DoSECU 安全报道 6月9日消息:首席信息官应该停止对入侵检测和防御系统的关注,转而开始应对网络上已经受到网络犯罪分子威胁的计算机问题。这是来自纽约大学对企业级网络被感染计算机有独特见解的计算机科学教授的建议。
纽约大学多科性学院计算机科学和工程教授Nasir Memon研发了一套以网络为基础的感染侦测系统来鉴别大型网络上存在危险的计算机主机。
Memon表示"我们关注的不再是如何阻止病毒的感染,而是假设有一种传染,我们要通过侦测系统去发现它。光是入侵检测系统是不够的。你必须从网络内部进行认真的观察,去寻找感染源"。
Memon在周四纽约城市大学举办的网络基础架构保护大会上对他名为INFER的系统进行了阐述。
INFER系统的设计是为了侦测有组织犯罪和国外势力企图对企业和政府网络发动的有目标有预谋的攻击活动。对于那些防范进入网络的已知木马的防火墙,防病毒,入侵检测或者入侵防御系统来说,这些隐藏的攻击是很难被这些网络管理工具来处理的。
从另一方面来说,INFER系统关注的是网络中已经存在的木马病毒。INFEER使用配置在路由器和交换机旁边的传感器来被动监控网络流量和进行摘要。INFER系统有一个数据挖掘引擎来分析摘要并寻找被感染计算机。
INFER的控制台能为网络管理者提供可能被感染的排名前十位计算机主机的名单。INFER还有一个分析组件能允许网络管理者去追踪指定计算机上的历史流量轨迹。
INFER系统即不是寻找已知的木马或攻击,也不是寻找与他们相关的签名或行为样本。而是寻找显示出被感染症状的计算机主机,不管这些计算机是否已经被感染都会被侦测到。INFEER系统会检查有以下症状的计算机,比如运行迟缓,频繁重启,DNS重新连接等。
Memon表示"攻击者开始伺机采取行动威胁计算机之时,他们就已经开始在网络上留下痕迹。这就是我们所关注的重点。就像照相机一样监督网络上正在进行的一举一动"。
INFER系统能建立网络流量的大纲,而不是存储用于分析的所有网络流量。通过使用网络流量大纲,IFFER系统能帮助用户更加轻松的存储至多三个月的数据,并且通过网络将数据传输出去来进行集中审核。
纽约大学多科性学院运行INFER系统已经两年了,他们使用INFER系统来追踪网络上3000台计算机的行为。Memon表示"我们每天都会发现僵尸网络。我们把这些病毒汇报给IT部门"。
Memon和他的学生通过Vivic公司对INFER系统进行商品化。迄今为止,Vivic公司已经吸引了一家付费用户:即美国军事研究实验室,他们计划使用这个系统来实施其Interrogator网络监控项目。
INFER系统还吸引了包括Westchester County,纽约政府等几家潜在用户,Westchester County使用INFER系统对3000台主机进行监控,纽约市IT部门使用INFER对43000台主机进行监控。
迄今为止,Vivic计划自行实现公司的发展壮大,而不是吸引风险投资。目前公司正在为INFER系统制定营销战略。
INFER系统是与众不同的,Memon表示:"网络管理者会理解我是如何将这些犯罪分子拒之门外的,但是他们忽视了已经存在在网络计算机中的犯罪行为"。