Исследователи из Университета штата Пенсильвания создали систему, способную
остановить распространение компьютерных червей в корпоративных сетях без
отключения от нее зараженных машин.
Разработанный ими алгоритм может быстро измерить степень вредоносности червя
и остановить его распространение. Уровень ложных срабатываний при этом находится
на отметке ниже пяти процентов.
При работе в связке с управляемыми коммутаторами алгоритм Worm Virulence
Estimation способен определить, какие именно машины заражены и какие пакеты они
отсылают для того, чтобы инфицировать другие компьютеры. Установив это, система
блокирует только вредоносные пакеты, не затрагивая остальной трафик с данных ПК.
Такой подход дает возможность оставлять зараженные компьютеры в работе до
момента очистки, а не отключать их от сети разом.
Новая система не использует вирусных сигнатур, а потому одинаково эффективна
в борьбе как с известными, так и с новыми червями. Для ее развертывания
необходимо установить на управляемых коммутаторах соответствующее ПО, после чего
связать их с единой консолью управления. На клиентских компьютерах никаких
программ не ставится.
Когда червь начинает производить сканирование портов в поисках уязвимостей,
попытки получения доступа к закрытым портам фиксируются на коммутаторе, а
отосланные на них пакеты расцениваются как подозрительные, после чего информация
об этом передается на центральную консоль. Она, в свою очередь, отслеживает
успешность рассылки таких пакетов на другие машины и то, не превратились ли они
после этого в распространителей червя. Чем быстрее появляются новые зараженные
машины, тем более серьезной признается степень угрозы.
После выявления вредоносных пакетов их передача по сети может быть
заблокирована, при этом момент начала блокировки пакетов настраивается
администраторами в зависимости от того, сколько машин уже поражено. Для
успешного определения новой эпидемии системе в большинстве случаев хватает
данных с четырех инфицированных ПК.
