本文发表于《大众科学》的前博客网络,仅反映作者的观点,不一定反映《大众科学》的观点
过去一个月,苹果Mac用户迎来了一次粗鲁的觉醒:他们的电脑突然显得更容易受到网络攻击。不仅这些机器成为了恶意软件(恶意程序)的目标——统称为Flashback或Flashfake——而且这些程序还成功地将数十万台Mac电脑变成了虚拟僵尸,被大规模操纵以攻击其他电脑。过去一周,Mac电脑被“僵尸”恶意软件感染并被招募到僵尸网络的速率有所下降,但Flashback已经让苹果粉丝加入了更多考虑如何保护其电脑安全的用户的行列。
不幸的是,这些备受瞩目的Mac攻击仅仅是网络攻击者不断努力控制计算机并窃取信息以牟取暴利的最新一轮攻势。僵尸网络问题尤其不仅在增长,而且还在不断演变,印度孟买Veermata Jijabai理工学院(VJTI)的计算机科学家和工程师表示。虽然为对抗僵尸网络所做的大部分工作都集中在那些遵循集中式命令和控制结构,由单个“僵尸网络主控者”指挥攻击的僵尸网络上,但较新的僵尸网络迭代版本更像九头蛇点对点结构,更难阻止,研究人员说。
VJTI的研究人员声称正在开发一种“双管齐下”的方法来保护计算机和网络,这种方法可以防御针对僵尸网络的命令和控制或点对点方法。(pdf) VJTI模型中的第一道防线是一种旨在保护网络内各个节点(PC、路由器、服务器)的软件算法。如果在一个节点上检测到问题,问题将升级到第二道防线——在网络本身上运行的单独软件算法,该算法检查传入和传出的流量是否存在恶意软件的迹象。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事的未来。
当然,许多制造计算机安全软件的公司——包括赛门铁克和迈克菲(英特尔旗下),仅举几例——销售网络入侵检测和防御系统。VJTI的研究人员声称,他们的双节点/网络安全算法使他们的软件与众不同,因为它们能够防御不止一种类型的僵尸网络,并且不太可能触发误报,从而中断合法的网络流量。鉴于VJTI的工作仍处于实验室阶段,这一点还有待观察。尽管如此,他们的方法值得一看。
VJTI节点软件监控这些设备上的参数,寻找响应时间延迟、输出到输入数据流量比率不平衡或可能发生僵尸程序感染的其他迹象。该软件的编写目的是使其随着时间的推移“学习”特定节点的使用方式——例如,入站和出站数据的典型地址——以便它可以更准确地发现异常活动。
如果节点软件检测到可疑情况,它将触发网络安全软件,后者分析进出整个网络的信息,以搜索正在传播的已知恶意软件或指示僵尸网络活动模式。
“由于采用了双管齐下的策略,误报的机会减少了,因为只有当独立节点和网络算法都检测到系统使用和网络流量异常时,才会发出系统警报,”曾参与研究的VJTI计算机科学专业学生Manoj Thakur说,他于2009年毕业。
Thakur说,这种方法旨在用于各种设备。节点级算法必须进行调整才能在Mac或PC上运行,他补充说,但无论网络是PC、Mac还是其他计算机,网络级算法的工作方式都相同。
VJTI的研究人员现在正在尝试确定他们的软件是否在具有海量数据流量的大型网络中有效,并且能否适应新类型的僵尸程序和僵尸网络。为了使他们的工作产生影响,它还必须实时运行,并提供某种方法来隔离潜在危险的数据流量以进行进一步检查。
“在有限范围内进行的模拟结果到目前为止看起来很有希望,”Thakur说。“这种方法的有效性最终将取决于该技术在具有高网络流量的大型网络中的性能。”
对于试图保护他们珍贵数据免受网络窃贼侵害的计算机用户来说,这样的研究成果来得再快也不为过。
图片由Jitalia17提供,通过iStockphoto.com