Проба на вирулентность

Исследователи Пенсильванского университета создали экспериментальную систему, способную предотвратить эпидемию компьютерного червя в локальной/корпоративной сети без отключения зараженных машин. По результатам моделирования уровень ложных срабатываний составил менее 5%.

Система основана на алгоритме оценки степени вредоносности червя — качества, которое авторы проекта назвали вирулентностью (virulence). После внедрения в сеть самоходный зловред начинает сканировать отдельные участки в поисках открытых портов, чтобы получить доступ к уязвимым хостам. Наметив цель, он отсылает пакет и поражает ее. Разбиение ресурсов сети на функциональные группы облегчает задачу червя, так как внутри кластера инфекция распространяется с большой быстротой.

В соответствии с алгоритмом система определяет масштабы возможной эпидемии, регистрируя пораженные хосты и те пакеты, которые они отсылают для дальнейшего распространения инфекции. Алгоритм задает пороговое значение, не превышающее среднее число сканов, производимых червем для поражения очередной жертвы. Если этот порог превзойден, система может заблокировать подозрительные отправления без ущерба для легитимного трафика.

Для локализации инфекции вся сеть поделена на небольшие ячейки. Червь может распространяться внутри ячейки, но не выходит за ее пределы. За это отвечает программируемый экран, установленный на входном коммутаторе каждой ячейки. Он регистрирует попытки доступа к закрытым портам, присваивает пакетам статус подозрительных и пересылает всю информацию на управляющую консоль. Обрабатывающий центр определяет эффективность распространения червя и степень угрозы: чем быстрее растет популяция инфицированных машин, тем выше вирулентность червя. Установки клиентских программ при этом не требуется.

Настройки консоли позволяют блокировать подозрительные пакеты, пересылка которых чревата увеличением числа жертв. Можно изменять точность оценки и отсеивать только явно вредоносные пакеты, а также лимитировать количество инфицированных узлов, при котором целесообразно разрешить блокировку. Более того, новый алгоритм учитывает число машин, которые могут быть заражены, если не сдержать эпидемию, и сигнализирует о степени риска.

Университетские исследователи проверили эффективность механизма при разных методах сканирования, которые могут использовать сетевые черви. Как выяснилось, для обнаружения присутствия червя в сети системе достаточно четырех инфицированных машин — втрое меньше, чем аналогичным технологиям. Алгоритм надежно работает на ранней стадии развития инфекции, защищает от известных и новых угроз, так как не использует сигнатурный анализ. Авторы проекта опубликовали результаты в февральском выпуске журнала Computers and Security (т. 29, № 1, с. 104-123, доступ бесплатен) и приступили к коммерческой реализации.