Остановить паразита
АрхивОнлайнАмериканские учёные из Университета штата Огайо и Университета Пурдю разработали новый метод выявления сетевых червей, который позволит блокировать заражённые машины с высокой точностью.
Червь - это не только животное, но ещё и мерзкая вредоносная саморазмножающая программа, которая в отличии от вируса, инфицирующего другие файлы, существует самостоятельно. Бороться с ними непросто, и, в то же время, вреда они причиняют предостаточно. Например, они могут организовывать массированные DoS-атаки, перегружая сайт запросами и, соответственно, ограничивая доступ к нему простым пользователям или использоваться для создания ботнетов. Да и сам процесс распространения червей существенно порождает большое количество траффика.
Как же остановить этих мерзких злоумышленников? Конечно существуют всевозможные продвинутые алгоритмы выявления поведения червей, но все они не очень надёжны. Но недавно учёные из Университета штата Огайо совместно со специалистами из Университета Пурдю разработали новый метод, который, к тому же, по минимуму вмешивается в работу пользователей. По словам одного из исследователей, профессора Несса Шроффа, метод предназначен для использования в больших корпоративных сетях, где с помощью него будут выявляться компьютеры, для постановки на карантин и проверки на наличие заразы.
Лучше всего разработка американских учёных работает на червях, которые бессистемно прочёсывают Сеть на предмет уязвимых машин, подлежащих заражению. В качестве примера можно привести червя Code Red, инфицировавшего в 2001 году более 359000 компьютеров всего за 14 часов. Ущерб, причинённый его действиями, оценивается в 2,6 миллиарда долларов.
Хотя этот червь уже существует давно и хорошо известен, он всё ещё опасен. Исследователь Курт Ролофф из BBN Technologies считает, что размножение червей этого класса, не смотря на их примитивность и лёгкость в разработке, очень сложно сдерживать. По его мнению, понимание того, как работают эти маленькие, но, в то же время, проблемные вредоностные программы, исследователи смогут понять, что делать со сложными.
Стратегия, разработанная учёными, основана на новой модели, позволяющей предсказать, как черви будут распространяться. Большинство нынешних моделей поведения этих программ полагается на модели реальных эпидемий, но они более точны на поздних стадиях заражения. Согласно новой, залогом успеха распространения червя на ранних стадиях, становится то, сколько раз вредоносной программе приходится сканировать интернет на предмет своего будущего носителя.
Другие способы сдерживания распространения червей фокусировались на том, насколько изменяется число запросов от одного компьютера за каждый определённый промежуток времени и это, по словам Шроффа, могло доставить неприятности простым пользователям. Таким образом, заблокированной могла оказаться машина человека, который некоторое время ничего не делал за компьютером, а потом начинал, скажем, работать в режиме аврала, активно используя Сеть.
Шрофф полагает, что отслеживание частоты запросов за более протяжённый промежуток времени позволит исключить такие ситуации и в то же время активно сдерживать червя. Он говорит, что новый метод позволяет получить определённую информацию о вредоносной программе каждый раз, когда она использует разные способы заражения и при этом не находит кандидата на инфицирование. Хотя система разработана для того, чтобы работать с червями, которые сканируют интернет случайным образом, исследователи приспособили её и для обнаружения червей, атакующих конкретные локальные сети.
Этот метод, прежде всего, предназначен для корпоративных сетей, в которых инфицированные компьютеры сотрудников можно быстро заменить на запасные, пока специалист осмотрит подозрительную машину. Для дома и малого бизнеса он, увы, подходит плохо, потому как предполагает невозможность пользоваться заражённым ПК.
В будущем, специалисты намерены адаптировать свою систему под ещё более конкретно направленных червей. Шрофф говорит, что сейчас он и его коллеги работают над возможностью разработки методов остановки распространения вредоносного ПО на уровне машины, инициировавшей эпидемию. Другим возможным развитием метода является разработка ПО для маршрутизаторов, которое позволяет отслеживать подозрительный траффик. Такой подход позволит наблюдать за множеством компьютеров из одной точки, но потребуют изменения принципа работы роутеров. Сейчас они следят только за тем, куда траффик направляется, а с введением в строй новой системы, им придётся отслеживать и его источники.
- По материалам Technology Review