本文發表於《大眾科學》的前部落格網路,僅反映作者的觀點,不一定反映《大眾科學》的觀點
過去一個月,蘋果Mac使用者迎來了一次粗魯的覺醒:他們的電腦突然顯得更容易受到網路攻擊。不僅這些機器成為了惡意軟體(惡意程式)的目標——統稱為Flashback或Flashfake——而且這些程式還成功地將數十萬臺Mac電腦變成了虛擬殭屍,被大規模操縱以攻擊其他電腦。過去一週,Mac電腦被“殭屍”惡意軟體感染並被招募到殭屍網路的速率有所下降,但Flashback已經讓蘋果粉絲加入了更多考慮如何保護其電腦安全的使用者的行列。
不幸的是,這些備受矚目的Mac攻擊僅僅是網路攻擊者不斷努力控制計算機並竊取資訊以牟取暴利的最新一輪攻勢。殭屍網路問題尤其不僅在增長,而且還在不斷演變,印度孟買Veermata Jijabai理工學院(VJTI)的計算機科學家和工程師表示。雖然為對抗殭屍網路所做的大部分工作都集中在那些遵循集中式命令和控制結構,由單個“殭屍網路主控者”指揮攻擊的殭屍網路上,但較新的殭屍網路迭代版本更像九頭蛇點對點結構,更難阻止,研究人員說。
VJTI的研究人員聲稱正在開發一種“雙管齊下”的方法來保護計算機和網路,這種方法可以防禦針對殭屍網路的命令和控制或點對點方法。(pdf) VJTI模型中的第一道防線是一種旨在保護網路內各個節點(PC、路由器、伺服器)的軟體演算法。如果在一個節點上檢測到問題,問題將升級到第二道防線——在網路本身上執行的單獨軟體演算法,該演算法檢查傳入和傳出的流量是否存在惡意軟體的跡象。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。
當然,許多製造計算機安全軟體的公司——包括賽門鐵克和邁克菲(英特爾旗下),僅舉幾例——銷售網路入侵檢測和防禦系統。VJTI的研究人員聲稱,他們的雙節點/網路安全演算法使他們的軟體與眾不同,因為它們能夠防禦不止一種型別的殭屍網路,並且不太可能觸發誤報,從而中斷合法的網路流量。鑑於VJTI的工作仍處於實驗室階段,這一點還有待觀察。儘管如此,他們的方法值得一看。
VJTI節點軟體監控這些裝置上的引數,尋找響應時間延遲、輸出到輸入資料流量比率不平衡或可能發生殭屍程式感染的其他跡象。該軟體的編寫目的是使其隨著時間的推移“學習”特定節點的使用方式——例如,入站和出站資料的典型地址——以便它可以更準確地發現異常活動。
如果節點軟體檢測到可疑情況,它將觸發網路安全軟體,後者分析進出整個網路的資訊,以搜尋正在傳播的已知惡意軟體或指示殭屍網路活動模式。
“由於採用了雙管齊下的策略,誤報的機會減少了,因為只有當獨立節點和網路演算法都檢測到系統使用和網路流量異常時,才會發出系統警報,”曾參與研究的VJTI計算機科學專業學生Manoj Thakur說,他於2009年畢業。
Thakur說,這種方法旨在用於各種裝置。節點級演算法必須進行調整才能在Mac或PC上執行,他補充說,但無論網路是PC、Mac還是其他計算機,網路級演算法的工作方式都相同。
VJTI的研究人員現在正在嘗試確定他們的軟體是否在具有海量資料流量的大型網路中有效,並且能否適應新型別的殭屍程式和殭屍網路。為了使他們的工作產生影響,它還必須即時執行,並提供某種方法來隔離潛在危險的資料流量以進行進一步檢查。
“在有限範圍內進行的模擬結果到目前為止看起來很有希望,”Thakur說。“這種方法的有效性最終將取決於該技術在具有高網路流量的大型網路中的效能。”
對於試圖保護他們珍貴資料免受網路竊賊侵害的計算機使用者來說,這樣的研究成果來得再快也不為過。
圖片由Jitalia17提供,透過iStockphoto.com