恶意广告存在新威胁

　　广告网络采用附属网络营销模式，其中广告商与大量的出版商(有大有小)合作进行广告宣传。出版商会根据引向广告商的流量来获得广告费。这个复杂的附属网络类似与出版商和附属计划之间的中介——B2B协议，根据访问包含厂家在线广告的页面的访问量、观看量或点击量付费。

　　从根本上说，我们之所以能够免费使用各种网络服务是因为它们有在线广告的支持。在线广告是一个高达数十亿美元的庞大业务，由大规模的多层次广告网络基础设施所支持，其中不仅包括合法的广告商也包括网络罪犯。实际上，安全厂商Blue Coat 公司2011年网络威胁报告指出：恶意广告已经在2011年攀升至10大网络攻击方法中第3的位置。下面将介绍这种新现象的原理，以及如何最好地应对它的某些结论。

　　在线广告与恶意广告

　　这个基础设施庞大而复杂，包含大量的微型交易、业务关系以及广告与点击链接目的地之间的联系。可信赖的大型知名广告网络域可能向较小、新且不太值得信赖的广告域外包业务。由于广告投放商和广告投放地点之间有着多层次的分离和自动化，信誉和信任度经常是假定或通过附属网络层继承得来。

　　网络罪犯喜欢利用其他人的信任和信誉——及其基础设施——向尽可能多的人提供恶意软件。向合法广告网络注入恶意广告让网络罪犯能够广撒网而不会露出痕迹。

　　试图绕过安全措施的转变和时机战术

　　恶意广告攻击的一个主要特征是恶意广告或广告域将从无恶意内容开始以多次通过安全软件的检查，从而获得干净的评价和良好的信誉。

　　就像间谍小说中的潜伏者，耐心会得到回报。花费时间在广告网络中获得良好的声誉并通过多次恶意软件扫描，网络罪犯在网络广告结构中赢得了可信赖的宝贵信誉，然后发动攻击。当潜伏者启动后，广告背后的路径就会改变，把点击导向恶意软件主机，而此恶意软件连接能够在有针对性的活动中执行最邪恶的任务。第二天，他们就消失了。

　　网络罪犯的恶意广告战术倾向于在周末发起攻击，因为周末时IT工作人员比较少，防御尚未更新，这就使得攻击被发现的可能性降低。记住，典型的网络防御都需要更新——在安全系统能够对新威胁采取措施之前，必须应用新的数据库。

　　应对恶意广告的基础性技术

　　网络罪犯经常等待数个月的时间来建立合法的广告基础设施，目的是在最合适的时间攻击用户并骗过以前基于信誉的防御。很明显，当面临恶意广告时，安全系统不能依赖信誉来判断需要阻止哪个广告。相反，我们需要的先进安全系统应该能够实时评价网络属性以及他们所依赖的广告。

　　类似地，我们不能等待在计算机上安装“安全更新”，它或许已经太迟了。如果安全系统有任何“点击此处更新定义文件”等要求，它就很可能无法保护用户，特别是在周末。