Naukowcy z Uniwersytetu Pensylwania opracowali algorytm pozwalający blokować rozprzestrzenianie samo propagujących się robaków w sieciach korporacyjnych, utrzymując jednocześnie zainfekowane systemy w stanie pozwalającym na wykonywanie ich legalnych zadań.
Według zapewnień twórców, używając wymyślonego przez nich algorytmu można szybko "zmierzyć" jak złośliwe są robaki i powstrzymać ich rozprzestrzenianie, utrzymując przy tym współczynnik fałszywych rozpoznań na poziomie mniejszym niż 5 proc.
W połączeniu z inteligentnymi przełącznikami, algorytm Worm Virulence Estimation może rozpoznawać, które maszyny są zainfekowane i które pakiety przez nie wysyłane to próba rozpowszechniania robaka. System blokuje wtedy takie pakiety.
Pozwala to zainfekowanym komputerom na kontynuowanie autoryzowanych działań i usuniecie robaka w czasie bardziej dogodnym, zamiast poddawać komputer natychmiastowej kwarantannie, odłączając go od sieci.
System blokowania robaków składa się z oprogramowania pracującego na inteligentnych przełącznikach i centralnej konsoli bezpieczeństwa. Nie używa natomiast oprogramowania klienckiego, pracującego na desktopach i serwerach w sieci.
Kiedy samo propagujące się robaki sondują inne maszyny w sieci poszukując otwartych portów, które pozwolą im dostać się do nieszczelnych maszyn, oprogramowanie zainstalowane w inteligentnych przełącznikach rejestruje takie pakiety jako podejrzane, jeżeli wysyłane są do zamkniętych portów.
Takie dane są wysyłane do konsoli bezpieczeństwa, która analizuje dane w celu określenia czy te podejrzane pakiety zostały pomyślnie wysłane do innych maszyn, które wtedy rozpoczynają podobne działania sondujące. Im szybciej pojawiają się nowo zainfekowane maszyny, tym bardziej złośliwy jest robak.
Konsola bezpieczeństwa może być ustawiona na blokowanie podejrzanych pakietów, które mogą infekować inne maszyny. Administrator może określić liczbę zainfekowanych maszyn wyznaczającą próg, po przekroczeniu którego pakiety zaczną być blokowane. System może wykrywać robaki przy zaledwie czterech zainfekowanych maszynach i zapewnia wysoki współczynnik identyfikowania rzeczywiście złośliwych pakietów.
Algorytm bierze także pod uwagę liczbę maszyn, które robak może zainfekować, jeżeli nie będzie kontrolowany, i jeśli ryzyko dotyczy dużej populacji maszyn, to zastosowanie środków blokujących podejrzane pakiety mogą być oceniane jako bardziej pilne.
Wykorzystywanie "złośliwości" jako czynnika określający próg, pozwala na znalezienie optymalnego balansu pomiędzy zatrzymaniem rozprzestrzeniania się robaka i blokowaniem pewnej części ruchu legalnego, który może być błędnie sklasyfikowany jako złośliwy.
Algorytm nie korzysta z sygnatur kodów złośliwych, tak więc może wykrywać zarówno znane kody złośliwe jak i nowe.
Algorytm i eksperymentalne oprogramowanie jest wykorzystywane do projektowania komercyjnego produktu przez nowopowstałą spółkę Day Zero Systems.
Redakcja Computerworld.pl nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
Ten
Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME - Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
© Copyright 2010 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88
