和分析，更糟的情况是硬件过载而导致崩溃。这会让调查员眼前一黑，毫无办法地等待更多的服务器前来助阵。在这种分秒必争的情况下，手动供应新的服务器是一件耗时的工作，也会导致对关键信息获取的延期。

对于即将接受的恶意软件数据的数量，在分析操作之前微软会做计算来进行大概估计。但是这仅仅是估计，这也是为什么 Azure 能够迅速和动态地来自适应到所接受的数据的体量的能力是多么重要。

当微软网络犯罪中心开始从它的数据池中接收流量的时候，自动化工具就开始分析这些数据，并把分析结果以地图或者图像的可视化方式展现出来。多年前，分析这些威胁的真正程度需要花费数天的时间。微软的数据分析工具现在为调查员和执法部门几乎实时的恶意软件感染范围快照。

这些工具的优势体现在敏锐的洞察力。通过使用包括”Microsoft Azure IoT套件，Power BI , Azure 事件中心和 Azure HDInsight”在内的这些数据分析科技和服务，企业能够行随心动，迅速反应。

师夷长技以制夷！

Dorkbot 是被加入到微软 C-TIP 数据库的最新的僵尸网络，这个数据库每天接收十亿条数据。这些数据反过来帮助构建微软云服务，因此企业用户保护他们的系统免受已知恶意软件的袭击。

借力于 Azure 主动目录高级版，企业的 IT 管理员可以利用这些信息，当已经被感染的设备试图连接到网络时接收警报。管理员因此更易于判断感染方位，净化被感染的设备，避免整个网络的灾难。

平均来说，企业意识到被感染之后一般已经过去了200天，通过 Azure 主动目录高级版， 那些被微软 C-TIP 标记为感染的设备便能够被企业控制，阻止整个网络被感染。

微软同时也和全球的 CERT（国家互联应急中心）和 ISP（因特网服务提供商）共享其掌握的感染数据。他们可以反过来定位和联络用户来帮助他们移除恶意软件。

Quote我们和执法部门通力合作来帮助人们免遭罪犯的魔爪侵袭，净化他们的电脑，我们的目标是利用这些恶意软件数据来为这个星球上的每个人和每个企业创造更加安全的数字体验。