VladB

"Иммунизация" интернета: новый способ борьбы с вир

В этой теме 10 сообщений

http://www.bezpeka.com/ru/news/2005/12/06/5211.html

Обычное антивирусное ПО использует для поиска и обезвреживания вирусов их сигнатуры. Это означает, что как правило, вирусы должны быть исследованы специалистами до того как антивирусное ПО научится их различать, что снижает скорость "ответной реакции", и может привести к тому, что некоторые быстрораспространяющиеся вирусы нанесут немалый ущерб, до того как будут обезврежены. Решением проблемы могут стать, так называемые "иммунные системы". Новый вид таких систем разработала команда из Тель-Авивского университета под руководством Эрана Шира (Eran Shir). Они применили теорию сетей к решению проблемы, и, как утверждают, нашли более эффективные способы борьбы с вирусными атаками.

Исследователи считают, что атаки вирусов всегда будут опережать ответные действия, исходящие от серверов, контролирующих сеть. Поэтому предлагают развить распределенную в интернете сеть компьютеров-"ловушек" (honeypots). Эти компьютеры будут "заманивать" вирусы, автоматически их анализировать и распространять контрмеры. "Ловушки" должны быть связаны между собой отдельными защищенными каналами. В этом случае, при обнаружении атаки одной из "ловушек" остальные будут моментально оповещены, и начнут работать как центры распространения обезвреживающего кода. Моделирование показало что, чем больше сеть, тем более эффективно работает эта схема. Например, если в сети будет 50 тыс. узлов (компьютеров), и только 0,4 % из них "ловушки", вирусы успеют захватить не более 5% сети, а затем будут остановлены "иммунной системой". Для сети с 200 млн. узлов, при той же пропорции "ловушек" заражение составит всего 0,001 %.

Пока подобная "иммунная система" существует лишь в теории, но Шир надеется с помощью добровольцев запустить подобный проект в интернете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот если бы чуть подробнее почитать о технологии ...

А на самом деле сеть эта должна очень сильно изменяться динамически. Т.к. если будут известны IP данных хонепотов, то их в денай лист добавят, и черви их будут обходить ... Т.е. с течением времени эффективность такой системы будет падать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подход конечно интересный, но мне не совсем понятна эта технология в части автоматического анализа и распросотранения контрмер.

Предположим, что в ловушку что-то там попадает. Как она будет определять, что это что-то вирус? Эвристикой? Интересно какой процент таким образом можно поймать, 10-20 (не считая принципиально новых угроз (zero-day), которые точно сложно обнаружить)? А остальное все пройдет незамеченным через эти ловушки-сенсоры.

Далее, предположим зараза детектирована, как автоматически понять, чем она опасна и как ей противостоять? Если бы реально такой механизм был создан, то, осмелюсь предположить, все дятлы в вируслабах остались бы без работы :-)

Думаю это очередная красивая теория, которая не имеет ничего общего с реальностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На самом деле все вопросы из-за невозможности прочитать более подробно специфику самой технологии ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот нашел теоретическое описание технологии (на английском конечно)

http://www.netdimes.org/eran/uploads/Main/...sicsRelease.pdf

Ее автор тот самый Eran Shir, доктор наук, Тельавивский Университет.

Его домашняя страница - http://www.netdimes.org/eran/index.php/Main/MySpot

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот нашел теоретическое описание технологии (на английском конечно)

http://www.netdimes.org/eran/uploads/Main/...sicsRelease.pdf

Ее автор тот самый Eran Shir, доктор наук, Тельавивский Университет.

Его домашняя страница - http://www.netdimes.org/eran/index.php/Main/MySpot

Во-первых, Eran Shir аспирант, а не "доктор наук".

Во-вторых, лажа это все. По пунктам:

1. Защита строится для почтовых червей или червей в IM, а это не обеспечит иммунизацию всего Интернета, так как огромный процент сегодняшней заразы загружается из Веб, например

2. Концепция предполагает автоматическую генерацию сигнатуры. То есть, если внедрить такую систему в Интернете, то со следующего дня авторы вирусов будут тратить на написание на 10 мин. дольше --- именно столько требудется, чтобы вирус при рассылке себя генерировал уникальный код для каждого нового экземпляра.

Автоматизация генерации сигнатуры пораждает еще одну проблему:

3. Судя по статье авторы полагают, что все что попало в honeypot суть вирус. Такой подход позволит "отравить" систему honeypot'ов любому кто начнет рассылать легитимные файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тоже накопал некоторую инфу о honeypot's.

В журнале "Хакер" за март 2007 года есть часть этой статьи. Всю её можно лицезреть тут. Про honeypots под *nix, но которые эмулируют уязвимости виндов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если оставлять интернет свободным,то каким образом собирать за пользование деньги?Иметь 2 интернета?Не будет ли иммунизированный являться целью атак из принципа + там в среднем,так как приоритетная сеть,гуще с деньгами пользователей,и этим таким же завирусованным?И если сайты с типичным контентом (и с рассадой вирусов) для пользователей из этого иммунизированного инета недоступны будут,то многим ли его продашь?Если пользование таким инетом не превышает защищённости хороших защитных персональных программ,которые я сам могу выбрать,то зачем он нужен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"инновационные" теории наших еврейских коллег конечно интересны, но практически бесполезны в реальной жизни. Для примера иммунная система человека разумного оттачивается уже более ста тысяч лет, но тем не менее люди умирают от банального гриппа. Обычно все просто - человек заболевает, перебаливает, получает иммунитет от _данной_ заразы на будущее (читай их ханипоты "переболеют" и дадут вакцину для других машин), но появляется новая зараза, которую нельзя переболеть - спид, птичий грипп, атипичная пневмония и т.д.). Причем в машинной сети распространиение эпидемии неизвестной заразы будет идти на много порядков быстрее чем у живых организмов, а вот с лечение возникнут большие проблемы - "зараженную птицу" в расход врядли удастся пустить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dr.Golova

В целом я с "коллегами" согласен. Для стабильности работы любой сложной системе нужны отрецательные обратные связи. Другое дело, что то, что они предлагают требует масштабных изменений, а решает очень частную проблему "тупых" почтовых червей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS