拯救互联网 网络熵有望狙击Storm蠕虫

　　【计世网 独家】新型的蠕虫病毒往往借助P2P(对等)技术在互联网上肆虐。传统的防火墙等安全软件技术是为保护单点系统设计的，而且其对病毒和蠕虫的检测速度也往往比需求低几个数量级。一种基于网络熵的新安全技术有望解决这一难题。

　　Storm蠕虫敲响互联网安全警钟

　　去年，一种新蠕虫Storm开始席卷互联网。虽然它还没有引起主流媒体的太大注意，但已经让安全人士寝食难安。Storm比之前的蠕虫狡猾多了，因为它采用P2P技术及其他新手法来规避检测，肆意传播。

　　Storm通过潜伏代码潜入计算机，潜伏代码可用来破坏公司的整个网络。

　　如今市面上的网络安全软件产品提供的防御很有限。它们使用防火墙和软件补丁，前者只能阻止未授权用户访问，后者只在发现蠕虫或病毒独特模式后才能起到保护作用。等到这个费力的手工编码过程完成，蠕虫早有足够的时间来传播、衍变或者被改进。

　　从后知后觉到预先防范

　　互联网需要一种新的安全防范办法。网络安全研究人员正在开发一种软件，它能迅速检测出源自蠕虫、病毒及其他攻击的众多入侵，又没有比例很高的假警报，这个问题困扰着许多传统互联网安全产品。这种新软件在几秒内、而不是几小时或者几天内就能发现异常网络行为，哪怕在运行速度达每秒100亿比特的骨干网上。这意味着，软件的速度快得足以阻挡几分钟内传播全球的威胁: 面对这么快的传播速度，目前负责监控的防火墙无能为力。

　　这新一代算法基于与熵(entropy)这种热力学概念有关的理念。作为热力学理论的基础，熵常被定义为系统无序的度量，可追溯到150多年前。但作为信息理论的一个概念，熵只有60年的历史，而且只是近十年前才开始应用到数据通信领域。

　　实际上，基于熵的防御能奏效是因为蠕虫的恶意活动势必会改变网络上数据流的特征。数据流的这些变化会改变网络熵，网络熵用来衡量网络上数据移动的可预测性和随机性之间变化的波动。

　　目前，许多人在探索数据流随机性的种种奥秘，希望抢在网络攻击者的前头进行防范，包括英特尔、微软、波士顿大学和马萨诸塞大学的研究人员已经开始进行早期的研究。虽然加州芒廷维尤的Narus公司的商用产品是目前惟一把熵应用到网络安全上的，但相信这种方法会在接下来的几年里大行其道。

　　摒弃弊端

　　利用熵以及衡量网络有序与无序所出现变化的算法可以比传统方法更早地发现蠕虫。

　　首先，要弄清楚流量每时每刻在网络上如何传送。网络安全系统在大型互联网服务提供商或者运营商的数据中心里工作。它们收集来自网络上诸多关键位置(节点)的流量数据。这些数据提供了有关流量特征的细节，如流量中数据包的源和目的IP地址、源和目的端口号、协议类型、每个数据的字节数以及数据包之间的间隔时间。

　　熵算法先根据流量特征为网络的正常行为建立档案(profile)。这份档案可充当检测异常情况的基准。Narus的系统还能收集来自网络上路由器的其他数据。把路由器的所有这些统计数据关联起来，核实算法发现的异常情况，查明根本原因，甚至建议采取哪些缓解措施来清理流量。

　　如今，各大运营商收集一些同样的数据，但大体上依赖“基于行为”的系统来保护骨干网。这种系统采用的算法主要在网络上的某几个点(大型公司和互联网服务提供商在此处连接到运营商)关注流量变化。比如在拒绝服务攻击期间，单一源(攻击者的计算机)和单一目的地(受害者的互联网服务器)之间的流量会激增，这表明流量企图涌向该目的地，让用户无法正常连接。攻击者为了在最大范围内搞破坏，会劫持网上的未保护机器，植入代码，让这些机器充当“僵尸机器”，从而扩大攻击范围。这些计算机实际上构成了“僵尸网络”，机器数以万计，经协调后可从多处发动攻击。这就叫分布式拒绝服务攻击，它在持续几分钟甚至几秒钟的时间内有针对性地实施破坏。

　　基于行为的传统系统可在客户链路处发现流量突增的这种现象，并立即提醒运营商。当然，“猫捉老鼠”的游戏刚开始。随后，攻击者会想出巧妙的新方法，隐藏行踪，避免被人发现。比如有些入侵者拼命耗用放在受害者网络内部的Web服务器的资源。它们不是向服务器发送大批流量，而只是确认哪些网页最容易耗用内存和CPU周期(如含有视频片段的网页)，然后协调大批僵尸机器，专门频繁访问这些网页。

　　这种情况下，进入网络的总流量看似正常，不过攻击却得逞了，因为它导致服务降级，甚至终止服务。同样，洪水般的垃圾邮件会让邮件服务器招架不住。

　　许多网络运营商针对这几种攻击采取的对策是，把基于行为的系统的阈值调低，试图发现流量中更细微的变化。但这种阈值变化往往会带来误报，即系统常把流量的非恶性波动误以为是攻击。

　　另一方面，由于恶意网络异常是由人造成的，所以必然会影响自然的“随机性”即熵。发现了熵的这些变化，也就能发现异常流量。因此，安全系统必须不断监控实际的网络熵本身。