Tracing Fast-moving Worms 빠른 - 움직이는 벌레를 추적

Trojans that steal your bank details and botnets that zombify computers have taken the place of fast-spreading worms in the popular headlines. 귀하의 거래 은행에 대한 자세한 내용 및 botnets 훔치는 트로이 목마가 컴퓨터에있는 zombify의 장소는 빠른 - 확산 웜을 점령에 대한 대중의 헤드 라인. It’s been a while since we had a global infestation on the scale of MyDoom, Sobig, or ILOVEYOU. 이후 상당한 시간이 지났는데 우리는 규모의 글로벌 사육 mydoom, sobig, 또는 iloveyou합니다. However, worms, self-replicating computer programs that spread across a network, are still at the top of the critical lists when it comes to computer security. 그러나, 웜, 자기 - 복제 컴퓨터 프로그램이 네트워크를 통해 확산은 여전히 중요한 목록 상단에있는 컴퓨터 보안을 맞출 때는합니다.

After all, it is only the headlines that have changed, those botnets are created by the spread of specific worms and similarly Trojans are often delivered by a worm. 결국, 그것은 이전과 변화가있는 헤드 라인만이 이들의 확산에 의해 만들어집니다 botnets은 특정 웜, 트로이 목마는 종종 이와 유사 웜에 의해 전달합니다.

Indrajit Ray 레이 indrajit a computer science professor at Colorado State University, Andrew Burt CEO of security company 콜로라도 주립 대학 컴퓨터 과학 교수, 앤드류 버트의 보안 회사 대표 이사 Techsoft techsoft , based in Golden, Colorado, graduate student Michael Darschewski and Prof Ramakrishna Thurimella of the University of Denver and Hailin Wu senior network engineer at 를 기반으로 골든, 콜로라도 주, 대학원생 마이클 darschewski과 덴버 대학의 교수 및 ramakrishna thurimella 우 hailin 네트워크 엔지니어 선임 Array Networks 어레이 네트워크의 have developed two new approaches to finding the origin of a worm infection. 두 개의 새로운 접근법을 찾기가 개발한 웜 감염의 근원을합니다. One spots ongoing worm attack, the other works forensically after an attack has occurred. 한 관광 명소 지속적인 웜 공격, 공격 이후 다른 작품 기법가 발생했습니다.

The researchers point out that conventional approaches to fending off malicious code use signatures, snippets of identifying code found in the worm. 연구 지적이 악의적인 코드를 사용하는 전통적인 접근을 지키는 서명, 식별 코드의 미리보기에서 발견된 웜. However, some worms spread so quickly that there is often not enough time to update security software with the new codes before the damage is done. 그러나, 일부 바이러스 확산이 그렇게 빨리가있다는 종종 보안 소프트웨어를 업데이 트 충분한 시간을 안에 새로운 코드가 이전에 손상이 완료합니다. Some worms can infect millions of host computers across the internet within a matter of minutes. 일부 웜 수있습니다 수백만의 호스트 컴퓨터를 감염 문제가 몇 분 내에 인터넷을 통해합니다.

The automatic distributed mechanism looks for the propagation roots of a fast-spreading internet worm. 자동 분산 메커니즘의 뿌리를 찾습니다 번식 속도가 빠른 - 확산 인터넷 웜. It can identify local worm outbreaks, spot network intrusion, locate internal network abuse, and assist in tracing the worm back to its source. 그것 식별할 수있습니다 현지 웜에 감염, 현물 네트워크 침입, 내부 네트워크를 찾습니다 학대, 그리고 도움이 웜에 위로의 소스를 추적합니다. The team adds that their method works alongside more conventional intrusion detection, bandwidth throttling and human-mediated responses to protect a network. 그들의 방법을 추가하는 팀을와 함께 작동합니다 더 많은 기존의 침입 탐지, 대역폭 조절을하고 네트워크를 보호하기 위해 인간 - 중개 답변합니다.

The approach is quite simple and relatively easy to deploy. 접근법은 아주 간단하고 상대적으로 쉬운를 배포합니다. “Our system is based on the observation that in order for any worm to spread rapidly, the moment it compromises a host, it must immediately identify a new set of victims,” the researchers explain, “Infection will almost surely be manifested by an explosive rate of outbound connection attempts from the site.” "우리의 시스템을 기반으로 웜에 대한 관찰을 확산하기 위해이 빠른 속도로, 그 순간 절충 호스트, 그것을 즉시해야합니다 피해자의 새 세트를 식별,"그 연구자 설명, "감염은 거의 반드시 폭발하는 적하 목록 비율이 사이트에서 아웃 바운드 연결을 시도합니다. "

The key to combating this infection is to deploy a monitoring program at the network gateways that spots such flash floods of outbound connection attempts, assumes that can only be due to the presence of a fast-spreading worm and blocks the activity almost instantaneously. 이 감염을 퇴치의 열쇠를 모니터링 프로그램을 배포하는가 관광 명소의 네트워크 게이트웨이가 같은 홍수의 아웃 바운드 연결을 시도하고 있다고 가정의 존재로 인해 수있습니다 속도가 빠른 - 확산 웜 및 블록의 활동이 거의 즉시합니다. Of course, the network administrator could whitelist any legitimate programs that may mimic such activity and so prevent false positives and network downtime for such programs. 물론, 네트워크 관리자는이 허용된 사이트 목록을 모방 나타날 수있는 모든 합법적인 프로그램이 그러한 활동을 그래서 그러한 프로그램을 막기 위해 그럴듯한 및 네트워크가 중단합니다. More importantly, the monitors can work in reverse identifying network upstream neighbors and so figure out where the root is. 더 중요한 것은, 반대로 일할 수있습니다 식별 네트워크를 모니터하고 너무 알아낼 상류 이웃 루트는 어디에.

The team’s simulations of worm infections show that even if only 20 to 30% of computers in a network have deployed the system, then the origin of a worm can nevertheless be pinpointed with great precision. 이 웜에 감염을 시뮬레이션 팀에 따르면 컴퓨터의 경우에도 20-30% 전용 네트워크에서 시스템에 배포한 다음 웜의 기원을 정확히 될 수 그럼에도 불구하고 매우 정밀합니다.

Details of the distributed worm defense can be found in the January issue of 자세한 내용은 분산 웜 방위 1 월 문제에서 찾을 수있습니다 International Journal of Security and Networks (2008, 3, 36-46) 국제 저널의 보안 및 네트워크 (2008 년 3, 36에서 46 사이) . 합니다. You can get a free white paper on security for your business entitled ” 을 얻을 수있습니다 보안에 대한 백서를 무료로 귀하의 비즈니스에 제목이 " 7 Essential Steps to Achieve, Measure and Prove Optimal Security Risk Reduction 7 필수적인 단계를 달성, 측정 및 입증 최적의 보안 위험을 감소 here. 여기에합니다. The white paper is published by Qualys and is available from our partner site for free. 이 백서에 의해 출판 qualys는 우리의 파트너 사이트에서 사용할 수 있으며 무료로합니다.