洞察僵尸网络的4条关键线索，你知道吗？

通过学习如何识别传播虚假信息的僵尸网络可以有效地防范错误信息和虚假信息活动。

在信息时代，错误信息和虚假信息的规模正在不断扩大。麻省理工学院(MIT)的研究人员分析了2006年至2016年之间的126,000起安全事故，结果发现虚假信息在社交网络上的传播速度高达真实信息的六倍之多。无论这些虚假内容是故意的(错误信息)还是无意的(虚假信息)，它们都会影响社会的各个方面，包括政治、公共卫生以及商业活动等等。但是，虚假内容往往存在一个共同点——它们通常严重依赖于僵尸网络或自动化分发机制。

下述四种社交媒体行为都是表明您正在与僵尸网络而非合法的个人或企业打交道的线索，希望可以帮助您有效地防范错误信息和虚假信息活动。

1. 不同寻常的密集关系网络

为了凸显重要性或权威性，一个帐户必须具备一定数量的关注者或互动留言。因此，当恶意行为者创建僵尸网络时，他们不能简单地创建一个帐户，然后就开始发布虚假信息。相反地，他们必须创建具备“好友”网络的帐户，以使其看起来更具权威性。由于这些都是创建的虚假帐户，所以它们通常还需要创建虚假关系。僵尸通常与其他僵尸高度关联。从关系网络的角度来看，僵尸网络通常会表现出不同寻常的密集且互联的关系，而且这些账户与真实可验证的帐户之间的关系很有限。僵尸网络通常具有以下特征：

僵尸网络已连接，但它们在网络外部的覆盖范围有限;

与“现实世界”的有限关联往往透露出这些僵尸网络旨在影响的人员和主题;

有时，“主”僵尸帐户会得到更有力的支持，以显示更强的真实性，并且经常与“现实世界”建立更多的联系，但是这些密集网络中的其他僵尸的个人资料信息很少。

“主”僵尸账户的个人资料会使用稍微像素化的图片来应对图像匹配软件。

分析二级和三级联系是关键。僵尸网络几乎总是位于真实对话的外围;僵尸集群就像是悬挂在真实网络外的肿瘤。如果您能够有效地完成围绕一个主题的完整关系网络的映射，那么检测外围上这些异常的密集集群就会变得简单易行。

2. 重用帖子生成算法

典型的人际互动涉及原创内容、其他作者的转帖以及参与或回复对话流等多种形式。相比之下，僵尸网络几乎没有什么原创内容，差不多全是转帖，并且不参与任何实际对话。而且绝大多数的僵尸账户不够智能，无法有效地更改转帖的内容，因此非常容易检测到它们旨在宣传的错误信息/虚假信息的具体来源。甚至那些试图更改转贴内容和来源的更为智能的僵尸账户仍然会显示出很高的自动化水平，让人能够一眼看穿。当您查看整个僵尸网络的协调性时，这一点特别容易发现，因为您可以看到连接的网络是如何旨在传播消息的。

3. 高度统一的发帖时间表

人们在情绪高涨、外出吃饭、睡觉甚至平常生活中都爱发帖。即使人类有其行为习惯(例如，喜欢在上班前和上床睡觉前上网冲浪)，但他们每天的行为也会有所变化，而且出门时间也会因为休假等原因发生改变。不太智能的僵尸账户会严格遵循发帖时间表进行发帖;例如，它们常常以24个小时为周期来发帖，没有睡觉时间。甚至那些采用随机方式发布内容，并且具有内置停发时间的更为智能的僵尸账户通常也会表现出一些可识别的模式。分析发帖时间表可以发现僵尸网络与人类行为不一致的模式。

4.定位以影响特定的受众

僵尸网络的目标通常是可识别的，因为僵尸网络是为实现特定信息目标而设计的工具。下面有两个例子：

一系列帐户生成了超过45,000个帖子，平均每小时生成18个帖子，每天24小时(没有睡眠时间)。多个帐户之间存在超过80%的内容重叠。但是看一下外部联系，就能从中发现蹊跷。在这个例子中，僵尸网络正在推送有抱负的作家、词作者和艺术家的内容。您可能会看到这些可验证的艺术家可能购买了旨在增加其社交关注度的服务，这些服务采用了僵尸网络的形式来增加关注者数量，并释放出这些艺术家正在崭露头角的信号。

在调查有关叙利亚内战政策的外国影响力时，我们发现了一个帐户及其后续网络，其中每个有影响力的帐户都表达了对西方极度不信任和对所有的俄罗斯地缘政治立场大力支持。该网络中的所有帐户都相互转帖，创建了一个亲俄、反西方的“回声室”，其目的是在整个欧洲和西方宣扬俄罗斯政策。

寻找线索

僵尸网络通常是虚假信息的常见媒介，但是通过寻找某些行为和特征可能会向您透露一些线索，告诉您这些帐户并非来自独立的个人或企业。下次遇到可疑信息时，记得充分利用这些线索，以防止虚假内容传播。

本文翻译自：https://www.darkreading.com/vulnerabilities---threats/4-clues-to-spot-a-bot-network/a/d-id/1339937?piddl_msgorder=thrd如若转载，请注明原文地址。