【TechTarget中国原创】问:我知道通过分析蠕虫的连接率/发包率可以追查蠕虫的来源。这些并非基于签名的技术有效吗?它们与网络行为异常检测(NBAD)产品有什么不同?
答:分析连接率和发包率是所谓的网络行为异常检测(NBAD)方法的一部分。Rootkits及其它形式的恶意软件擅于悄悄潜入最终用户系统并深藏其中,以致于各组织开始依靠基于网络的监测资源的帮助。
系统受恶意软件感染时,通常可以察觉到其交流模式发生了变化。来看一下这个例子:
客户机常与服务器进行交流,而服务器却很少将信息返回给客户机,文件传输协议(FTP)等在被动模式中不采用的服务除外。同样,客户机几乎从不与其它客户机交流,服务器也很少与其它服务器交流。因此,你拥有一种能够接受自动工具检查的良好模式。
被蠕虫或bot病毒感染时,客户端到客户端(client-to-client)的会话初始化通常会出现很大上升。正如你在问题中指出的那样,一台或几台受感染的计算机消耗的网络带宽可能会大量增加。连接初始化的次数也可能会大幅度增加。这些度量值都十分有益,且各种NBAD产品能检测其变化。基于网络的入侵防御系统、安全信息管理(SIM)产品、一些入侵检测系统以及分布式拒绝服务(DDoS)监测产品都具有这种能力。
除了这些产品,还有一些大型互联网项目可以检测网络异常。其中最出色的是由SANS研究机构的SANS Internet Storm Center管理的DShield项目。这个项目具有45,000多套由志愿者操作的探测器,分布于互联网各个角落。探测器会收集数据,并匿名发送给收集器。然后,相关软件和专门人员会分析产生的信息,包括通信会话及其使用的端口。DShield网站每天都会统计、更新世界前10大端口以及各种异常的会话活动。