Он ведет запись попыток взлома при помощи систем-ловушек для хакеров, которые расставляет по всему интернету. Внешне они похожи на обычные серверы - и поэтому привлекают внимание ботов и кибермошенников, которые пытаются проникнуть в систему.
Внимания они привлекают много. В 2018 году сеть Морриса подвергалась атакам до 4 миллионов раз в день. Его компьютеры-ловушки обрабатывают от 750 до 2000 запросов на соединения в секунду - в зависимости от того, насколько загружены атакующие программы в конкретный период времени.
Проанализировав этот трафик, Моррис пришел к выводу, что лишь малая его доля является легитимной.
Легитимный трафик идет от поисковиков, индексирующих сайты, или от организаций, которые прочесывают вебсайты, таких как, например, некоммерческая электронная библиотека "Архив Интернета". В некоторых случаях - от компаний по кибербезопасности и других специалистов.
Оставшаяся часть фонового шума - около 95% - это опасный, нелигитимный трафик.
Он может исходить от саморазмножающихся программ, известных как вирусы-черви, которые используют зараженные компьютеры для распространения вируса, или от кибермошенников, которые ищут определенные уязвимости и лазейки в серверах.
Иногда угроза исходит от более примитивных устройств вроде принтеров и роутеров, которые взломали с целью использовать в массовой сетевой атаке.
"Все эти сетевые устройства генерируют огромный трафик во всей интернет-сети, и подавляющее большинство этого трафика исходит от вредоносных систем, - говорит Моррис. - Каждый день десятки тысяч машин подвергаются заражению".
Но блокировать этот наплыв вредоносного трафика нелегко. Во многом потому, что на первый взгляд он выглядит безобидным.
Когда вы заходите на вебсайт, ваш компьютер первым делом отправляет сайту запрос, чтобы удостовериться, что он активен. Это своеобразное "рукопожатие" - стандартная процедура приветствия, которую используют все безопасные серверы.
Но киберпреступники поняли, что, если правильно провести процедуру приветствия, можно получить важную информацию об организации и, возможно, найти способ проникнуть в систему.
И только если кто-то не пожалеет времени на то, чтобы проследить источник этого трафика, становится очевидно, что он опасен.
"В интернет-пространстве все время происходят соединения с системами с целью понять, что они из себя представляют и что делают, - говорит Мартин Ли, специалист отдела по безопасности Cisco Talos в Европе. - Это создает стабильный фоновый шум - как если бы люди все время стучались в двери и проверяли надежность замков".
Если в сети появляется незащищенный компьютер, можно с уверенностью сказать, что в течение нескольких секунд он будет заражен вредоносной программой и, возможно, даже станет рабом армии ботов, которая осуществляет атаки на другие компьютеры.
"Тебя всегда кто-то пытается взломать, - говорит Ли. - Это банальный факт из жизни всемирного интернета".
"Учитывая, что расследовать такие атаки и блокировать их - титанический труд, которым не хочет заниматься ни один сетевой администратор, этот постоянный шум чаще всего просто игнорируется", - говорит Пол Викси, глава компании Farsight Security, предоставляющей решения в области кибербезопасности.
"В интернете все, что можно взломать, будет взломано", - считает он.
Администратору сети обычно приходится продираться через огромное количество информации, поэтому ему очень сложно отделить атаки, на которые стоит обратить внимание, от фонового шума. Вместо этого администратор просто регистрирует все запросы в системе.
Из полученной информации Эндрю Моррис пытается составить представление о плохих источниках трафика и выявить принципы, на которых строится попытка взлома. В конечном итоге эти данные можно использовать для создания фильтра, который сможет блокировать вирусы, или программы, которая обращает внимание сетевых администраторов на самые опасные запросы.
Самыми подозрительными источниками трафика Моррис считает бразильских и вьетнамских интернет-провайдеров, которые часто отличаются слабой защитой. Их уязвимость позволяет мошенникам внедриться в их машины.
Затем идут облачные хостинговые компании. Все они, по словам Морриса, являются источниками серого шума.
Безопасные источники трафика - большая редкость, хотя они есть.
Финляндия является одной из самых благополучных странах в этом отношении. Она целенаправленно работала над повышением безопасности своего участка сети, чтобы его нельзя было использовать как посредника для кибератак.
Многие мошенники пытаются замести следы своих преступлений, маскируя настоящий источник вредоносного запроса на соединение. В Финляндии существуют свои практики по ограничению злоупотреблений доменами, за соблюдением которых внимательно следят.
Как сообщил Би-би-си представитель финского Центра по кибербезопасности, соответствующие законы и положения обязуют интернет-провайдеров и регистраторов доменов сводить такие попытки к минимуму. Существуют также автоматические инструменты, чтобы проверять финские домены, заканчивающиеся на .fl, на неправомерное использование.
"Эта мера помогла превратить финское интернет-пространство в одно из наименее зараженных в мире", - говорит он.
Анализ Эндрю Морриса уже выявил интересные закономерности. Первые признаки массовых атак можно отследить прежде, чем они ударят по всем. Как, например, в случае с громкими историями заражения офисных принтеров и устройств с технологией Google Chromecast.
"Полезно знать, что есть промежуток времени, в который можно залатать дыры в безопасности, прежде чем вас успеют атаковать, - говорит Моррис. - Это означает, что у сотрудников по безопасности есть шанс успеть среагировать. Так что не все потеряно".
