關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。 透過購買訂閱,您將幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。
在駭客發起旨在感染執行 Microsoft Windows 的計算機的活動一年多後,Conficker 蠕蟲的影響仍在持續。 例如,英格蘭大曼徹斯特警察局不得不切斷其計算機與國家犯罪資料庫的連線,因為上週在其網路上檢測到 Conficker。
自 2008 年 11 月首次出現以來,Conficker 已感染全球數百萬臺計算機,它的再次出現提醒人們,一旦自我複製的蠕蟲程式滲透到網路中,就很難根除。
賓夕法尼亞州立大學大學公園分校的一組研究人員正在開發一種方法來查詢和限制計算機蠕蟲,該方法依賴於計算機在可疑網路活動成為嚴重問題之前檢測到它的能力。 儘管市場上已經有這種型別的軟體——稱為異常檢測系統 (ADS)——但研究人員認為他們的新演算法將改進現有的 ADS,特別是保護本地網路(在組織防火牆內執行的網路)免受蠕蟲的傳播。
該演算法檢查連線到本地網路的所有裝置(包括計算機、網路路由器和印表機),以確定哪些裝置容易受到蠕蟲感染。 (例如,印表機不會成為目標,因為它不像計算機那樣進行雙向通訊)。 由於蠕蟲透過掃描受害者的漏洞從一臺計算機移動到另一臺計算機,因此該演算法會通知網路的入侵檢測系統監控網路內的掃描(其中一些是合法的),並在發現掃描活動超出正常水平或來自特定計算機的其他可疑行為時啟動鎖定。
賓夕法尼亞州立大學資訊科學與技術教授兼研究人員之一的 彭柳 說,該演算法的新穎之處在於它能夠準確估計在將裝置鎖定在網路之外之前允許多少掃描。 目標是在確保潛在的蠕蟲威脅不會在本地網路內引起流行病,另一方面,網路活動不會因誤報而中斷之間取得最佳權衡。 柳說:“市場上已有的蠕蟲遏制軟體不知道最佳閾值是多少。” 他和他的同事在 2 月份的 《計算機與安全》 雜誌上發表了一篇描述他們研究的論文。
賓夕法尼亞州立大學電氣工程與計算機科學與工程教授 喬治·凱西迪斯 說,良好的異常檢測方法的關鍵在於能夠區分自傳播蠕蟲和正常的網路掃描。 他與柳一起進行了這項研究。 他說:“網路流量非常複雜,以至於你不能每次看到異常情況就發出警報。”
哥倫比亞大學計算機科學兼職教授兼 RSA 會議(安全專業人士的年度聚會)專案委員會主席 赫伯特·湯普森 說:“在計算機病毒學中,一切都是為了減緩感染速度和爭取時間”,而這通常是透過切斷某些機器與網路的連線來完成的。 這樣做的危險在於,如果您錯誤地將未感染的機器作為目標,您可能會癱瘓您的網路。 但是,如果您在遏制受感染的機器方面過於鬆懈,蠕蟲將很快蔓延到您無法管理的程度。 湯普森說:“我們絕對需要更好的答案來解決在哪裡設定這樣的閾值,而這項研究似乎向前邁進了一步。”
蠕蟲可以透過多種來源感染本地網路。 最常見的來源之一是當連線到網路的人瀏覽網路時,他們的計算機受到寫入他們訪問的網站的惡意軟體的攻擊。 (這有時被稱為“強制下載”。)蠕蟲的另一個常見入口點是透過電子郵件,當計算機使用者開啟已被攜帶蠕蟲的病毒感染的附件時。 凱瑞·納琛伯格 是賽門鐵克公司(一家總部位於加利福尼亞州山景城的科技安全公司)的安全技術和響應副總裁兼研究員,他說:“我們看到的大多數攻擊都是旨在從個人計算機上竊取東西的靜默攻擊。”
納琛伯格說,一旦計算機被感染,蠕蟲可以迅速傳播並感染本地網路上的其他計算機,他補充說:“[賓夕法尼亞州立大學的研究人員] 試圖解決的問題是真實存在的。”