【实战案例】微软网络犯罪防范中心：大数据抓出恶意攻击和盗版

大数据说起来很玄乎，但是就是它帮着微软网络犯罪防范中心揪出了恶意软件发起者和盗版软件商。今日，CNET记者参观了微软网络犯罪防范中心（Microsoft Cybercrime Center），这是一个让人感觉科技感十足的实验室，在这里可以直观地看到全球安全威胁、恶意软件、盗版等现状，还会了解到微软在防范数字犯罪方面所做出的努力。

图：微软网络犯罪防范中心（Microsoft Cybercrime Center）

据微软全球网络犯罪防范中心高级项目经理Peter Anaman介绍，Microsoft Cybercrime Center共有100多人，其中有35人遍布在美国之外的其他国家，该中心的使命包括：防范恶意软件、僵尸网络；打击盗版及保护知识产权；保护妇女、儿童等弱势群体。

Peter Anaman举例指出，一个僵尸网络是有组织的，最上端是中心，向下分发到规模较小的团队，由这些团队成员感染网络内的所有电脑。

3年关停8个恶意软件中心

如今，随着互联网应用的普及和深化，人们越来越多地体验到了互联网的便利，然而恶意软件、僵尸网络等等威胁随之而来，他们动辄就会感染数百万台电脑。

据介绍，如今的恶意软件、僵尸网络发动攻击的特征是：窃取用户财务信息、发送百万封级别的垃圾邮件；发起DDOS攻击。

在微软恶意邮件分析室内，CNET记者了解到，为了捕捉恶意软件，实验室的工作人员把工作电脑伪装成普通的消费者，这个实验室内共有10台这种“平民机”，来模仿来自中国、法国等看起来很“无辜”的电脑，它犹如身兼重任的卧底特工，收集各种恶意软件、网络威胁。

据悉，3年来，在微软全球数字犯罪防范中心的推动下，全球有8个恶意软件中心被关闭，被关闭前，这个恶意中心进行了7亿次连接，收集了1.5亿条数据。

大数据帮忙揪出盗版商

在恶意邮件分析室旁边，有另外一个密封得严严实实的实验室，中国记者一行被特批才得以进入，这是一个专门检测软件。微软网络犯罪防范中心总监及高级分析师Bryan Hurd指出，这里专门从事盗版软件的追查，追查的手段主要是靠产品的key。

Bryan Hurd以一个“96133001760”的产品key为例介绍说，按照购买协议，这个key可以在一家美国境内企业的1万台电脑上使用，换句话说，在这个数量范围内安装是合法的。但是如果这个key的使用地域超出了美国，就说明有盗版现象。他给出的一张由Excel Power Map生成的大数据3D图显示，这个key的适用范围遍布全球，而且装机量已经超过了200万台。

另外一个案例是来自亚洲的一个盗版事件，某一个key在一台电脑上测试了近3000次，从这个数据上让人警觉，这就是一个盗版商正在测试软件，这家盗版商用了3个月时间挣了750万元。

Peter Anaman指出，微软基于Microsoft Azure每天查阅1000万个网站是否侵权，先是通过机器过滤代码，然后再人工过滤。当微软发现异样的苗头时，就会通知供应商、支付商、搜索引擎等相关伙伴。“值得一提的是，微软还加入了对eBay、淘宝等网站的监控”。

Bryan Hurd介绍的一个例子显示，一个盗版软件网站，页面制作非常精美，而且提供7*24小时服务，且提供37种语言支持，并且有着和微软官方网站媲美的Q&A，这个网站有多个域名，分别指向一个IP抵制，以防被封。

此前不久，微软网络犯罪防范中心还破获了一个俄罗斯的盗版软件团伙，这个团伙每个月获利400万美元。

网络警察需要多方参与

尽管在微软和其一些合作伙伴的努力，一定程度上打击了恶意软件和盗版现象的发生，但是由于利欲熏心带来凶猛的网络犯罪，让微软仍感觉担子沉重。

微软全球总法律顾问布拉德·史密斯在接受CNET记者采访时指出，“诚然，网络犯罪防护并不是一家公司的事情，没有一家公司可以确保互联网安全。但是，我们微软认为，这些事情必须有人去做，重要在于两点：各家公司做好各自分内的事儿；要做好合作。”

布拉德·史密斯表示，微软作为IT产业的领导者，有责任带头做好网络犯罪的防范工作，另外微软认为自己有责任组织政府、企业、相关机构等一起参与，共同打击网络犯罪。

另据布拉德·史密斯透露，“为了进一步防范网络犯罪，微软不排除未来不久在北京设立一家微软网络犯罪防范中心。”