Innehåller Internetmaskar

Spridningen av internetmaskar skulle kunna stoppas tidigt genom att använda en ny metod för att titta på datorer för beteendet som uppvisas av infekterade värdar, enligt forskning som nyligen publicerats i IEEE-transaktioner på pålitlig och säker datoranvändning . Även om det finns andra metoder för att skydda mot maskar, är den nya strategin utformad för att minimera interferens med användarnas normala arbetsmönster, säger Ness Shroff , en professor vid den elektriska ingenjörsavdelningen vid Ohio State University, som var involverad i forskningen. Forskarna föreställer sig att tekniken används i företagsnätverk, där den kan identifiera datorer som behöver sättas i karantän och kontrolleras för infektion.

Internetmaskar kan anlitas för att starta överbelastningsattacker, som översvämmer en webbplats så att legitima användare inte kan komma åt den, eller installera bakdörrar som kan användas för att skapa botnät . Ett stort antal infekterade datorer kan avsevärt bromsa internettrafiken, även om maskarna inte gör något annat än att sprida sig.

Purdue University och Ohio State metoden för att förhindra att maskar sprids fungerar i första hand för en klass av maskar som slumpmässigt skannar Internet i jakt på sårbara värdmaskiner för att infektera. En sådan mask var Code Red , som infekterade mer än 359 000 datorer på mindre än 14 timmar 2001, och till slut orsakade uppskattningsvis 2,6 miljarder dollar i skador. Även om denna typ av mask har funnits ett tag, Kurt Rohloff , en forskare inom teknikgruppen för distribuerade system vid BBN Technologies , säger att det fortfarande är farligt. Det här är en väldigt enkel klass av maskar som är väldigt lätta att utveckla och programmera, men samtidigt är de inte lika lätta att hålla tillbaka, säger han. Om vi ​​kunde förstå dessa ganska enkla men fortfarande problematiska maskar skulle vi förhoppningsvis kunna ta itu med de mer så kallade luriga maskarna.

Forskarna baserar sin strategi på en ny modell som de designat för hur maskar sprids. Många befintliga modeller är baserade på en analogi till spridningen av epidemier, säger Shroff, men de är mer exakta i senare skeden av en infektion. Forskarnas modell var speciellt utformad för noggrannhet i de tidiga stadierna av infektion, och den avslöjade att nyckeln till huruvida en mask kan spridas framgångsrikt eller inte är det totala antalet gånger som en infekterad värd skannar internet i försök att hitta nya värdar. att infektera.

Medan andra metoder för att begränsa maskar har fokuserat på att övervaka datorer för förändringar i hastigheten med vilken de skannar internet från ögonblick till ögonblick, säger Shroff att detta kan störa användarnas dagliga aktiviteter. Skanningshastigheterna fluktuerar mycket, så om du går online kanske du skannar många gånger under en väldigt kort tidsperiod och sedan inte skannar alls, säger han. Vi ansåg att skanningshastigheten var för restriktiv och kunde störa den normala driften av nätverket. Genom att övervaka volymen av skanningar över en längre tidsperiod, säger han, är det möjligt att begränsa maskar samtidigt som tröskeln hålls för hög för att vanliga användare ska kunna larma. Programvara kan övervaka antalet skanningar varje dator i ett nätverk skickar och sätter alla datorer i karantän som överstiger det antalet. Shroff hoppas att en ändring av kriterierna för att misstänka infektion på detta sätt kommer att minska sannolikheten för att legitima skanningar av Internet skulle flaggas som maskaktivitet.

På sätt och vis, vad vi gör är att dra fördel av det faktum att den här masken försöker många saker och missar många gånger, och varje gång den missar, ger den ut lite information, säger Shroff. Även om systemet är designat för att hantera scanningsmaskar som söker sårbara värdar på måfå, har forskarna också anpassat det för maskar som riktar sina attacker mot specifika lokala nätverk.

Shroff anser att systemet bäst skulle kunna användas i företagsnätverk, särskilt i situationer där extra datorer finns tillgängliga som kan täcka en arbetsbelastning medan eventuellt infekterade datorer undersöks. Det kanske inte fungerar lika bra för små företag eller i hemnätverk, eftersom att ta en dator offline kan vara en för stor störning för användarna, säger han.

Rohloff säger att han skulle kunna tänka sig att ett sådant system skulle vara effektivt, men han varnar: Fördomen skulle naturligtvis vara att det skulle skydda lokala nätverk från infektioner som redan finns i nätverket. Det skulle inte göra så mycket för att skydda nätverk från infektioner som kommer utifrån. Han tillägger att även om forskarnas modell och initiala simuleringar ser bra ut, skulle han vara nyfiken på att se en mer grundlig analys av hur ofta systemet misstänker att en dator är infekterad med en mask när ingen mask faktiskt är närvarande.

Forskarna i Purdue och Ohio State föreslår att framtida arbete kan söka efter sätt att anpassa sina verktyg för allt mer riktade maskar. Shroff säger att medan han och hans kollegor nu koncentrerar sig på att stoppa maskar på värddatornivå, kan en annan möjlig riktning vara att göra mjukvara som gör det möjligt för routrar att titta efter misstänkta trafikmönster. Även om ett sådant tillvägagångssätt skulle kunna göra det möjligt för ett relativt stort antal datorer att övervakas från en enda punkt, skulle det också kräva betydande förändringar av hur routrar fungerar. Även om de för närvarande bara håller reda på destinationen för internettrafik, måste de börja hålla reda på dess källa också.

Dölj