mboost-dp1

unknown

Penn State Universitys ormekur

- Via TechNewsWorld - , redigeret af peter_m

Forskere fra Penn State University har udviklet software, der eftersigende skulle kunne identificere en orm bare få millisekunder efter, at den har inficeret en beskyttet computer.

Det gøres ved at analysere antallet af forbindelser til og fra computeren. Sker der en pludselig ændring, vil softwaren gå ind og blokke ormen.





Gå til bund
Gravatar #1 - jokke
19. feb. 2007 17:34
Uhh lyder godt nok spændende :)
Gravatar #2 - mathiass
19. feb. 2007 17:46
Det lyder interessant. Mon den kan kende orme fra eksempelvis P2P software som også laver udgående forbindelser i vildskab ?
Gravatar #3 - giraff
19. feb. 2007 17:57
eller er der nogen som vil bruge programmet til at lukke af for P2P hvis det kan det??
Gravatar #4 - trylleklovn
19. feb. 2007 18:54
Eller om det kan skelne p2p fra orme..?
Gravatar #5 - Hubert
19. feb. 2007 19:04
#4

Hvorvidt det indeholder mulighed for at "lære" programmet at kende p2p så det ikke knalder den ned ved jeg ikke men mon ikke det er muligt. Ellers burde det ikke være umuligt at få smidt ind.
Gravatar #6 - D_V
19. feb. 2007 20:25
Og hvor lang tid går der så før at ISP'erne implementere dette, og derfor stopper endnu mere for P2P ???
Gravatar #7 - Modvig
19. feb. 2007 20:35
#6 Det kommer nok aldrig medmindre APG, IFPI osv. finder frem til denne nyhed, så folkens, HOLD DET TÆT IND TIL JER, og hvis det en dag skulle ske "de store internet konger" finder ud af dette kan du være vis på jeg vil flame dig synder sammen lille Hubert for at have bragt denne nyhed ;)
Gravatar #8 - rasmuslp
19. feb. 2007 20:38
ISP'erne er vil ikke interesserede i at blokere P2P? Jeg mener, uden P2P, hvad skulle man så med mere end 1024/256 ?
Gravatar #9 - bvoid
19. feb. 2007 21:38
#8
Binære nyhedsgrupper ;)
Gravatar #10 - arne_v
19. feb. 2007 21:42
#9

Tja - samme indhold bare client-server fremfor P2P ...
Gravatar #11 - MiniatureZeus
19. feb. 2007 21:53
ikke for at fluekneppe eller noget som helst, men ret lige hra til har :)
Gravatar #12 - atrox
20. feb. 2007 03:44
Ubrugelig teknologi, medmindre altså at deres program kan kende forskel på relevant og irrelevant trafik.
Gravatar #13 - p1x3l
20. feb. 2007 06:07
som #12 siger ... og vis det endlig bliver en populær måde for "sikkerheds" software måde at detecte orme på begrændser det hva man som programør kan tillade sig da ens program hurtigt ligner en orm og de nye orme vil bare blive lavet med det i tanke og søger for den ik opretter forbindelser for hurtigt eller systematisk så den skid slådet så kunne programmet lave alt andet end at være en orm bare nogle random timers med min og max grændse så den åbner mellem eks 15/60 connections i minuttet og med den hastighed ville ormen stadig sprede sig fint :) den eneste måde rigtigt at kende orme er at lave "fingerprints" man sender den i beskyttet milijø fra en comp til en anden tager den data stream og kryptere på forskellige måder og ligger det i en signatur database som det program der står scanner netværket læser i og "genkender" orme udfra ...
må da være den mest effektive måde at block for orme (udover dem der mutere sig) ?
de skriver selv at voip og messenger aps vil give falske postives .. vis de programmer laver for mange forbindelser ja så ...

men kan godt se ideen i en så stor datastrøm som der hos en isp at vis man ser de samme 64kb fise fra comp til comp så at blokke den men tror kun det vil være midlertidig løsning og kræve for meget kraft at scanne så meget traffik i realtime men ja..

[offtopic]lukke af for p2p ? wtf har det med det at gøre udover ens p2p-program ville blive genkendt som orm da den bare tager programmer med mange forbindelser[/offtopic]
Gravatar #14 - mindzero
20. feb. 2007 07:42
Selvfølgelig kan den kende de forskellige ting fra hinanden. Det er jo Skynet!! :-P
Gravatar #15 - moulder666
20. feb. 2007 08:07
#13 Du skriver faktisk en del interessante ting, men alle dine tyrkfejl, stavefejl og mangel på tegnsætning gør altså, at det bliver en krig at kæmpe sig igennem det.

Just saying - jeg vil gerne læse dit indlæg, for det ser ud til at du ved, hvad du snakker om - det er bare kæmpesvært! :D
Gravatar #16 - JesperBentzen
20. feb. 2007 11:16
Kunne man ikke bare oprette en "safe list", over programmer, som man ikke vil have bliver identificeret som orme? Det gør div. software firewalls jo allerede i dag ("allow program X to access to the internet"?)
Gravatar #17 - myplacedk
20. feb. 2007 11:19
#16
Tjoh, men så skal du have et system der kontrollerer om der skulle være en orm, som udgiver sig for at være et af de programmer. Den nemmeste måde at gøre det på, er muligvis at tjekke om programmet opfører sig som en orm... ;-)
Gravatar #18 - JesperBentzen
20. feb. 2007 11:24
#17

Interessant, men vil det ikke være noget svært, at "udgive" sig for at være fx. Word.exe med samme størrelse, dato og hash (fx. SHA-1) som den godkendte software havde?

Sygate firewallen spørger hver gang man opdaterer et program om det skal have lov igen, hvilket orme detektionen også kunne gøre.
Gravatar #19 - myplacedk
20. feb. 2007 11:51
#18
Jeg kender meget, meget lidt til hvordan sådan noget fungerer i Windows. Men kan man være 100% sikker på at den fil man kontrollerer nu også er den fil, som indeholder den kode, som vil åbne forbindelse?
Og hvad nu hvis den kode blot modtager ordrer fra en anden tilsyneladende ligegyldig fil? Jeg ville aldrig lægge koden til at åbne forbindelsen, i samme område af programmet som den kode, der afgør hvor der skal åbnes forbindelse til, og hvad forbindelsen skal bruges til.

Ideen er god, men jeg kan se masser af grunde til at det ikke er skudsikkert. Hvor mange af dem der er gyldige i Windows ved jeg ikke. :)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login