Nowe modele detekcji zagrożeń malware

Wtorek, 26 stycznia 2016 (12:09)

OpenDNS, firma należąca do Cisco, opracowała dwa nowe modele detekcji zagrożeń, pozwalające na przewidywanie rozprzestrzeniania się złośliwego kodu (malware) na podstawie analizy wykorzystującej wzorce typowego ruchu w sieci.

Zdjęcie

OpenDNS, firma należąca do Cisco, opracowała dwa nowe modele detekcji zagrożeń /123RF/PICSEL
OpenDNS, firma należąca do Cisco, opracowała dwa nowe modele detekcji zagrożeń
/123RF/PICSEL

Pierwszym modelem jest SPRank (Spike Rank). Jest to swoisty "sonar IT", wychwytujący z tła sygnałów, które świadczą o wrogim ataku.

Naukowcy z OpenDNS zwrócili uwagę na wzorce, którymi posługują się firmy jak Pandora i Shazam w badaniach dotyczących odtwarzania dźwięku mających na celu ulepszenie systemów odsłuchu muzyki. Efekty tych badań są wykorzystywane przez systemy internetowych stacji radiowych lub aplikacje do wyszukiwania muzyki w internecie.

Reklama

Zauważyli, że wzorce ruchu sieciowego zapowiadające atak malware są bardzo podobne do tychże wzorców i na tej podstawie opracowali SPRank - mechanizm automatycznej analizy "dźwięków sieci", wspomagający wykrywanie matryc szkodliwego ruchu przy efektywnej analizie 0,5 TB danych. Model ten wykazał swoją skuteczność w wykrywaniu ataków malware. Identyfikuje co godzina kilkaset nowych zarażonych przez szkodliwe oprogramowanie domen, z których ponad jedna trzecia nie została wcześniej wykryta przez żaden ze znanych skanerów antywirusowych lub innych systemów zabezpieczania sieci.

Jak powiedział Thomas Mathew, jeden z naukowców pracujących w OpenDNS, domeny jak Google czy Yahoo! generują podobne wzorce "fal dźwiękowych", jako że związany z nimi ruch sieciowy jest regularny. Tymczasem domeny używane do ataków są silnie aktywne przez krótki czas i związana z nimi aktywność sieciowa to krótkie, wysokie piki ruchu. SPRank potrafi wykrywać tego typu sygnały ruchu w sieci i szybko je identyfikować.

Drugim modelem jest Predictive IP Space Monitoring. Umożliwia on wykrywanie ataków, zanim zostaną uruchomione. Współdziała ze SPRank wykorzystując dostarczone przez ten program dane o zainfekowanych domenach, jako punkt wyjścia do analizy opartej na ośmiu głównych wzorcach zachowań cyberprzestępców, budujących infrastrukturę botnetową. Wzorce te dotyczą sposobu, w jaki pojawiają siew sieci i hostują złośliwą zawartość serwery, które służą do wrogich działań. Umożliwia to stwierdzenie, które zainfekowane domeny będą w przyszłości źródłem nowych ataków.

Modele te wykorzystują niezmienne zasadniczo parametry ruchu sieciowego, co oznacza iż nie są zależna od zmiennych mechanizmów i technik, z jakich korzystają cyberprzestępcy, budujący infrastrukturę do ataków.

Testy wykazały, iż nowe technologie pozwalają za zidentyfikowanie w ciągu godziny ponad 300 nowych domen, które w przyszłości mogą być potencjalnym źródłem szkodliwej aktywności i zablokowanie ich, zanim zostaną użyte.

Artykuł pochodzi z kategorii: Innowacje - Technologie

Więcej na temat:Cisco | innowacje

Zobacz również

  • European Rover Challenge 2018 w nowej odsłonie

    Nowa lokalizacja zawodów, inny ich układ oparty na dokumentach ESA i NASA oraz nagroda w postaci misji marsjańskiej na Płw. Arabskim – takie są zmiany najnowszej edycji European Rover Challenge. więcej