Изобретенный исследователями алгоритм получил название Worm Virulence Estimation. Он оперативно определяет степень "заразности" червя и останавливает его распространение, допуская не более 5% ложно-положительных срабатываний, - об этом сообщает профессор Пэн Лю, участник проекта.
Пользуясь функциями интеллектуальных коммутаторов, система распознает зараженные машины и пакеты, отправляемые ими в попытках обеспечить дальнейшее распространение червя. По словам Лю, система блокирует только эти пакеты, не влияя на легитимные.
Таким образом, зараженные компьютеры продолжают работать в штатном режиме, не требуя немедленной очистки от вируса. Удалить его можно позднее, когда будет свободное время, не прибегая к немедленному введению карантина для всей сети.
Система блокирования состоит из специального программного обеспечения, работающего на интеллектуальных коммутаторах, и центральной консоли безопасности. Установки какого-либо клиентского ПО на каждый ПК и сервер она не требует.
Экспериментальную реализацию алгоритма планируется со временем превратить в коммерческий продукт, который будет предлагаться основанной Лю компанией-стартапом Day Zero Systems.
Разработанное исследователями ПО интеллектуальных коммутаторов регистрирует пакеты, отправляемые на закрытые порты: рассылка таких пакетов компьютером может свидетельствовать о заражении червем, пытающимся зондировать порты в поисках уязвимых машин. Собранная системой информация отправляется на консоль безопасности, которая обрабатывает данные, реагируя на ситуацию, когда отмеченные в качестве подозрительных пакеты были успешно переданы на другие машины, а те тоже приступили к зондированию портов. Чем быстрее появляются новые зараженные компьютеры, тем более высокой система считает степень "заразности" червя.
Консоль безопасности можно настроить на блокировку подозрительных пакетов, отмеченных ею в качестве заражающих другие машины. ИТ-администратор имеет возможность установить порог количества зараженных машин, по достижении которого пакеты начинают блокироваться. Алгоритм способен обнаруживать черви, если заражено как минимум четыре машины. По словам Лю, это втрое меньше, чем требуется другим системам того же профиля. Кроме того, как утверждают разработчики, у Worm Virulence Estimation более высокая точность распознавания вредоносных пакетов.
Алгоритм определяет количество машин, которые способен заразить червь, если ему не мешать: когда этот показатель высок, возрастает и срочность принятия мер по блокированию подозрительных пакетов.
Как отмечает Лю, алгоритму для работы не требуются сигнатуры вредоносных программ, благодаря чему он способен распознавать как уже известные, так и новые черви.