关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。 通过购买订阅,您将帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事的未来。
在黑客发起旨在感染运行 Microsoft Windows 的计算机的活动一年多后,Conficker 蠕虫的影响仍在持续。 例如,英格兰大曼彻斯特警察局不得不切断其计算机与国家犯罪数据库的连接,因为上周在其网络上检测到 Conficker。
自 2008 年 11 月首次出现以来,Conficker 已感染全球数百万台计算机,它的再次出现提醒人们,一旦自我复制的蠕虫程序渗透到网络中,就很难根除。
宾夕法尼亚州立大学大学公园分校的一组研究人员正在开发一种方法来查找和限制计算机蠕虫,该方法依赖于计算机在可疑网络活动成为严重问题之前检测到它的能力。 尽管市场上已经有这种类型的软件——称为异常检测系统 (ADS)——但研究人员认为他们的新算法将改进现有的 ADS,特别是保护本地网络(在组织防火墙内运行的网络)免受蠕虫的传播。
该算法检查连接到本地网络的所有设备(包括计算机、网络路由器和打印机),以确定哪些设备容易受到蠕虫感染。 (例如,打印机不会成为目标,因为它不像计算机那样进行双向通信)。 由于蠕虫通过扫描受害者的漏洞从一台计算机移动到另一台计算机,因此该算法会通知网络的入侵检测系统监控网络内的扫描(其中一些是合法的),并在发现扫描活动超出正常水平或来自特定计算机的其他可疑行为时启动锁定。
宾夕法尼亚州立大学信息科学与技术教授兼研究人员之一的 彭柳 说,该算法的新颖之处在于它能够准确估计在将设备锁定在网络之外之前允许多少扫描。 目标是在确保潜在的蠕虫威胁不会在本地网络内引起流行病,另一方面,网络活动不会因误报而中断之间取得最佳权衡。 柳说:“市场上已有的蠕虫遏制软件不知道最佳阈值是多少。” 他和他的同事在 2 月份的 《计算机与安全》 杂志上发表了一篇描述他们研究的论文。
宾夕法尼亚州立大学电气工程与计算机科学与工程教授 乔治·凯西迪斯 说,良好的异常检测方法的关键在于能够区分自传播蠕虫和正常的网络扫描。 他与柳一起进行了这项研究。 他说:“网络流量非常复杂,以至于你不能每次看到异常情况就发出警报。”
哥伦比亚大学计算机科学兼职教授兼 RSA 会议(安全专业人士的年度聚会)项目委员会主席 赫伯特·汤普森 说:“在计算机病毒学中,一切都是为了减缓感染速度和争取时间”,而这通常是通过切断某些机器与网络的连接来完成的。 这样做的危险在于,如果您错误地将未感染的机器作为目标,您可能会瘫痪您的网络。 但是,如果您在遏制受感染的机器方面过于松懈,蠕虫将很快蔓延到您无法管理的程度。 汤普森说:“我们绝对需要更好的答案来解决在哪里设置这样的阈值,而这项研究似乎向前迈进了一步。”
蠕虫可以通过多种来源感染本地网络。 最常见的来源之一是当连接到网络的人浏览网络时,他们的计算机受到写入他们访问的网站的恶意软件的攻击。 (这有时被称为“强制下载”。)蠕虫的另一个常见入口点是通过电子邮件,当计算机用户打开已被携带蠕虫的病毒感染的附件时。 凯瑞·纳琛伯格 是赛门铁克公司(一家总部位于加利福尼亚州山景城的科技安全公司)的安全技术和响应副总裁兼研究员,他说:“我们看到的大多数攻击都是旨在从个人计算机上窃取东西的静默攻击。”
纳琛伯格说,一旦计算机被感染,蠕虫可以迅速传播并感染本地网络上的其他计算机,他补充说:“[宾夕法尼亚州立大学的研究人员] 试图解决的问题是真实存在的。”