Signaturlose Technologie gegen Würmer

EnterpriseNetzwerke

Ein Doktorand der PennState-Universität stoppt Wurmausbrüche noch bevor sie richtig entstehen können.

Das ‘Proactive Worm Containment’-System, kurz PWC, setzt dabei nicht wie andere Systeme auf Signaturen, um einen Ausbruch festzustellen. Das System analysiert die Frequenzen auf Ebene der Datenpakete und setzt diese Werte in Korrelation mit der Häufigkeit mit der andere Netze aufgerufen werden. Damit, so die Universität in einer Mitteilung, könnten bei einem Ausbruch wertvolle Minuten gewonnen werden.

So können Würmer, bevor sie sich in anderen Systeme fortpflanzen, blockiert werden. Doch nicht nur Wurmausbrüche zeigen diese Muster, auch legitime Anwendungen können sich auf ähnliche Weise verhalten.

Daher überprüfe ein Algorithmus die erste Diagnose ein weiteres Mal. Jeder Knoten im Netz, der die Würmer verbreitet, wird dann vom Netz isoliert. So kann die Lösung den Ausbruch nicht verhindern, aber doch so weit verlangsamen, dass andere Systeme auf die Bedrohung reagieren können. Fälschlich isolierte Knoten könnten jedoch wieder schnell freigeschaltet werden.

“Viele Würmer müssen sich sehr schnell verbreiten, um Schaden anrichten zu können”, so der Doktorand Peng Liu, Leiter der Forschungsgruppe. Nur wenige Dutzend infizierte Pakete könnten PWC entkommen. Slammer, der SQL Server angegriffen hatte, sendete im Durchschnitt 4000 infizierte Pakete in der Sekunde. Gegen Würmer, die sich langsam im Netz verbreiten, sei die Technologie machtlos, gesteht der Forscher, doch diese seien meist weniger gefährlich. Zudem ließe sich PWC, das bereits zum Patent angemeldet sei, mit signaturbasierten Systemen integrieren.