Tracing Fast-moving Worms تعقب سريعه التحرك الديدان

Trojans that steal your bank details and botnets that zombify computers have taken the place of fast-spreading worms in the popular headlines. Trojans ان سرقة البنك الذى تتعامل معه في التفاصيل وbotnets ان zombify الحواسيب التي اتخذتها مكان السريعه الانتشار الديدان الشعبية في العناوين. It’s been a while since we had a global infestation on the scale of MyDoom, Sobig, or ILOVEYOU. انها كانت منذ بعض الوقت كان لنا العالمي وتفشي على نطاق mydoom ، sobig ، او iloveyou. However, worms, self-replicating computer programs that spread across a network, are still at the top of the critical lists when it comes to ومع ذلك ، والديدان ، وتكرار الذات برامج الكومبيوتر ان تنتشر عبر شبكة ، لا تزال على راس قوائم الحرجه عندما يتعلق الامر computer security الحاسوب الامن .

After all, it is only the headlines that have changed, those botnets are created by the spread of specific worms and similarly Trojans are often delivered by a worm. على كل حال ، هي وحدها التي تغيرت العناوين ، botnets هي تلك الناجمة عن انتشار الطفيليات ومحددة وبالمثل trojans غالبا ما تكون الدوده التي ينجزها.

Indrajit Ray Indrajit شعاع a computer science professor at Colorado State University, Andrew Burt CEO of security company أ استاذ علوم الكمبيوتر في جامعة كولورادو ، اندرو برت الرئيس التنفيذي لشركة امنية Techsoft , based in Golden, Colorado, graduate student Michael Darschewski and Prof Ramakrishna Thurimella of the University of Denver and Hailin Wu senior network engineer at ، الذي يوجد مقره في غولدن ، كولورادو ، لطلاب الدراسات العليا وأستاذ darschewski مايكل ramakrishna thurimella من جامعة دنفر وhailin وو كبار في شبكة المهندس Array Networks مجموعة شبكات have developed two new approaches to finding the origin of a worm infection. وضعت اثنين من نهج جديدة لايجاد مصدر للعدوى الدوده. One spots ongoing worm attack, the other works forensically after an attack has occurred. بئر واحدة الجاريه دودة الهجوم ، وغير ذلك من الاشغال عدليا بعد الهجوم قد وقع.

The researchers point out that conventional approaches to fending off malicious code use signatures, snippets of identifying code found in the worm. الباحثون ان اشير الى ان النهج التقليديه لصيانة الخبيثه من قانون استخدام التوقيعات ، قصاصات من العثور عليها في قانون تحديد الدوده. However, some worms spread so quickly that there is often not enough time to update security software with the new codes before the damage is done. غير ان بعض الديدان انتشار بسرعة بحيث لا يوجد في كثير من الاحيان ما يكفي من الوقت لتحديث برامج الأمان مع القوانين الجديدة قبل القيام به الضرر. Some worms can infect millions of host computers across the internet within a matter of minutes. بعض الديدان يمكن ان تصيب الملايين من الحواسيب المضيفه عبر شبكة الانترنت في غضون دقائق معدوده.

The automatic distributed mechanism looks for the propagation roots of a fast-spreading internet worm. توزيع الآلي يتطلع اليه لاكثار جذور بسرعة انتشار دودة الانترنت. It can identify local worm outbreaks, spot network intrusion, locate internal network abuse, and assist in tracing the worm back to its source. ويمكن تحديد المحلية تفشي الدوده ، بقعة شبكة الاقتحام ، واساءة استعمال موقع الشبكه الداخلية ، والمساعدة في تعقب الدوده العودة الى مصدرها. The team adds that their method works alongside more conventional intrusion detection, bandwidth throttling and human-mediated responses to protect a network. ويضيف ان الفريق يعمل جنبا الى جنب مع طريقة كشف التسلل الأكثر تقليدية ، وعرض النطاق الترددي وحقوق الخنق بواسطة الاستجابات لحمايه الشبكه.

The approach is quite simple and relatively easy to deploy. النهج بسيط للغاية وسهلة نسبيا للنشر. “Our system is based on the observation that in order for any worm to spread rapidly, the moment it compromises a host, it must immediately identify a new set of victims,” the researchers explain, “Infection will almost surely be manifested by an explosive rate of outbound connection attempts from the site.” "نظامنا واستنادا الى الملاحظه انه من اجل اي لدودة تنتشر بسرعة ، لحظة لانه يقوض مضيفه ، يجب ان تحدد على الفور مجموعة جديدة من الضحايا ،" شرح للباحثين ، "من شبه المؤكد ان الاصابة سوف تظهر من قبل متفجره معدل الصدد الى الخارج محاولات من الموقع. "

The key to combating this infection is to deploy a monitoring program at the network gateways that spots such flash floods of outbound connection attempts, assumes that can only be due to the presence of a fast-spreading worm and blocks the activity almost instantaneously. المفتاح لمكافحة هذه الاصابة لنشر برنامج الرصد في مداخل الشبكه ان هذه البقع السيول الى الخارج من محاولات الصدد ، يفترض ان لا يمكن الا ان يكون بسبب وجود انتشار سريع لبنات ودودة النشاط تقريبا. Of course, the network administrator could whitelist any legitimate programs that may mimic such activity and so prevent false positives and network downtime for such programs. وبطبيعة الحال ، فإن مدير الشبكه البيضاء اي شرعيه يمكن ان البرامج التي يمكن ان تقليد مثل هذا النشاط وحتى منع كاذبة ايجابيات الشبكه والتوقف عن مثل هذه البرامج. More importantly, the monitors can work in reverse identifying network upstream neighbors and so figure out where the root is. والأهم من ذلك ، يمكن لمراقبي العمل في عكس اتجاه تحديد شبكة المنبع الجيران وذلك من أصل حيث الشكل هو الجذر.

The team’s simulations of worm infections show that even if only 20 to 30% of computers in a network have deployed the system, then the origin of a worm can nevertheless be pinpointed with great precision. الفريق المحاكاه دودة الاصابات تظهر انه حتى لو كان فقط 20 الى 30 ٪ من الحواسيب في شبكة نشر قوات النظام ، ثم منشأ اي دودة واشارت الى ان يستطيع مع ذلك بقدر كبير من الدقه.

Details of the distributed worm defense can be found in the January issue of التفاصيل للتوزيع دودة الدفاع يمكن العثور عليها في كانون الثاني / يناير مسألة International Journal of Security and Networks (2008, 3, 36-46) المجله الدولية للامن والشبكات (2008 ، 3 ، 36-46) . . You can get a free white paper on security for your business entitled ” يمكنك الحصول على ورقة بيضاء حرة على الامن لعملك المعنون " 7 Essential Steps to Achieve, Measure and Prove Optimal Security Risk Reduction 7 خطوات اساسية لتحقيق وقياس واثبات الأمن الأمثل للحد من المخاطر here. هنا. The white paper is published by Qualys and is available from our partner site for free. الكتاب الابيض الذي نشره qualys ويمكن الحصول عليه من الموقع الشريكه لنا مجانا.