Tracing Fast-moving Worms Tracing évolution rapide vers

Trojans that steal your bank details and botnets that zombify computers have taken the place of fast-spreading worms in the popular headlines. Les chevaux de Troie que voler vos coordonnées bancaires, ainsi que les réseaux de zombies zombify ordinateurs ont pris la place de la diffusion rapide vers dans les titres populaires. It’s been a while since we had a global infestation on the scale of MyDoom, Sobig, or ILOVEYOU. Il a été depuis un certain temps, nous avons eu une infestation mondial sur l'échelle de MyDoom, Sobig, ou ILoveYou. However, worms, self-replicating computer programs that spread across a network, are still at the top of the critical lists when it comes to Toutefois, les vers, capable de se répliquer des programmes informatiques qui se propagent à travers un réseau, sont toujours en haut de la liste critique quand il s'agit de computer security la sécurité informatique .

After all, it is only the headlines that have changed, those botnets are created by the spread of specific worms and similarly Trojans are often delivered by a worm. Après tout, ce n'est que les titres qui ont changé, les réseaux de zombies sont créées par la propagation des vers et même les chevaux de Troie sont souvent livrés par un ver.

Indrajit Ray Indrajit Ray a computer science professor at Colorado State University, Andrew Burt CEO of security company un professeur d'informatique à Colorado State University, Andrew Burt chef de la direction de la sécurité société Techsoft , based in Golden, Colorado, graduate student Michael Darschewski and Prof Ramakrishna Thurimella of the University of Denver and Hailin Wu senior network engineer at , Basée à Golden, Colorado, étudiant diplômé de Michael Darschewski et Ramakrishna Thurimella Professeur de l'Université de Denver et hailin Wu hauts ingénieur réseau à Array Networks Réseaux Array have developed two new approaches to finding the origin of a worm infection. ont développé deux nouvelles approches pour trouver l'origine d'une infection par le ver. One spots ongoing worm attack, the other works forensically after an attack has occurred. Une des taches en cours ver attaque, les autres œuvres légalement après une attaque a eu lieu.

The researchers point out that conventional approaches to fending off malicious code use signatures, snippets of identifying code found in the worm. Les chercheurs soulignent que les approches conventionnelles de se débrouiller hors de code malveillant utilisation des signatures, des extraits du code d'identification, veuillez consulter le ver. However, some worms spread so quickly that there is often not enough time to update security software with the new codes before the damage is done. Toutefois, certains vers se transmet-il aussi rapidement qu'il n'est souvent pas assez de temps pour mettre à jour les logiciels de sécurité avec les nouveaux codes avant que le dommage est fait. Some worms can infect millions of host computers across the internet within a matter of minutes. Certains vers peuvent infecter des millions d'ordinateurs hôtes sur Internet en quelques minutes.

The automatic distributed mechanism looks for the propagation roots of a fast-spreading internet worm. Le mécanisme automatique distribué en cherchant les racines de la propagation rapide propagation du ver Internet. It can identify local worm outbreaks, spot network intrusion, locate internal network abuse, and assist in tracing the worm back to its source. Il peut identifier des flambées locales ver, place d'intrusion réseau, localiser réseau interne abus, et d'aider à retrouver le ver de retour à sa source. The team adds that their method works alongside more conventional intrusion detection, bandwidth throttling and human-mediated responses to protect a network. L'équipe ajoute que leur méthode de travaille en collaboration avec plus classiques de détection d'intrusion, la largeur de bande et la régulation de l'homme-la médiation des réponses pour protéger un réseau.

The approach is quite simple and relatively easy to deploy. L'approche est assez simple et relativement facile à déployer. “Our system is based on the observation that in order for any worm to spread rapidly, the moment it compromises a host, it must immediately identify a new set of victims,” the researchers explain, “Infection will almost surely be manifested by an explosive rate of outbound connection attempts from the site.” «Notre système est basé sur l'observation que, pour tout ver de se propager rapidement, au moment où elle compromet un hôte, il doit identifier immédiatement une nouvelle série de victimes», expliquent les chercheurs, "Infection presque certainement se manifester par un explosif taux de tentatives de connexion de sortie du site. "

The key to combating this infection is to deploy a monitoring program at the network gateways that spots such flash floods of outbound connection attempts, assumes that can only be due to the presence of a fast-spreading worm and blocks the activity almost instantaneously. La clé de la lutte contre cette infection est de déployer un programme de surveillance au réseau de passerelles telles que les taches crues soudaines sortant de tentatives de connexion, l'hypothèse qui ne peut être due à la présence d'une rapide propagation du ver et bloque l'activité presque instantanément. Of course, the network administrator could whitelist any legitimate programs that may mimic such activity and so prevent false positives and network downtime for such programs. Bien sûr, l'administrateur réseau pourrait liste blanche toute légitime des programmes qui imitent mai cette activité et afin d'éviter les faux positifs et d'arrêt du réseau pour de tels programmes. More importantly, the monitors can work in reverse identifying network upstream neighbors and so figure out where the root is. Plus important encore, les observateurs peuvent travailler dans le sens inverse identification réseau en amont voisins et déterminer où est la racine.

The team’s simulations of worm infections show that even if only 20 to 30% of computers in a network have deployed the system, then the origin of a worm can nevertheless be pinpointed with great precision. L'équipe de simulation de ver infections montrent que, même si seulement 20 à 30% des ordinateurs dans un réseau ont déployé le système, puis l'origine d'un ver peut néanmoins être mis en évidence avec une grande précision.

Details of the distributed worm defense can be found in the January issue of Détails de la défense distribué ver peut être trouvée dans la question de Janvier International Journal of Security and Networks (2008, 3, 36-46) Revue internationale de sécurité et des réseaux (2008, 3, 36-46) . . You can get a free white paper on security for your business entitled ” Vous pouvez obtenir gratuitement un livre blanc sur la sécurité de votre entreprise intitulée " 7 Essential Steps to Achieve, Measure and Prove Optimal Security Risk Reduction 7 étapes essentielles pour atteindre, de mesurer et de prouver une sécurité optimale de réduction des risques here. ici. The white paper is published by Qualys and is available from our partner site for free. Le livre blanc est publié par Qualys et est disponible sur notre site partenaire gratuitement.