«Из-за статической природы компьютерной сети злоумышленник имеет преимущество во времени», — сказал Динхао Ву, доцент кафедры информационных наук и технологий. «Хакеры могут потратить месяц, два, шесть месяцев или больше, просто изучая сеть и находя уязвимости. Когда они возвращаются, чтобы использовать эту информацию для атаки, сеть обычно не меняется, и эти уязвимости все еще существуют».Исследователи, которые обнародовали свои выводы на конференции по информационной безопасности, состоявшейся в Гонолулу 8 сентября, создали систему защиты компьютера, которая обнаруживает возможные вредоносные зонды сети и затем перенаправляет эту атаку в виртуальную сеть, которая предлагает мало информации о реальной сети.Обычно первым шагом хакера при атаке на сеть является зондирование, чтобы получить информацию о системе, например, какие типы и версии программного обеспечения, операционные системы и оборудование работает в сети.
Вместо того, чтобы пытаться остановить сканирование этих хакеров, исследователи установили детектор для отслеживания входящего веб-трафика, чтобы определить, когда хакеры сканируют сеть.«Мы не можем реально остановить все действия по сканированию, но обычно мы можем определить, когда происходит вредоносное сканирование», — сказал Ву. «Если это крупномасштабное сканирование, обычно оно вредоносное».После обнаружения вредоносного сканирования исследователи используют сетевое устройство, называемое отражателем, для перенаправления этого трафика в ложную или теневую сеть, по словам Ли Ванга, докторанта в области информационных наук и технологий, который работал с Ву. . Теневая сеть изолирована и невидима от реальной сети, но может имитировать структуру физической сети, чтобы заставить хакеров поверить в то, что они получают информацию о реальной сети.
«Типичной стратегией было бы создание теневой сетевой среды, которая имеет тот же вид, что и домен защиты», — сказал Ван. «Он может иметь такое же количество узлов, топологию сети и конфигурации, чтобы обмануть хакера. Эти теневые сети могут быть созданы для имитации сложных сетевых структур».
Система, которая представляет собой тип защиты, известный в компьютерной индустрии как защита от движущейся цели, также дает сетевым администраторам возможность более легко изменять части виртуальной системы теневой сети, что еще больше затрудняет хакерам оценку успеха их сканы.По словам Ву, поскольку отражатель может действовать как обычное сетевое устройство при отсутствии злонамеренных атак, он не должен сильно влиять на производительность и функциональность реальной сети.
Исследователи создали прототип системы и протестировали его в смоделированной сети, работающей на компьютере — виртуальной локальной сети. Это позволило им смоделировать атаку и защиту без использования реальной сети. Прототип смог обнаружить входящее сканирование и отклонить его в теневую сеть.
По словам исследователей, информация, собранная в результате сканирования атак, производила информацию только из теневой сети.Ву сказал, что следующим шагом будет развертывание системы в реальной сети.
Эту работу поддержали Государственный фонд инноваций Пенсильвании, Национальный научный фонд и Управление военно-морских исследований.