Исследователи Лаборатории компьютерной безопасности филиала Калифорнийского
университета в Дэвисе совместно со специалистами Intel разработали новый способ
выявления 0day атак.
Традиционные антивирусы могут определить уже известные угрозы, но зачастую
оказываются неэффективными против нового вредоносного ПО, которое принято
называть атаками нулевого дня. Новый метод включает в себя две программные
составляющие. Первая протоколирует подозрительную активность одиночных
компьютеров в сети и сравнивает ее с поведением остальных подключенных к ней
машин. Вторая часть системы представляет собой алгоритм, который оценивает
убытки от остановки машин и убытки, которые могут быть причинены сети, если
позволить вирусам распространяться. Такой анализатор может как помочь в принятии
соответствующих IT-решений, так и предпринять необходимые действия
автоматически. Его также можно сконфигурировать для отдельных машин. Например,
потери от остановки сетевого сервера будут куда больше, чем последствия
отключения редко используемого компьютера. Поэтому система вначале отключит
последний, менее ценный компьютер.
В данный момент разработчики работают над оптимизацией своего ПО, стремясь
убедиться в том, что оно не будет перегружать серверы и каналы связи, а также
препятствовать работе других программ.
|