代码编写习惯可能泄露黑客身份信息

学者们多年以来一直试图利用所谓“文体测定学”——即研究个人书面撰写内容中的习惯——解决一些实际问题，例如《联邦党人文集》的作者究竟是谁（有人认为其作者为James Madison、Alexander Hamilton或者John Jay）、《伊利亚特》与《奥德赛》是否全部为荷马所写，以及莎士比亚的十四行诗与戏剧作品是否还拥有其他共同创作者。

现在一支学术团队正与陆军研究实验室协作工作，希望利用这一类型的技术手段识别恶意代码编写者，并以此作为潜在的黑客追查手段之一。

这支团队包括来自普林斯顿大学、德雷塞尔大学以及哥迁根大学的多位研究人员，旨在利用机器学习算法对计算机代码进行解析，进而确定其实际编写者。最终成果是，普林斯顿大学博士后申请者Aylin Caliskan-Islam在第32届Chaos计算机大会上提交了一份报告，根据陆军研究实验室所指出，其能够在1600名程序员当中实现高达94%的作者识别正确率。另外，如果将作者范畴缩小至五名可能性最高的对象时，研究人员几乎每次都能让实际编写者囊括于其中。

这只是一次面向知名程序员们的样本代码的实验室性尝试，而且该研究团队表示他们还需要进一步将自己的工作成果扩展至更加庞大的真实世界环境当中，从而应对不同恶意软件编写者们的开发方式以及代码编写过程中使用的掩饰手段。（陆军研究实验室方面指出，研究人员们还对多个单作者GitHub库中的‘真实世界’代码进行了处理。）最终，这样一套自动化工具包能够帮助我们识别出恶意软件作者，并以此为基础显著推动我们在对抗网络攻击行为时的主动性——即准确了解其实际来源。由于在线攻击活动可能在世界范围内随时出现，因此看起来从中国本土发起的攻击也许并不该由中国方面负责。

安全专家们已经采用这种“文体测定学”方式来确定网络攻击的真实来源，例如提取早先攻击工具中所使用的代码，从而断定索尼影业遭受的侵袭源自朝鲜。不过整个过程需要耗费大量时间。使用一款软件工具能够顺利承担起大量繁重的比照任务，并加快整个检验流程。

“这样的检验过程确实充满挑战，因为以手动方式处理这项任务的专家们需要在攻击出现之后逐步对其进行取证，”陆军研究实验室网络安全研究员兼技术研究负责人Richard Harang表示。“现在，人工分析已经成为一种常规工具。其确切有效，但却往往速度很慢且需要耗费大量资源。我们正着手开发一套工具包，旨在以更快且成本更低廉的方式支持用于恶意人士身份识别的分析工作。”

在内容编写过程中，文体测定学分析方案会根据词汇选择、句型、语法、拼写以及标点符号等对象的使用习惯确定一位编写者的风格“指纹”。正如《纽约时报》所指出，Madison倾向于使用“whilst”，而Hamilton则偏好使用“while”，这就有助于我们确定二者在《联邦党人文集》当中各自撰写了哪些特定部分。

另外，虽然利用这些原则确实能够通过代码编写习惯识别出黑客，但“文体测定学”还带来了其它一些潜在影响，例如找出举报人或者人权活动家的真实身份。事实上，德雷塞尔大学的研究人员曾于2012年发布过其文体测定学工具的早期版本，但同时也公布了另一款名为Anonymouth的工具，旨在帮助作者们掩盖自己的风格特征。

就目前来讲，研究人员只希望不断改进自己的工具。“这项基本研究表明，识别计算机程序基础之上的编码风格及其作者是完全可靠且值得为之付出努力的，”Harang指出。“这是一项协作性研究，而且目前我们已经获得了不错的成果。”