关闭零日加州大学戴维斯分校(University of California at Davis)的研究人员说,计算机攻击可以通过共享异常行为信息的点对点(peer-to-peer)软件以低成本进行。
该软件将与现有的个人防火墙和入侵检测系统相互作用,以收集有关异常行为的数据,Senthil Cheetancheri说,他在2004年到2007年担任加州大学戴维斯分校的研究生时担任该项目的首席研究员。他现在为声波墙公司工作。(了解有关入侵检测和预防产品的更多信息)。
他说,该软件将与随机选择的对等机器共享这些数据,以确定可疑活动的普遍程度。如果许多机器都遇到了相同的流量,这就增加了它代表新的攻击的可能性,而这些机器没有任何特征。
具体的目标是检测传统安全产品从未见过的自传播蠕虫。
Cheetancheri说:“这取决于事件的数量和被调查的计算机的数量,但是如果有足够数量的这样的样本,你就可以在一定程度上肯定地说这是一个蠕虫。”他说,为了做出这样的决定,该软件使用了一种行之有效的统计技术,称为序列假设检验
他说,侦测系统是分散的,以避免攻击者可能瞄准的单一故障点。
他说,接下来的任务就变成了如何应对。他说,在某些情况下,一台感染了蠕虫病毒的电脑的成本可能比关闭它的成本要低,在这种情况下,让它继续运行,直到方便的时候清除蠕虫病毒是合理的。
他说,在其他情况下,蠕虫保持活动的成本可能超过将受感染机器从网络上移除的成本。
他说,这种成本效益分析很容易进行,但网络高管必须确定货币成本,并将其输入软件配置,这样软件才能进行计算。
他说,最终用户不会编写或修改核心检测引擎。“我们不想让人类参与进来,”他说。
Cheetancheri说,他和他的同事们已经建立了一个试验性的检测引擎,但是需要对它进行修改,以使它能够在不干扰其他应用程序和不干扰终端用户的情况下运行。
到目前为止,据他所知,没有人在致力于将这个想法商业化。
该软件将是廉价的,因为它将不需要维护,除了输入每台计算机断开网络的成本。