Neue Technik soll Wurmausbrüche im Keim ersticken

16.02.2007
US-Forscher haben eine Technik entwickelt, mit deren Hilfe sich eine Wurmattacke innerhalb von Millisekunden stoppen lassen soll.

Das von der Penn State University kreierte System namens Proactive Worm Containment (PWC) nutzt keine Signaturen, um eine Wurmattacke zu identifizieren. Stattdessen orientiert es sich an der Häufigkeit oder Streuung der Verbindungen eines Pakets zu anderen Netzen und soll so weitaus schneller reagieren können als andere Techniken.

Auf diese Weise soll das derzeit im Betatest befindliche PWC-System ein großes Problem bei der Wurmabwehr - nämlich die Tatsache, dass sich die digitalen Schädlinge in rasender Geschwindigkeit verbreiten und meist Schäden verursachen, bevor man ihnen Einhalt gebieten kann - aus der Welt schaffen.

"Unsere Software sucht nach Anomalien im Hinblick auf Häufigkeit und Vielfalt der vom Host ausgehenden Verbindungsanfragen", erläutert Peng Liu, Leiter des Forschungs-Teams der Universität, das Prinzip. Sich langsam verbreitende Schädlinge ließen sich mit der Technik allerdings weniger zuverlässig außer Gefecht setzen, räumt der Wissenschaftler ein. Diese seien jedoch grundsätzlich auch als weniger gefährlich einzustufen.

Nach Angaben von Liu kann das Anti-Wurm-System eine Attacke bereits anhand einiger Dutzend infizierter Pakete, die an andere Netze gesendet werden, identifizieren. Im Vergleich dazu habe der Wurm "Slammer", der auf Microsofts SQL-Server abzielte, im Schnitt 4.000 kontaminierte Pakete pro Sekunde verschickt.

Einen von PWC als potenzieller "Wurmverteiler" eingestuften Host hält das System von dem Knoten, mit dem er sich zu verbinden versucht, fern, um zu verhindern, dass dieser mit Schadcode versehene Pakete verschickt. Das Risiko falscher Positivmeldungen reduziert PWC, indem es die erste Diagnose mittels algorithmischer Techniken jeweils erneut überprüft. Dennoch versehentlich geblockte Hosts soll die Software schnell wieder frei geben können.

Die mittlerweile zum Patent angemeldete PWC-Technik der Penn State University ist allerdings nicht das erste Anti-Wurm-System: IBMs "Billy Goat" etwa täuscht digitalen Schädlingen nicht existente Server im Netz vor, um bösartige Attacken, die nicht zwischen realen und virtuellen Geräten unterscheiden, schnell zu identifizieren und zu isolieren. (kf)