OpenDNS twórcą nowatorskiej metody wykrywania sieciowych zagrożeń

Firma jest twórcą technologii, która umożliwia wykrywanie zagrożeń przy wykorzystaniu analizy wzorców ruchu sieciowego opartej na teorii dźwięku. Firma zaprezentowała niedawno dwie bazujące na tej technologii metody detekcji sieciowych zagrożeń, z których jedna pozwala przewidywać, w jakich domenach może się pojawić złośliwy kod.

Pierwszy, podstawowy model nosi nazwę SPRank (Spike Rank). To „sonar bezpieczeństwa” działający podobnie jak system służący do detekcji specyficznych dźwięków, umożliwiając wyizolowanie z tła sygnałów świadczących o wrogim ataku. OpenDNS wykorzystał tu doświadczenia takich firm jak Pandora i Shazam (oferujących internetową muzykę), które ulepszyły systemy odsłuchu muzyki poprzez badanie dźwięków przesyłanych prze sieć.

SPRank to mechanizm automatycznej analizy “dźwięków sieci”, który jest w stanie wykrywać wzorce szkodliwego ruchu analizując ciągu jednego dnia 12 terbajtów danych, to jest blisko 2% całego światowego ruchu, jaki obsługuje w tym czasie Internet. Kontynuując porównanie do teorii dźwięku, generowany przez sieć ruch wygląda jak zakłócenia zniekształcające muzykę. Zakłócenia, które mają charakter krótkich, wysokich dźwięków.

Zobacz również:

  • Petya Wielki… Problem

Firma twierdzi, że w każdej godzinie SPRank identyfikuje kilkaset nowych zarażonych przez szkodliwe oprogramowanie domen, z których ponad jedna trzecia nie została wcześniej wykryta przez żaden ze znanych skanerów antywirusowych lub innych systemów zabezpieczania sieci.

Drugi model nosi nazwę Predictive IP Space Monitoring. Umożliwia on wykrycie ataków zanim zostaną uruchomione. Wykorzystuje on do tego celu informacje o zainfekowanych domenach dostarczone przez SPRank. Jest to punkt wyjścia do dalszej analizy opartej na ośmiu głównych wzorcach zachowań cyberprzestępców. Wzorce te dotyczą na przykład sposobu w jaki pojawiają się w sieci i hostują złośliwą zawartość serwery służące do wrogich działań. Analiza tych informacji pozwala na określenie, które zainfekowane domeny będą w przyszłości źródłem nowych ataków.

Jak podaje firma OpenDNS (przejęta w połowie zeszłego roku przez Cisco) przeprowadzone przez nią testy wykazały, że nowa technologia pozwala identyfikować w ciągu każdej godziny ok. 300 nowych domen, które potencjalnie mogą być w przyszłości źródłem wrogiej aktywności.