Сетевой трафик обеспечивает раннюю индикацию заражения вредоносным ПО

Стратегия будет использовать тот факт, что преступникам необходимо связываться со собственными компьютерами управления и контроля, создавая сетевой трафик, что вероятно обнаруживать и разбирать. По словам исследователей, наличие более раннего предупреждения о заражении вредоносным ПО может ускорить реагирование и вероятно снизить влияние атак.

«Отечественное изучение показывает, что к тому времени, в то время, в то время, когда вы отыщете вредоносное ПО, будет уже слишком поздно, по обстоятельству того, что сетевые коммуникации и доменные имена, используемые вредоносным ПО, были активны за большое количество дней или помимо этого месяцев перед тем, как было обнаружено настоящее вредоносное ПО», — сказал Манос Антонакакис, доцент кафедры вычислительной Школа и техники электротехники Технологического университета Джорджии. «Эти результаты показывают, что нам необходимо коренным образом поменять то, как мы думаем о защите сети».Хорошая защита зависит от обнаружения вирусов в сети.

Без оглядки на то, что анализ образцов вредоносного ПО может идентифицировать подозрительные домены и помочь приписать сетевые атаки их источникам, использование образцов для принятия защитных мер дает преступникам критическое преимущество во времени для сбора информации и причинения ущерба. «Что нам нужно сделать, так это минимизировать время между взломом и обнаружением», — добавил Антонакакис.Изучение, которое будет представлено 24 мая на 38-м симпозиуме IEEE по безопасности и конфиденциальности в Сан-Хосе, Калифорния, было поддержано Министерством торговли США, Национальным научным фондом, Исследовательской лабораторией ВВС и Агентством перспективных исследовательских проектов Минобороны США.

Проект был реализован в сотрудничестве с EURECOM во Франции и Университетом ПО IMDEA в Испании, чья работа была поддержана региональным правительством и правительством Испании Мадрида.В собственном изучении Антонакакис, научный сотрудник Чаз Левер и его сотрудники проанализировали более пяти миллиардов сетевых событий, каковые связаны с фактически пятилетним сетевым трафиком, передаваемым громадным американским провайдером интернет-одолжений (ISP).

Они также изучили запросы серверов доменных имен (DNS), сделанные фактически 27 миллионами образцов вирусов, и изучили сроки перерегистрации доменов с истекшим сроком действия, каковые частенько являются площадками для запуска атак вирусов.«Были определенные сети, каковые были более подвержены злоупотреблениям, исходя из этого поиск трафика в этих тёплых точках вероятно был хорошим индикатором происходящего злоупотребления», — сказал Левер, первый автор и студент Школы статьи электротехники Джорджии. Компьютерная инженерия. «Если вы видите много DNS-запросов, показывающих на тёплые точки злоупотреблений, это должно приводить к по поводу потенциальных зараз».

Исследователи также осознали, что запросы на динамический DNS также связаны с плохой деятельностью, вследствие того что они частенько коррелируют со работами, используемыми преступниками, вследствие того что они предоставляют возможность и бесплатную регистрацию доменов не так долго осталось ждать додавать домены.Исследователи сохраняли веру, что регистрация доменных имен с истекшим сроком действия может стать предупреждением о надвигающихся атаках.

Но Левер осознал, что между перерегистрацией просроченных доменов и началом атак с них часто бывает пауза в пара месяцев.Изучение потребовало разработки совокупности фильтрации для отделения неопасного сетевого трафика от вредоносного трафика в данных интернет-провайдера.

Исследователи также совершили то, что, в соответствии с их мнению, имеется громаднейшей на сегодня попыткой классификации вирусов, чтобы отличить вредоносное ПО от вероятно нежелательных программ (ПНП). Чтобы изучить сходство, они отнесли вредоносное ПО к определенным «семействам».Изучая связанный с вредоносным ПО сетевой трафик, замеченный интернет-провайдерами до обнаружения вредоносного ПО, исследователи смогли узнать, что сигналы вредоносного ПО пребывали за большое количество дней и месяцев до обнаружения нового вредоносного ПО. Что касается здоровья человека, Антонакакис сравнивает сетевые сигналы с лихорадкой или неспециализированным недомоганием, которое частенько предшествует идентификации микроорганизма, серьёзного за заразу.

«Вы осознаёте, что заболели, в то время, в то время, когда у вас жар, еще перед тем, как вы совсем правильно выясните, что его вызывает», — сказал он. «Первое, что делает преступник, — это устанавливает присутствие в сети, и этот первый сигнал может сказать о заражении. Мы должны попытаться вначале отыскать этот симптом в сети, по обстоятельству того, что, если мы дождемся появления примера вредоносного ПО, мы точно разрешая развиться ответственной инфекции ".

В целом, исследователи нашли более 300 000 вредоносных доменов, каковые были активны в течение как минимум 14 дней, перед тем как соответствующие образцы вирусов были идентифицированы и проанализированы.Но, как и при со здоровьем человека, обнаружение изменений, говорящих о инфекции, требует знания исходной активности, сказал он. Сетевые администраторы должны иметь информацию о простом сетевом трафике, чтобы они имели возможность обнаруживать отклонения, каковые смогут сигнализировать о развивающейся атаке. Без оглядки на то, что многие нюансы атаки вероятно скрыть, вирусы неизменно должны информировать эти тем, кто их отправил.

«Если у вас имеется возможность обнаруживать трафик в сети, независимо от того, как вирус имела возможность пробраться в нее, сотрудничество через сеть будет наблюдаться», — сказал Антонакайс. «Сетевые администраторы должны свести к минимуму количество неизвестных в собственных сетях и максимально классифицировать соответствующие коммуникации, чтобы они имели возможность видеть плохую активность, в то время, в то время, когда она происходит».Антонакакис и Левер сохраняют веру, что их изучение приведет к разработке новых стратегий защиты компьютерных сетей.

«Проблемой имеется сетевой трафик, и именно тут направляться вести эту битву», — сказал Антонакакис. «Это изучение представляет собой фундаментальное наблюдение того, как должно быть создано новое поколение защитных механизмов. По мере появления более сложных атак нам необходимо будет становиться умнее, чтобы обнаруживать их раньше».


9 комментариев к “Сетевой трафик обеспечивает раннюю индикацию заражения вредоносным ПО”

  1. Ёлкина Екатерина

    Для косорылых они те, что фантазия косорылым подсказывает.

  2. Евгения Филипповна

    Аргентинская полиция задержала пятерых сотрудников посольства России. В их дипломатической почте было обнаружено около 400 кг кокаина.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *