Tracing Fast-moving Worms По следам быстро черви

Trojans that steal your bank details and botnets that zombify computers have taken the place of fast-spreading worms in the popular headlines. Троянов, которые крадут ваши банковские реквизиты и botnets, что zombify компьютеры имели место быстрого распространения червей в популярных газет. It’s been a while since we had a global infestation on the scale of MyDoom, Sobig, or ILOVEYOU. Это было в то время как, поскольку мы имели глобального заражения по шкале MyDoom, Sobig, или ILOVEYOU. However, worms, self-replicating computer programs that spread across a network, are still at the top of the critical lists when it comes to Тем не менее, черви, самоходные копирования компьютерных программ, распространение через сеть, до сих пор находятся на вершине списков критической, когда речь заходит о computer security компьютерная безопасность .

After all, it is only the headlines that have changed, those botnets are created by the spread of specific worms and similarly Trojans are often delivered by a worm. В конце концов, это только заголовки, которые были изменены, эти botnets создаются путем распространения конкретных червей и троянов же зачастую выступил червем.

Indrajit Ray Indrajit Ray a computer science professor at Colorado State University, Andrew Burt CEO of security company компьютерных наук профессор Государственного Университета Колорадо, Эндрю Берт генеральный директор охранной компании Techsoft , based in Golden, Colorado, graduate student Michael Darschewski and Prof Ramakrishna Thurimella of the University of Denver and Hailin Wu senior network engineer at , Базирующаяся в Голден, Колорадо, аспирант Майкл Darschewski и "Проф Рамакришна Thurimella в университете Денвера и Hailin Ву старшим инженером в сети Array Networks Array Сети have developed two new approaches to finding the origin of a worm infection. были разработаны два новых подходов к поиску происхождении червя инфекции. One spots ongoing worm attack, the other works forensically after an attack has occurred. Одна из точек постоянного червь нападения, другие произведения forensically после нападения имело место.

The researchers point out that conventional approaches to fending off malicious code use signatures, snippets of identifying code found in the worm. Исследователи отмечают, что традиционные подходы к fending покинуть вредоносный код использование подписей, выявления фрагментов кода в червем. However, some worms spread so quickly that there is often not enough time to update security software with the new codes before the damage is done. Тем не менее, некоторые распространения червей настолько быстро, что часто не достаточно времени для обновления программного обеспечения безопасности с новыми кодами, прежде чем ущерб причиняется. Some worms can infect millions of host computers across the internet within a matter of minutes. Некоторые черви могут заразить миллионы хост-компьютеров через Интернет в течение нескольких минут.

The automatic distributed mechanism looks for the propagation roots of a fast-spreading internet worm. Автоматический механизм распространен ищет распространения корней быстрого распространения интернет-червя. It can identify local worm outbreaks, spot network intrusion, locate internal network abuse, and assist in tracing the worm back to its source. Она может определять местные червь вспышек, местная сеть проникновения, обнаружения внутренней сети злоупотреблений, а также оказание помощи в розыске червь возвращается в его источника. The team adds that their method works alongside more conventional intrusion detection, bandwidth throttling and human-mediated responses to protect a network. Команда добавляет, что их метод работает вместе с более традиционными обнаружение вторжений, полосы пропускания и прав-опосредованных мер по защите сети.

The approach is quite simple and relatively easy to deploy. Подход достаточно прост и сравнительно легко развернуть. “Our system is based on the observation that in order for any worm to spread rapidly, the moment it compromises a host, it must immediately identify a new set of victims,” the researchers explain, “Infection will almost surely be manifested by an explosive rate of outbound connection attempts from the site.” "Наша система основана на замечание о том, что для того чтобы любой вирус быстро распространяться, момент его пребывания на компромиссы, он должен сразу определить новый комплекс жертвы", исследователям объяснить, "Инфекция будет почти наверняка будет проявляется взрывоопасных уровень исходящего связи с попытками сайт ".

The key to combating this infection is to deploy a monitoring program at the network gateways that spots such flash floods of outbound connection attempts, assumes that can only be due to the presence of a fast-spreading worm and blocks the activity almost instantaneously. Ключ к борьбе с этой инфекцией состоит в том, чтобы развернуть программу мониторинга на сети шлюзы, что такие пятна ливневые паводки исходящих связи попытки, предполагает, что только может быть связано с наличием быстрого распространения червя и блокирует деятельность почти мгновенно. Of course, the network administrator could whitelist any legitimate programs that may mimic such activity and so prevent false positives and network downtime for such programs. Естественно, администратор сети мог любой "белый список" законных программ, которые могут имитировать такую деятельность и так предотвращения ложных срабатываний и время простоя сети для таких программ. More importantly, the monitors can work in reverse identifying network upstream neighbors and so figure out where the root is. Что еще более важно, мониторы могут работать в обратном направлении выявления сетевых вверх по течению соседями и так себе, где корень есть.

The team’s simulations of worm infections show that even if only 20 to 30% of computers in a network have deployed the system, then the origin of a worm can nevertheless be pinpointed with great precision. Группы моделирования червя инфекции показывают, что даже если только 20 до 30% компьютеров в сети, развернули систему, то происхождение червя, тем не менее, может быть определены с большой точностью.

Details of the distributed worm defense can be found in the January issue of Сведения о распределенных червь обороны, можно найти в январском номере от International Journal of Security and Networks (2008, 3, 36-46) Международный журнал по безопасности и Сети (2008, 3, 36-46) . . You can get a free white paper on security for your business entitled ” Вы можете получить бесплатно "Белая книга" о безопасности для Вашего бизнеса, озаглавленный " 7 Essential Steps to Achieve, Measure and Prove Optimal Security Risk Reduction 7 Основные шаги для достижения, измерять и доказывать Оптимальное Безопасности Снижение риска here. здесь. The white paper is published by Qualys and is available from our partner site for free. Белая книга издается Qualys и доступна с нашего партнера-сайта бесплатно.