Das von der Penn State University kreierte System namens Proaktive Worm Containment (PWC) nutzt keine Signaturen, um eine Wurmattacke zu identifizieren. Stattdessen orientiert es sich an der Häufigkeit oder Streuung der Verbindungen eines Pakets zu anderen Netzen und soll so weitaus schneller reagieren können als andere Techniken. Auf diese Weise soll das derzeit im Betatest befindliche PWC-System ein großes Problem bei der Wurmabwehr lösen, nämlich die Tatsache, dass sich die digitalen Schädlinge in rasender Geschwindigkeit verbreiten und meist Schäden verursachen, bevor man ihnen Einhalt gebieten kann .

"Unsere Software sucht nach Anomalien im Hinblick auf Häufigkeit und Vielfalt der vom Host ausgehenden Verbindungsanfragen", erläutert Peng Liu, Leiter des Forschungs-Teams der Universität, das Prinzip. Sich langsam verbreitende Schädlinge ließen sich mit der Technik allerdings weniger zuverlässig außer Gefecht setzen, räumt der Wissenschaftler ein.

Laut Liu kann das Anti-Wurm-system eine Attacke bereits anhand einiger Dutzend infizierter Pakete, die an andere Netze gesendet werden, identifizieren. Im Vergleich dazu habe der Wurm "Slammer", der auf Microsofts SQL Server abzielte, im Schnitt 4000 kontaminierte Pakete pro Sekunde verschickt.

Einen von PWC als potenzieller "Wurmverteiler" eingestuften Host hält das System von dem Knoten, mit dem er sich zu verbinden versucht, fern, um zu verhindern, dass dieser mit Schadcode versehene Pakete verschickt. Das Risiko falscher Positivmeldungen reduziert PWC, indem es die erste Diagnose mittels algorithmischer Techniken jeweils erneut überprüft.

Die mittlerweile zum Patent angemeldete PWC-Technik der Penn State University ist allerdings nicht das erste Anti-Wurmsystem: IBMs Intrusion Detection System (IDS) "Billy Goat" etwa täuscht digitalen Schädlingen nicht existente Server im Netz vor, um bösartige Attacken, die nicht zwischen realen und virtuellen Geräten unterscheiden, schnell zu identifizieren und zu isolieren. (kf)