Nowe modele detekcji zagrożeń malware

Zdjęcie

OpenDNS, firma należąca do Cisco, opracowała dwa nowe modele detekcji zagrożeń

/123RF/PICSEL

Pierwszym modelem jest SPRank (Spike Rank). Jest to swoisty "sonar IT", wychwytujący z tła sygnałów, które świadczą o wrogim ataku.

Naukowcy z OpenDNS zwrócili uwagę na wzorce, którymi posługują się firmy jak Pandora i Shazam w badaniach dotyczących odtwarzania dźwięku mających na celu ulepszenie systemów odsłuchu muzyki. Efekty tych badań są wykorzystywane przez systemy internetowych stacji radiowych lub aplikacje do wyszukiwania muzyki w internecie.

Zauważyli, że wzorce ruchu sieciowego zapowiadające atak malware są bardzo podobne do tychże wzorców i na tej podstawie opracowali SPRank - mechanizm automatycznej analizy "dźwięków sieci", wspomagający wykrywanie matryc szkodliwego ruchu przy efektywnej analizie 0,5 TB danych. Model ten wykazał swoją skuteczność w wykrywaniu ataków malware. Identyfikuje co godzina kilkaset nowych zarażonych przez szkodliwe oprogramowanie domen, z których ponad jedna trzecia nie została wcześniej wykryta przez żaden ze znanych skanerów antywirusowych lub innych systemów zabezpieczania sieci.

Jak powiedział Thomas Mathew, jeden z naukowców pracujących w OpenDNS, domeny jak Google czy Yahoo! generują podobne wzorce "fal dźwiękowych", jako że związany z nimi ruch sieciowy jest regularny. Tymczasem domeny używane do ataków są silnie aktywne przez krótki czas i związana z nimi aktywność sieciowa to krótkie, wysokie piki ruchu. SPRank potrafi wykrywać tego typu sygnały ruchu w sieci i szybko je identyfikować.

Drugim modelem jest Predictive IP Space Monitoring. Umożliwia on wykrywanie ataków, zanim zostaną uruchomione. Współdziała ze SPRank wykorzystując dostarczone przez ten program dane o zainfekowanych domenach, jako punkt wyjścia do analizy opartej na ośmiu głównych wzorcach zachowań cyberprzestępców, budujących infrastrukturę botnetową. Wzorce te dotyczą sposobu, w jaki pojawiają siew sieci i hostują złośliwą zawartość serwery, które służą do wrogich działań. Umożliwia to stwierdzenie, które zainfekowane domeny będą w przyszłości źródłem nowych ataków.

Modele te wykorzystują niezmienne zasadniczo parametry ruchu sieciowego, co oznacza iż nie są zależna od zmiennych mechanizmów i technik, z jakich korzystają cyberprzestępcy, budujący infrastrukturę do ataków.

Testy wykazały, iż nowe technologie pozwalają za zidentyfikowanie w ciągu godziny ponad 300 nowych domen, które w przyszłości mogą być potencjalnym źródłem szkodliwej aktywności i zablokowanie ich, zanim zostaną użyte.