Meglepő ötlettel álltak elő a kaliforniai Davis egyetem és az Intel munkatársai. Olyan programrendszert terveztek, amely valós időben értékelné az egyes gépeken, mi kerül többe: a számítógépen éppen végzett feladat stratégiai értéke, vagy a fertőzés elhárítása érdekében annak hálózatról történő lekapcsolása.
Az már most is megvalósul, hogy a gépek érzékeljék (IDS), ha egy másik gép megpróbál ellenük támadást intézni, de ez nem okvetlenül őrzi meg a korábbi támadások információit. Ha egy vállalati környezetben gyanús, szokatlan hálózati tevékenységet észlelünk, felvetődhet, hogy ez egyaránt lehet ritka, de valós és legális tevékenység, illetve akár támadást is jelezhet. A hálózati adminisztrátornak ott a dilemma: ha nem kapcsolja le idejében, akkor a fertőzés veszélyeztet; ha pedig lekapcsolja a hálózatról, akkor esetleg kárt okozhat a folyamatos munkákban a hamis riasztás miatti pár órás kieséssel.
Sok fejfájást okozott a maga idejében a Blaster (MSBlast)
A szellemes ötlet lényege, hogy a gépek a rendellenes tevékenységekkel kapcsolatban információkat osszanak meg egymással. A PC-k a hálózati adatforgalomból folyamatosan értékelik annak valószínűségét, fennáll-e egy lehetséges, most induló féregtámadás esélye. Egyetlen gyanús aktivitás még nem mond túl sokat, de ha például száz gép közül 5-10 helyen is tapasztaljuk ugyanazt a szokatlan tevékenységet, akkor már joggal gyanakodhatunk.
A stratégia második része pedig egy olyan algoritmust használ, amely összehasonlítja, hogy az egyes gépeken pillanatnyilag mi kerül többe, a számítógépen éppen végzett feladat stratégiai értéke, vagy a fertőzés elhárítása érdekében annak hálózatról történő lekapcsolása. Ez az érték folyamatosan változik annak függvényében, hogy mekkora a támadás kiszámított valószínűsége, és attól is, hogy az adott számítógép éppen milyen jellegű munkákban vesz részt. Ha például egy online sales munkatárs gépét csak akkor kapcsolják le, ha egy támadás már teljességgel bizonyos, akkor ez valószínűleg több hasznot jelenthet, mint a kieeső munka egy esetleges hamis riasztás miatt. (Bár ha a féreg a vállalati vevőadatbázist lopja el éppen, akkor statisztika ide vagy oda, elkésett a a beavatkozás.) Ennek éppen az ellenkezője, ha valakinek a munkájához (szövegszerkesztés, helyi számítási vagy programozási feladatok, stb.) nem okvetlenül szükséges az online jelenlét, őt akkor is megéri leválasztani a hálózatról, ha igen nagy a vakriasztás esélye, hiszen ezzel a vállalatnál várhatóan nem keletkezik komoly bevétel kiesés.
Alex Dragulescu: MyDoom című festménye
A tanulmány a tavalyi év végén jelent meg "Recent Advances in Intrusion Detection" címmel, és majd a jövő dönti el, megvalósul-e és be tudja-e majd váltani a hozzáfűzött reményeket. Elképzelhető, hogy a jövő adminisztrátorai egy hatékony eszközzel lesznek gazdagabbak.
Maestro 2009.01.16. 13:14:19
Salvia Divinorum (törölt) 2009.01.16. 14:14:50
mnmnbkhj 2009.01.16. 14:25:08
mindentől függetlenül 2009.01.16. 14:50:48
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.01.16. 15:10:53
Paprika januárban? ;-) Ha ráböksz, akkor ki tudod nagyítani a képet. Az ábra egyébként a Nachi féreg egy honeypot elleni támadásának elemzésekor készült, annak logbeli adatainak grafikus megjelenítése.