Algorytm powstrzymujący rozprzestrzenianie robaków w sieci
TAGI:
robaki
Naukowcy z Uniwersytetu Pensylwania opracowali algorytm pozwalający blokować rozprzestrzenianie samo propagujących się robaków w sieciach korporacyjnych, utrzymując jednocześnie zainfekowane systemy w stanie pozwalającym na wykonywanie ich legalnych zadań.
Według zapewnień twórców, używając wymyślonego przez nich algorytmu można szybko "zmierzyć" jak złośliwe są robaki i powstrzymać ich rozprzestrzenianie, utrzymując przy tym współczynnik fałszywych rozpoznań na poziomie mniejszym niż 5 proc.
W połączeniu z inteligentnymi przełącznikami, algorytm Worm Virulence Estimation może rozpoznawać, które maszyny są zainfekowane i które pakiety przez nie wysyłane to próba rozpowszechniania robaka. System blokuje wtedy takie pakiety.
Pozwala to zainfekowanym komputerom na kontynuowanie autoryzowanych działań i usuniecie robaka w czasie bardziej dogodnym, zamiast poddawać komputer natychmiastowej kwarantannie, odłączając go od sieci.
System blokowania robaków składa się z oprogramowania pracującego na inteligentnych przełącznikach i centralnej konsoli bezpieczeństwa. Nie używa natomiast oprogramowania klienckiego, pracującego na desktopach i serwerach w sieci.
Kiedy samo propagujące się robaki sondują inne maszyny w sieci poszukując otwartych portów, które pozwolą im dostać się do nieszczelnych maszyn, oprogramowanie zainstalowane w inteligentnych przełącznikach rejestruje takie pakiety jako podejrzane, jeżeli wysyłane są do zamkniętych portów.
Takie dane są wysyłane do konsoli bezpieczeństwa, która analizuje dane w celu określenia czy te podejrzane pakiety zostały pomyślnie wysłane do innych maszyn, które wtedy rozpoczynają podobne działania sondujące. Im szybciej pojawiają się nowo zainfekowane maszyny, tym bardziej złośliwy jest robak.
Konsola bezpieczeństwa może być ustawiona na blokowanie podejrzanych pakietów, które mogą infekować inne maszyny. Administrator może określić liczbę zainfekowanych maszyn wyznaczającą próg, po przekroczeniu którego pakiety zaczną być blokowane. System może wykrywać robaki przy zaledwie czterech zainfekowanych maszynach i zapewnia wysoki współczynnik identyfikowania rzeczywiście złośliwych pakietów.
Algorytm bierze także pod uwagę liczbę maszyn, które robak może zainfekować, jeżeli nie będzie kontrolowany, i jeśli ryzyko dotyczy dużej populacji maszyn, to zastosowanie środków blokujących podejrzane pakiety mogą być oceniane jako bardziej pilne.
Wykorzystywanie "złośliwości" jako czynnika określający próg, pozwala na znalezienie optymalnego balansu pomiędzy zatrzymaniem rozprzestrzeniania się robaka i blokowaniem pewnej części ruchu legalnego, który może być błędnie sklasyfikowany jako złośliwy.
Algorytm nie korzysta z sygnatur kodów złośliwych, tak więc może wykrywać zarówno znane kody złośliwe jak i nowe.
Algorytm i eksperymentalne oprogramowanie jest wykorzystywane do projektowania komercyjnego produktu przez nowopowstałą spółkę Day Zero Systems.
W połączeniu z inteligentnymi przełącznikami, algorytm Worm Virulence Estimation może rozpoznawać, które maszyny są zainfekowane i które pakiety przez nie wysyłane to próba rozpowszechniania robaka. System blokuje wtedy takie pakiety.
Pozwala to zainfekowanym komputerom na kontynuowanie autoryzowanych działań i usuniecie robaka w czasie bardziej dogodnym, zamiast poddawać komputer natychmiastowej kwarantannie, odłączając go od sieci.
System blokowania robaków składa się z oprogramowania pracującego na inteligentnych przełącznikach i centralnej konsoli bezpieczeństwa. Nie używa natomiast oprogramowania klienckiego, pracującego na desktopach i serwerach w sieci.
Kiedy samo propagujące się robaki sondują inne maszyny w sieci poszukując otwartych portów, które pozwolą im dostać się do nieszczelnych maszyn, oprogramowanie zainstalowane w inteligentnych przełącznikach rejestruje takie pakiety jako podejrzane, jeżeli wysyłane są do zamkniętych portów.
Takie dane są wysyłane do konsoli bezpieczeństwa, która analizuje dane w celu określenia czy te podejrzane pakiety zostały pomyślnie wysłane do innych maszyn, które wtedy rozpoczynają podobne działania sondujące. Im szybciej pojawiają się nowo zainfekowane maszyny, tym bardziej złośliwy jest robak.
Konsola bezpieczeństwa może być ustawiona na blokowanie podejrzanych pakietów, które mogą infekować inne maszyny. Administrator może określić liczbę zainfekowanych maszyn wyznaczającą próg, po przekroczeniu którego pakiety zaczną być blokowane. System może wykrywać robaki przy zaledwie czterech zainfekowanych maszynach i zapewnia wysoki współczynnik identyfikowania rzeczywiście złośliwych pakietów.
Algorytm bierze także pod uwagę liczbę maszyn, które robak może zainfekować, jeżeli nie będzie kontrolowany, i jeśli ryzyko dotyczy dużej populacji maszyn, to zastosowanie środków blokujących podejrzane pakiety mogą być oceniane jako bardziej pilne.
Wykorzystywanie "złośliwości" jako czynnika określający próg, pozwala na znalezienie optymalnego balansu pomiędzy zatrzymaniem rozprzestrzeniania się robaka i blokowaniem pewnej części ruchu legalnego, który może być błędnie sklasyfikowany jako złośliwy.
Algorytm nie korzysta z sygnatur kodów złośliwych, tak więc może wykrywać zarówno znane kody złośliwe jak i nowe.
Algorytm i eksperymentalne oprogramowanie jest wykorzystywane do projektowania komercyjnego produktu przez nowopowstałą spółkę Day Zero Systems.
Komentarze (1)
reklama
Popularne produkty
Sukienka z efektem wody Nife S15
Sukienka z efektem wody Nife S15
w 9
sklepach od 102,87 zł
Sukienka z efektem wody Nife S15
Smartfon SONY ERICSSON Xperia neo V
Smartfon SONY ERICSSON Xperia neo V
w 20
sklepach od 770,00 zł
Smartfon SONY ERICSSON Xperia neo V
Pobierz bezpłatnego e-booka 
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
Rekomendacje
Program miesiąca
reklama