Managed hosting door True

HP Labs ontwikkelt virus-vertraging

Throttling-systeem beperkt netwerkbelasting

 

Computerbedrijf Hewlett-Packard heeft in zijn laboratorium te Bristol een applicatie ontwikkeld die de verspreiding van virussen en wormen tegengaat. In de toepassing is bewust geen koppeling met antivirusproducten opgenomen; het systeem werkt namelijk zonder identificatie van de besmetting.

  
Onderzoekers Matt Williamson (links) en Jonathan Griffin van HP Labs Bristol geven beheerders tijd in hun strijd tegen virussen.

Onderzoekers Matt Williamson en Jonathan Griffin van het Britse lab gaven vorige week uitleg over hun aanpak. Ze hebben software ontwikkeld die de netwerkverbindingen van de computer waarop de applicatie draait in de gaten houdt. Indien een besmetting plaatsvindt, probeert dat virus zich te verspreiden. De software merkt dat dan op. Vervolgens houdt de applicatie die pakketten tegen, terwijl normaal dataverkeer gewoon doorgang vindt.
Erkend probleem
Technisch directeur Robert Clyde van antivirusleverancier Symantec waarschuwde onlangs nog voor de groeiende kloof tussen de snelheid waarmee beveiligingsaanvallen uitbarsten en de reactiesnelheid van bedrijven en beheerders. De topman sprak op het Global E-Commerce Summit van de Verenigde Naties. Volgens Clyde zijn de meeste website-aanvallen van Klasse III doordat ze uren of zelfs dagen nodig hebben voordat ze effectief voor overlast zorgen. De laatste maanden zijn er echter meer Klasse II-aanvallen opgedoken die in enkele minuten voelbaar zijn. "90 procent van de servers die zijn geraakt door SQL Slammer waren binnen tien minuten aangevallen. We noemen deze klasse Warhol-aanvallen, omdat ze beroemd zijn in ongeveer vijftien minuten."
"De Nimda-worm bijvoorbeeld probeerde contact te krijgen met wel vierhonderd nieuwe computers per seconde, terwijl een computer bij normaal functioneren slechts enkele verbindingen per seconde legt. Die verbindingen betreffen bovendien veelal computers waar recent nog communicatie mee is geweest, bijvoorbeeld een mailserver", legt Williamson uit. Hij vertelt dat SQL Slammer binnen een half uur na het uitbreken al 74.855 servers had besmet. "Het throttlen en daarna stoppen van een besmetting duurt minder dan een seconde, dus dit is heel effectief."

Bewust onwetend

De 'virus-throttling' die hij en Griffin hebben opgezet, houdt het verdachte dataverkeer op zonder te weten welk specifiek virus of worm het veroorzaakt. Dat is ook niet nodig, aldus de onderzoekers. Indien de plotselinge toename van te verzenden netwerkverkeer ophoudt, geeft de software de opgehouden pakketten weer door. Dit levert een vertraging op die niet of nauwelijks merkbaar is voor eindgebruikers. Indien de toevloed aanhoudt, dumpt de software de achterstallige verdachte zendingen.
Williamson en Griffin bevestigen dat het idee achter hun vinding vergelijkbaar is met de Pushback-aanpak die laboratoria van telecombedrijf AT&T ontwikkelen. Daarbij detecteren netwerkrouters een plotselinge toevloed aan verkeer, veroorzaakt door een - al dan niet gedistribueerde - denial of service-aanval. Vervolgens wordt dat verkeer tegengehouden en de identificatie ervan tegen de netwerkstroom in doorgegeven aan andere routers. Het Japanse telecombedrijf NTT Docomo onthulde eind vorig jaar een eigen Pushback-variant en test deze nu.
De antivirus-methode van HP Labs Bristol is in principe ook toepasbaar op andere aspecten van virus- en wormbesmettingen. Williamson noemt processorbelasting, geheugengebruik en harde schijfactiviteit als mogelijke andere gebieden. Het is nog niet bekend hoe HP de throttling-software op de markt wil brengen.< BR>

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/1366516). © Jaarbeurs IT Media.

?


Lees meer over


 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×