Algorytm powstrzymujący rozprzestrzenianie robaków w sieci

Naukowcy z Uniwersytetu Pensylwania opracowali algorytm pozwalający blokować rozprzestrzenianie samo propagujących się robaków w sieciach korporacyjnych, utrzymując jednocześnie zainfekowane systemy w stanie pozwalającym na wykonywanie ich legalnych zadań.

Według zapewnień twórców, używając wymyślonego przez nich algorytmu można szybko "zmierzyć" jak złośliwe są robaki i powstrzymać ich rozprzestrzenianie, utrzymując przy tym współczynnik fałszywych rozpoznań na poziomie mniejszym niż 5 proc.

W połączeniu z inteligentnymi przełącznikami, algorytm Worm Virulence Estimation może rozpoznawać, które maszyny są zainfekowane i które pakiety przez nie wysyłane to próba rozpowszechniania robaka. System blokuje wtedy takie pakiety.

Pozwala to zainfekowanym komputerom na kontynuowanie autoryzowanych działań i usuniecie robaka w czasie bardziej dogodnym, zamiast poddawać komputer natychmiastowej kwarantannie, odłączając go od sieci.

System blokowania robaków składa się z oprogramowania pracującego na inteligentnych przełącznikach i centralnej konsoli bezpieczeństwa. Nie używa natomiast oprogramowania klienckiego, pracującego na desktopach i serwerach w sieci.

Kiedy samo propagujące się robaki sondują inne maszyny w sieci poszukując otwartych portów, które pozwolą im dostać się do nieszczelnych maszyn, oprogramowanie zainstalowane w inteligentnych przełącznikach rejestruje takie pakiety jako podejrzane, jeżeli wysyłane są do zamkniętych portów.

Takie dane są wysyłane do konsoli bezpieczeństwa, która analizuje dane w celu określenia czy te podejrzane pakiety zostały pomyślnie wysłane do innych maszyn, które wtedy rozpoczynają podobne działania sondujące. Im szybciej pojawiają się nowo zainfekowane maszyny, tym bardziej złośliwy jest robak.

Konsola bezpieczeństwa może być ustawiona na blokowanie podejrzanych pakietów, które mogą infekować inne maszyny. Administrator może określić liczbę zainfekowanych maszyn wyznaczającą próg, po przekroczeniu którego pakiety zaczną być blokowane. System może wykrywać robaki przy zaledwie czterech zainfekowanych maszynach i zapewnia wysoki współczynnik identyfikowania rzeczywiście złośliwych pakietów.

Algorytm bierze także pod uwagę liczbę maszyn, które robak może zainfekować, jeżeli nie będzie kontrolowany, i jeśli ryzyko dotyczy dużej populacji maszyn, to zastosowanie środków blokujących podejrzane pakiety mogą być oceniane jako bardziej pilne.

Wykorzystywanie "złośliwości" jako czynnika określający próg, pozwala na znalezienie optymalnego balansu pomiędzy zatrzymaniem rozprzestrzeniania się robaka i blokowaniem pewnej części ruchu legalnego, który może być błędnie sklasyfikowany jako złośliwy.

Algorytm nie korzysta z sygnatur kodów złośliwych, tak więc może wykrywać zarówno znane kody złośliwe jak i nowe.

Algorytm i eksperymentalne oprogramowanie jest wykorzystywane do projektowania komercyjnego produktu przez nowopowstałą spółkę Day Zero Systems.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200