拯救互联网 网络熵有望狙击Storm蠕虫(3)

　　魔道试比高

　　如果传统的防御要竭力跟上传统病毒的步伐，那么遇到Strom蠕虫这些更加狡猾的新型攻击，它们会远远落在后头。

　　Storm与早期蠕虫有很大不同。首先，它非常成功地诱使人们点击附件，它采用某种巧妙的社会工程学伎俩—即使用与热门的新闻话题有关的标题栏和文件名。

　　更重要的是，Storm巧妙地隐藏了其网络活动。Storm先查找用户已经在使用哪些端口和协议。要是发现了文件共享程序，如电驴这种交换音乐和视频的流行程序，就使用该程序的端口和协议来扫描网络。传统的入侵检测系统发现不了通过该端口的这种活动小幅增多的现象。Storm还查看文件共享程序在与哪些IP地址交换数据，而不是突然与一大批新的IP地址进行通信(这很容易被发现)。

　　最后，传统蠕虫会尽快传播，生成的指纹容易被网络熵安全系统发现。另一方面，Storm有潜伏模式和激活模式。比方说，每隔10分钟它会试图收集信息。然后潜伏下来，随后伺机而动。

　　我们如何对付这个可怕的隐患呢？就像处理所有蠕虫一样，我们可以查找网络熵的变化。毕竟，Storm仍得改变用户行为方面的某些特征，这些改变是能够发现的。举例说，在Strom激活的10分钟内，受害者的计算机会发送大量电子邮件，多得异常，通常是每分钟大约30封电子邮件，即10分钟激活阶段内大约发送300封。没人会发送这么多的电子邮件。而且，电子邮件通过通常不传送电子邮件流量的端口发出去。这些都会改变网络熵。

　　受害者与主计算机的通信也会有别于以前的使用模式，几天甚至几周都保持连接，流量却很小。另外，如果同一网络上的两台计算机都沦为Storm的受害者，它们的行为突然惊人地相似，而之前它们大不相同(可能一个下载大量电视节目，另一个不是这样)，也要考虑这是Strom在作祟。

　　不管怎样，Storm都会改变受害者计算机流量的网络熵。比如，电子邮件活动的增加使流量偏向于端口25(通常的电子邮件端口)来传输，这会减小熵，因为端口25的活动变得更加容易预测: 电子邮件是发送，而不是接收。

　　基于行为的传统互联网安全服务器无法足够准确、及时地发现这些攻击，从而无法缓解攻击、阻止攻击得手。如今的运营商及其他各大网络提供商需要一种新的安全方案，能够异常迅速地关联流量数据。基于信息熵的系统具有这功能，而这些关键网络的安全也就有了保障。(沈建苗 编译)