انتشار کرم‌های رایانه‌ای در شبکه

افزودن پیوند
از ویکی‌پدیا، دانشنامهٔ آزاد

به دلیل گسترش روز افزون ویروس‌ها و کرم‌های رایانه‌ای و همچنین خسارات فراوانی که وارد می‌کنند، لازم است به دنبال روش‌هایی در جهت مقابله با آن‌ها باشیم. در این مقاله ابتدا تعریفی از این برنامه‌ها و نحوهٔ عملکرد برخی از آن‌ها بیان شده و سپس عوامل مؤثر بر سرعت انتشار آن‌ها در شبکه بررسی شده‌است. برای آشنایی بیشتر با نحوه پخش آن‌ها در شبکه، مدل انتشار دو مورد از آن‌ها آورده شده‌است. در انتها روشی خودکار به نام «قرنطینهٔ پویاً را برای مقابله با انتشار در شبکه بیان نمودیم. در این روش با الهام گرفتن از روشهایی که در دنیای واقعی برای کنترل بیماری‌های مسری استفاده می‌شوند راهبردی که بر پایهٔ اصل »قبل از اثبات بی‌گناهی فرض را بر گناهکار بودن بگذار" ارائه می‌کنیم. در صورتی‌که یک میزبان در شبکه رفتاری مشکوک از خود بروز دهد آن را در قرنطینه قرار می‌دهیم و پس از مدت زمان کوتاهی هر چند آن گره به وسیلهٔ بخش امنیتی بازرسی نشده باشد آن را از قرنطینه آزاد می‌کنیم .قرنطینهٔ پویا می‌تواند از سرعت انتشار کرم‌ها بکاهد و زمان مورد نیاز برای برخورد علیه کرم‌ها قبل از اینکه دیر شود را به ما بدهد. علاوه بر این کرم‌های بیشتری را می‌تواند تشخیص می‌دهد.

مقدمه[ویرایش]

کرم‌ها برنامه‌های مخربی هستند که می‌توانند خود را در جاهای مختلف سیستم کپی کنند و به‌طور خودگردان و خودکار در شبکه‌ها و از جمله اینترنت منتشر شوند. شیوع کرم اسلامر روی ایسکوئل و نیز سوبیگ در سال‌های اخیر و خسارات فراوانی که بر شبکه‌ها و سیستم‌ها وارد کردند، کارشناسان را بر آن داشت تا راه حل جدی را برای مقابله با کرم‌های کامپیوتری پیش گیرند.نظر به اینکه طبق آمار رسیده سرعت انتشار این کرم‌ها در شبکه‌ها به اندازه‌ای بالا بود که با روش‌های دستی نمی‌توانستند آن را کنترل کنند، لازم بود که با روش‌های خودکار به مقابله بپردازند. برای پیاده‌سازی برنامه‌های خودکار برای مقابله با انتشارکرم‌ها لازم است که نحوهٔ انتشار آن‌ها مدل شده و سپس راه‌حل‌هایی ارائه شود. به این منظور به دو مدل انتشارSimple propagation Model و Kermak-MCkendric اشاره نمودیم. 

در روش‌های جلوگیری از انتشار کرم‌ها ابتدا میزبان‌هایی که رفتارهای مشکوک از خود بروز می‌دهند توسط سیستم‌های تشخیص ناهنجاری مشخص می‌شوند.

سیستم‌های تشخیص ناهنجاری به این صورت عمل می‌کنند که اگر در رفتارهای میزبان مواردی را مشاهده کردند که احتمال حضور کرم در ان برود نسبت به آن هشدار می‌دهند. مشکلی که در عملکرد این سیستم‌ها وجود دارد این است که درصد خطای آن‌ها زیاد است، یعنی هشدار آن‌ها برای بسیاری از میزبان‌ها بی‌مورد است. بنابراین اگر برطبق هشدارهای آن‌ها عمل کرده و همهٔ میزبان‌های مشکوک را حذف کنیم، بسیاری از میزبان‌های سالمی که به اشتباه در مورد آن‌ها هشدار داده شده نیز حذف می‌شوند . در غیر این صورت اگر بخواهیم همهٔ میزبان‌ها را ابتدا توسط بخش امنیتی بررسی کنیم، بسیاری از میزبان‌های سالم معطل می‌مانند.برای جلوگیری از موارد شرح داده شده از روش قرنطینهٔ پویا استفاده می‌کنیم. در روش قرنطینهٔ پویا میزبان‌هایی که در مورد انها هشدار داده شده در قرنطینه قرار می‌گیرند ولی پس از مدت زمان کوتاهی، حتی اگر هنوز توسط بخش امنیتی بازرسی نشده‌اند آزاد می‌شوند. به این ترتیب میزبان‌های سالم خیلی معطل نمی‌شوند. روش قرنطینهٔ پویا سرعت انتشار کرم‌ها را کاهش می‌دهد و اجازهٔ کشف کرم‌های بیشتری را به ما می‌دهد.

کرم چیست؟[ویرایش]

کرمها برنامه‌ها مخربی هستند که به‌طور خودگردان و خودکار در شبکه‌ها و از جمله اینترنت منتشر می‌شوند و اغلب آن‌ها از طریق ایمیل منتشر می‌شوند . معمولاً این برنامه‌های مخرب با سوءاستفاده از باگ روی برنامه‌ها شیوع پیدا کنند. کرم‌ها می‌توانند اقدامات پیشگیرانه امنیتی نظیر دیواره‌های آتش و سیستم‌های حفاظتی را نادیده و اهداف خود را دنبال نمایند.[۱] کرم‌ها و ویروس‌ها در مقایسه با گذشته با سرعت به مراتب بیشتری اقدام به خرابی سیستم‌های آسیب پذیر نموده و در این راستا نسخه هائی از خود را برای اکثر سیستم‌های فوق، توزیع و منتشر می‌نمایند.

معیارهای مؤثر بر سرعت انتشار کرم‌ها[ویرایش]

تست‌های اولیه‌ای بر روی مجموعه‌های ساده شده و با جایگشت‌های تصادفی میزبان‌ها انجام شد، این تست نشان داد که گراف انتشار کرم‌های رایج با سرعت کمی آغاز شده و تا رسیدن به رشد نهایی ادامه می‌یابد و در نهایت به حالت اشباع می‌رسد، همچنین مشاهده می‌شود که سرعت آلوده‌سازی غالباً تا وقتی که به ٪۵۰ حالت اشباع برسد بالا می‌رود[۱] .(شکل ۱) این مشاهدات، نتایجی را برای گسترش سیستم‌های تشخیص و هشدار دهنده در بر دارد .

تاُثیر تعداد سیستم‌های آلودهٔ اولیه[ویرایش]

مذاکرات مختلف در مورد طراحی کرمهای پیشرفته، آلوده کردن قبلی تعداد زیادی از سیستم‌های موجود را به عنوان گامی مؤثر در سرعت بخشیدن به انتشار کرم می‌شمارد . داده‌های به دست آمده نشان می‌دهد که اگر تفاوت زیادی در تعداد سیستم‌هایی که از ابتدا آلوده شده بودند نباشد، تفاوت زیادی در انتشار آن‌ها دیده نمی‌شود . از اآنجایی که آلوده کردن اولیهٔ تعداد زیادی از میزبان‌ها احتمال کشف شدن کرم را بالا می‌برد، این استراتژی چندان جالب به نظر نمی‌رسد. بنابراین می‌توانیم نتیجه بکیریم که حداقل در مورد انتشار به صورت تصادفی هر گونه تلاشی برای آلوده کردن سیستم‌ها قبل از انتشار کرم فقط به هدر دادن وقت است. یک کرم قادر است به خوبی و با سرعت از یک یا چند سیستم معدود منتشر شود . احتمال شناسایی کرم در زمان آغاز انتشار که سرعت آن کم است چون تعداد سیستم‌های آلوده شده کم می‌باشد و اثرات جانبی انتشار کمتر از آن است که بتواند هشدار دهنده‌ها را فعال سازد .

کم کردن مهلت‌های زمانی[ویرایش]

از آنجاییکه ٪۷۰فضای آدرس بدون استفاده یا برون خط هستند ارتباطاتی که می‌خواهند به این سیستم‌ها متصل شوند بدون جواب خواهند ماند و سوکت قبل از اینکه سیستم دیگری بررسی شود منتظر می‌ماند تا مهلت زمانی ارتباط قبلی پایان پذیرد . حداقل وقتی که کرم از ارتباطات Top استفاده می‌کند این اتفاق می‌افتد . این مهلت‌های زمانی بیشترین فاکتورهای زمانی هستند، زیرا مهلت زمانی بیشتر از زمان انتقال است حتی برای کرمی با حد کد بسیار زیاد که در یک شبکه با سرعت بسیار کم در حال انتشار است، کاملاً قابل مشاهده‌است چرا که کاهش سرعت زمانی تاًثیر بسزایی در افزایش سرعت کرم دارد . کاهش مهلت زمانی از ۳۰ ثانیه به ۱۵ ثانیه ( در حالی که تعداد میزبان‌های از قبل آلوده شده تغییر نکرده و همان ۵ عدد است ) موجب سرعت بخشیدن به انتشار کرم می‌شود.

قابلیت پردازش موازی[ویرایش]

کاوش در فضای آدرس بیشترین زمان را در انتشار یک کرم مصرف می‌کند . بنابراین بهبود بخشیدن روش‌های جستجو در سرعت بخشیدن به انتشار کرم بسیار مؤثر است. [۲] بررسی کردن یک قربانی بالقوه، منتظر ماندن برای اتمام یک مهلت زمانی طولانی، زمانی بهینه سازی می‌شود که میزبان‌های همهٔ کرم‌ها قادر باشند چندین ارتباط به صورت هم‌زمان برقرار کنند . همهٔ کرم‌هایی که اخیراً به وجود آمده‌اند از پردازش موازی استفاده می‌کنند .

ترکیب پردازش موازی و کاهش مهلت زمانی[ویرایش]

دو الگوریتم پردازش موازی و کاهش مهلت زمانی که در بین الگوریتم‌هایی که تاکنون توصیف شده‌اند بیشترین کارایی را دارند و به راحتی با هم ترکیب می‌شوند. کرم‌هایی که هم‌زمان از دو تکنیک پردازش موازی و کاهش مهلت زمانی استفاده می‌کنند فقط در مدت ۳۰ دقیقه به حالت اشباع می‌رسند .در بهترین حالت انتشار این کرم می‌تواند ۳۰۰۰۰ سیستم را در هر دقیقه آلوده کند .این شبیه سازی ساده هنوز بعضی مسائل مانند محدودیت‌های پهنای باند که می‌تواند از سرعت انتشار کرم بکاهد را در نظر نگرفته‌است.در این شبیه‌سازی هر میزبان بیشتر از ۱۰ جستجوگر ارسال می‌کتد که شرط سنگینی برای بسیاری از شبکه‌ها می‌باشد .

روشی برای مقابله با انتشار کرم‌ها[ویرایش]

به علت قابلیت پخش سریع کرم‌های اینترنتی و خسارات فراوانی که وارد می‌کنند لازم است تا از سیستم‌های مقابلهٔ خودکار ی مانند قرنطینهٔ پویا بر روی شبکه‌های کامپوتری پیاده‌سازی کنیم.[۳]با الهام گرفتن از روشهایی که در دنیای واقعی برای کنترل بیماری‌های مسری استفاده می‌شوند روشی را برای قرنطینهٔ پویا که بر پایهٔ اصل «قبل از اثبات بی‌گناهی فرض را بر گناهکار بودن بگذار» ارائه می‌کنیم. در صورتی‌که یک گره میزبان از شبکه رفتاری مشکوک از خود بروز دهد به وسیلهٔ مسدود کردن ترافیکی که روی پورت مخطی وجود دارد آن را در قرنطینه قرار می‌دهیم و پس از مدت زمان کوتاهی هر چند ان گره به وسیلهٔ بخش امنیتی بازرسی نشده باشد آن را از قرنطینه آزاد می‌کنیم . مقابلهٔ خودکار با کرم‌هایی که از قبل شناسایی سده‌اند کار دشواری نیست. دیواره‌های آتش و مسیر یاب‌ها می‌توانند محتوای بسته‌ها را با امضای کرم‌های شناسایی شده مطابقت دهند، سپس می‌توان بستهٔ مربوط به کرم را پس از اینکه از طرف مسیر یاب یا دیوارهٔ آتش دارندهٔ امضای کرم شناخته شد از بین برد. [۳]با وجود اینکه هیچ امضای خاصی برای کرم‌های شناخته نشده وجود ندارد با تکیه بر روش‌های یافتن ناهنجاری مبتنی بر رفتار سعی می‌کنیم تا کرم را شناسایی کنیم.چالش بزرگی که امروزه برای مقابلهٔ خودکار وجود دارد این است که روش‌های رایج مبتنی بر رفتار برای یافتن ناهنجاری با نرخی بیش از آنچه که در واقعیت است هشدار خطا می‌دهند. اگر به این روش‌ها تکیه کنیم و بر اساس آن به مسدود کردن کامپوترها و ارتباطاتی که در مورد آن‌ها هشدار داده شده بپردازیم ممکن است خیلی از کامپیوترهای سالم و ارتباطات قانونی نیز بسته شوند و در صورتی که بخواهیم پس از بازرسی این کامپوترها و ارتباطات توسط بخش امنیتی و اطمینان از سالم بودن آن‌ها را آزاد کنیم، بسیاری از میزبان‌های سالم به علت بازرسی دستی و بسیار کند برای مدت طولانی مسدود می‌شوند.[۳] پس ما چگونه می‌توانیم با استفاده از سیستم‌های کشف ناهنجاری ناقص یک سیستم مقابلهٔ خودکار علیه کرم‌هایی که سرعت انتشار بالایی دارند بسازیم؟ با الهام گرفتن از روشهایی که در دنیای واقعی برای کنترل بیماری‌های مسری استفاده می‌شوند روشی را برای قرنطینهٔ پویا که بر پایهٔ اصل «قبل از اثبات بی‌گناهی فرض را بر گناهکار بودن بگذار» ارائه می‌دهیم. این روش قرنطینهٔ پویا می‌تواند فشار منفی ناشی از هشدارهای زیادی که سیستم‌های تشخیص دهندهٔ ناهنجاری کرم دارند را آرامتر کند.[۳] ما هر میزبانی زا که رفتار آن مشکوک باشد را قرنطینه کرده و پس از مدت زمان کوتاهی آن را به صورت خودکار آزاد می‌کنیم. اگر برنامهٔ تشخیص ناهنجاری کرم که ما در سیستم استفاده کردیم بتواند مشخص کند که کدام پورت فعالیت‌های مشکوک دارد آنگاه قرنطینه به این معنی است که ما فقط ترافیک مربوط به آن پورت را مسدود می‌کنیم بدون اینکه به اطلاعات پورت‌های دیگر کاری داشته باشیم. هرگاه در رابطه با یکی از میزبان‌ها هشدار داده شد بخش امنیتی سیستم به سرعت به بازرسی آن می‌پردازد.برای اینکه از درگیر کردن شدید فعالیت‌های نرمال بپزهیزیم، پس از مدت کوتاهی اگر چه میزبان هنوز توسط بخش امنینی بازرسی نشده باشد آنر ا از قرنطینه آزاد می‌کنیم. با این روش میزبانی که به اشتباه قرنطینه شده ( سیستم به شتباه در مورد آن هشدار داده) خیلی معطل نمی‌شود.در اینجا بحث ما در مورد نحوهٔ بهبود دادن سیستم‌های کشف ناهنجاری نیست . دوش ناهنجاری پویا که ارئه می‌دهیم می‌تواند بر روی هر سیستم ناهنجاری کرم ساخته شود. فرض می‌شود که سیستم‌های تشخیص ناهنجاری کرم هر کدام دارای مثبت کاذب و منفی کاذب خاصی هستند. به عنوان اولین قدم در این مسیر در اینجا موردی را بررسی می‌کنیم که زمان قرنطینه و آستانهٔ مربوط به تشخیص ناهنجاری کرم ثابت هستند. ما انتشار یک کرم را تحت این روش قرنطینهٔ پویا به صورت ریاضی آنالیز می‌کنیم و مدل‌های کرم را که از دو مدل سرایت قدیمی اتخاذ شده را ارائه می‌کنیم.

مدل‌های قدیمی انتشار کرمها[ویرایش]

ویروس‌ها و کرم‌های کامپیوتری در رفتارهایی نظیر خود همتاسازی و انتشار به ویروس‌های موجود در طبیعت شباهت دارند. بنابراین تکنیک‌های ریاضی که برای مطالعه بر روی بیماری‌های مسری ایجاد شده بود می‌تواند برای استفاده در مطالعه بر روی ویروس‌های کامپیوتری و انتشار کرم‌ها تطبیق داده شود. در حوزهٔ علم امراض مسری هر دو مدل غیر قطعی و قطعی برای مدل کردن نحوهٔ انتشار بیماری‌های مسری وجود دارد. [۸] مدل‌های غیر قطعی برای سیستم‌های با مقیاس کوچک که حرکات ویروس‌ها در آن ساده‌است مناسب است. مدل‌های قطعی برای سیستم‌های با مقیاس بزرگ مناسب هستند. [۸] وقتی که ما چگونگی انتشار یک کرم اینترنتی را مدل می‌کنیم، در واقع یک شبکهٔ بسیار بزرگ با هزاران کامپیوتر را در نظر می‌گیریم. بنابراین ما در این جا فقط مدل قطعی را در نظر می‌گیریم.در این بخش ابتدا دو مدل قدیمی مسری را معرفی می‌کنیم که بطور وسیعی توسط بسیاری از محققان برای برای مطالعهٔ نحوهٔ انتشار کرم‌های اینتر نتی مورد استفاده واقع شد. [۱۳٬۱۲٬۱۱٬۱۰٬۹] در مدل‌های مربوط به علم امراض مسری میزبان‌هایی که برای آن مرض ارزشمند به حساب می‌آیند با عنوان میزبان‌های مستعد به حساب می‌آیند. میزبان‌هایی که آلوده شده‌اند و می‌توانند دیگران را هم آلوده سازند میزبان‌های آلوده شده یا مسری نامیده می‌شوند.میزبان ایی که مصون هستند یا مرده‌اند و دیگر نمی‌توانند آلوده شوند میزبان‌های از بین رفته نامیده می‌شوند. در اینجا نیز ما از همین نامها برای مدل کردن کرم‌های کامپیوتر استفاده می‌کنیم.در آغاز انتشار کرم سیستمی که مورد نظر است فقط از میزبان‌هایی که مستعد آلودگی هستند یا آلوده شده‌اند تشکیل شده‌است. به بیان دیگر ما از دیگر میزبان‌ها که ارتباطی با کرم ندارند و بر انتشار کرم‌ها بی تأثیرند چشم پوشی می‌کنیم.

مدل سرایت ساده[ویرایش]

مدل مسری ساده فرض می‌کند که هر میزبان در یکی از دو حالت مستعد آلوده شدن و آلوده شده قرار می‌گیرد. علاوه بر این این مدل می‌پندارد که وقتی یک میزبان بو سیلهٔ یک ویروس آلوده شد برای همیشه در حالت آلوده شده باقی می‌ماند. بنابراین یک میزبان فقط یک نوع انتقال حالت می‌تواند داشته باشد : از حالت «مستعد برای آلوده شدن» به حالت «آلوده شده». [۸] نماد I(T) را به عنوان میزبان‌های آلوده شده در لحظه یt ، N را به عنوان تعداد کل میزبان‌های موجود در سیستم و S(T) = N-I(t) را به عنوان تعداد میزبان‌های مستعد آلوده شدن در لحظهٔ t در نظر بگیرید. این مدل فرض می‌کند که سیستم همگن است یعنی هر کدام از میزبان‌ها شانس یکسانی برای تماس با دیگر میزبان‌ها دارد. بنابراین تعداد تماس‌ها بین میزبان‌های آلوده شده و میزبان‌های مستعد آلوده شدن متناسب است با S(t)I(t) .در نتیجه مدل مسری قدیمی و ساده برای تعداد محدود برابر است با : dI(t)/dt = βI(t)S(t) = βI(t)[N − I(t)] (۱) که β در آن سرعت سرایت کردن بین از یک میزبان به میزبان دیگر است. [۸] در t=۰، میزبان‌هایی که در مجموعهٔ (I(۰ قرار می‌گیرند آلوده به کرم هستند و بقیهٔ میزبان‌ها یعنی (S(۰)= N-I(۰ مستعد برای آلوده شدن هستند. α = βN (۲ را به عنوان سرعت آلوده شدن به کرم‌ها در نظر می‌گیریم. این متوسط تعداد سرکشی‌هایی است که یک میزبان آلوده می‌تواند به کل N میزبان موجود در یک واحد زمانی داشته باشد. ( تعداد سرکشی‌هایی که یک میزبان آلوده می‌تواند در اینترنت داشته باشد بسیار بیشتر از این مقدار است. )

مدل سرایت عمومی : Kermack-Mckendrick Epidemic Model[ویرایش]

مدل Kermack-Mckendrick فرایند حذف در رابطه با میزبان‌های آلوده شده را در نظر می‌گیرد. در طول دورهٔ سرایت یک آلودگی مسری، بعضی از میزبان‌ها بهبود می‌یابند یا می‌میرند و در هر دو حالت دیگر در مقابل آن آلودگی مصون هستند. بنابراین در این مدل هر میزبان می‌تواند در سه حالت قرار گیرد : “مستعد برای آلودگی” ،” آلوده شده” و “حذف شده ”. یک میزبان هم می‌تواند انتقالی از حالت مستعد برای آلوده شدن به حالت آلوده شده و سپس به حالت حذف شده، داشته باشد و هم می‌تواند برای همیشه در حالت مستعد برای آلودگی باقی بماند. U(t) را به عنوان تعداد میزبان‌های حذف شده از کل میزبان‌هایی که در گذشته در زمان t آلوده شده بودند در نظر بگیرید. بر اساس مدل سرایتی ساده (۱) مدل Kermack-Mckendrick به صورت زیر است. dI(t)/dt = βI(t)S(t) − γI(t) (۳ dU(t)/dt = γI(t) N = I(t) + U(t) + S(t) که در آن γ سرعت حذف شدن میزبان‌های الوده‌است. ρ را به صورت مقابل تعریف می‌کنیم : (۴) ρ = γ / β نتیجهٔ مهمی که از مدل Kermack-Mckendrick بدست می‌آید تئوری آستانهٔ سرایت است : شیوع اصلی و کلان فقط و فقط هنگامی رخ می‌دهد که تعداد اولیهٔ میزبان‌های مستعد ρ S(۰)> باشد. به همین دلیل ما ρ را به عنوان آستانهٔ سرایت در نظر می‌گیریم.درک این تئوری کار سختی نیست، می‌توان از فرمول (۳) نتیجه گرفت که dI(t)/dt<۰ (۵ t> ۰ اگر و فقط اگر (ρ <S(۰.

روش قرنطینهٔ پویا[ویرایش]

طی خودکارسازی روش‌های مقابله با کرم‌ها، وقتی تشخیص داده می‌شود که یک میزبان آلوده شده می‌توان سریعاً آن را از بقیه جدا کرد و در قرنطینه قرار داد. این کار توسط برنامهٔ تشخیص کرم‌ها در چند ثانیه یا حتی چند میلی ثانیه انجام می‌شود.در این راه عملیات دفاعی می‌تواند به سرعت آلوده‌سازی سریع ویروس‌ها برسد و علیه انتشار کرم‌ها عمل نماید. برای کرم‌های ناشناخته تنها راهی که داریم این است که از روش‌های تشخیص ناهنجاری برای مشخص کردن آلوده یا سالم بودن یک میزبان استفاده کنیم.روش‌های تشخیص ناهنجاری همواره ممکن است که به اشتباه هشدار دهند. اگر نرخ هشدارهای اشتباهی که سیستم تشخیص ناهنجاری به ما می‌دهد به نسبت زیاد باشد و اصرار داشته باشیم که هر کدام از میزبان‌های مشکوکی که در مورد آن‌ها هشدار داده شده به صورت دستی توسط بخش امنیتی بازرسی شوند و بعد از آن از قرنطینه آزاد شود، آنگاه بسیاری از میزبان‌های سالم به مدت طولانی در قرنطینه گرفتار می‌شوند. این نوع قرنطینه به شدت مزاحم کار فعالیت‌های نرمال است و این دلیل آن است که مردم برای پیاده‌سازی سیستمی که اثرات کرم‌ها را کاهش دهد و با آن مقابله کند تردید به خود راه می‌دهند. [۳]

روش قرنطینهٔ پویا با پیش‌فرض آلوده بودن میزبان‌ها[ویرایش]

به علت این که کرم‌ها در زمینهٔ انتشار مانند بیما ری‌های مسری در دنیای واقعی عمل می‌کنند. بنابراین ما می‌توانیم از تجربیاتی که برای کنترل بیماری‌های مسری در طبیعت بدست آمده برای کنترل کرم‌های کامپیوتری استفاده کنیم. برای بیماری‌هایی که بسیار مسری هستند و به راحتی تشخیص داده نمی‌شوند مانند بیماری سارس، مردم قرنطینهٔ شدیدتری را در نظر می‌گیرند. اگر کسی رفتاری از خود نشان دهد که علائم آن بیماری را در بر بگیرد باید به سرعت قرنطینه شود. در آن صورت شخص تا وقتی که دورهٔ نهفتگی بیماری به پاین نرسیده و تا وقتی که علائم دیگری از بیماری در شخص دیده می‌شود در قرنطینه باقی می‌ماند.اگر بیماری از خطر سرایت بییشتر برخوردار باشد یا اینکه دامنهٔ سرایت بیماری بزرگتر باشد قانون شدیدتری در رابطه با قرنطینه کردن افراد اتخاذ می‌شود. چنین قرنطینه‌ای بر زندگی طبیعی بسیاری از افراد سالم تأثیر می‌گذارد و هزینهٔ زیادی بر جامعه تحمیل می‌کند. با این حال این تنها راه مؤثری است که می‌توان در مرحلهٔ اول بیماری در مقابل بیماری‌هایی که خطرناکند و به خوبی قابل تشخیص نیستند پیشه کرد. به عبارت دیگر در مقابله با بیماری‌های مسری در دنیای واقعی مردم بر طبق گفتهٔ «قبل از اثبات بی گناهی فرض را بر گناهکار بودن بگذار» واکنش نشان می‌دهند. در اینجا ما روش قرنطینهٔ پویایی را مبتنی بر همین اصل بیان می‌کنیم : هر کدام از میزبان‌های سیستم که سیستم تشخیص ناهنجاری کرم برای آن‌ها اعلام هشدار کرده می‌توانند جداگانه در قرنطینه قرار گیرند؛ قرنطینهٔ روی میزبان‌های مختلفی که در مورد آن‌ها هشدار داده شده پس از زمان قرنطینهٔ T آزاد می‌شوند، حتی اگر این میزبان‌ها توسط بخش امنیتی بازرسی نشده‌اند. در صورتی که دوباره پس از گذشت زمانی سیستم تشخیص ناهنجاری در مورد ان هشدار داد می‌توان دوباره آن را در قرنطینه قرار داد. اگر برنامهٔ تشخیص ناهنجاری کرم در سیستم قرنطینهٔ پویا بتواند تشخیص دهد که کدام پورت سرویس فعالیت‌های مشکوک از خود نشان می‌دهد، قرنطینه فقط بر روی همان پورت صورت می‌گیرد و فقط ترافیک موجود بر روی همان پورت مسدود می‌شود و در ارتباطات سالم دیگر پورت‌ها دخالتی نمی‌کنیم.[۳] در پیاده‌سازی واقعی بخش امنیتی بلافاصله میزبان‌های قرنطینه شده را بازرسی می‌کند. ولی در مورد کرمهایی که به سرعت پخش می‌شوند به علت واکنش کند و دستی بشر و محدودیت منابع آنها، بخش امنیتی نمی‌تواند سرعت عملکرد خود را با تعداد رو به افزایش میزبانهایی که در مورد آن‌ها هشدار داده شده هماهنگ سازد. بنابراین برای اینکه مزاحمت زیادی برای فعالیت‌های سالم ایجاد نشود، پس از گذشت زمان معینی اگر چه میزبان توسط بخش امنیتی بازرسی نشده باشد، به طو خودکار از قرنطینه آزاد می‌شود. این روش قرنطینهٔ پویا دو مزیت دارد : - میزبانی که سالم بوده ولی به اشتباه در قرنطینه قرار گرفته، پس از مدت کوتاهی آزاد می‌شود، بنابراین در کار فعالیت‌های سالم آن مداخلهٔ زیادی پیش نمی‌آید. - با استفاده از این روش هشدارهای بیشتری را نسبت به حالت قرنطینهٔ دائمی می‌توانیم تحمل کنیم بنابراین می‌توانیم برنامهٔ تشخیص ناهنجاری کرم را نسبت به فعالیت‌های کرم‌ها حساس تر کنیم.بنابراین ما می‌توانیم تعداد بیشتری از میزبان‌های آلوده شده زودتر از حالت قبل را پیداکرده و قرنطینه کنیم . روش قرنطینهٔ پویا در حالتی که کرمی بسیار زیرکانه وارد سیستم شده و شروع به انتشار کند بسیار مؤثرتر است. دلیل آن این است که در صورت بروز چنین مشکلی کرم مورد نظر فقط با نرخ هشدار زیاد قابل تشخیص دادن است.

نتیجه‌گیری[ویرایش]

با توجه به مطالب بیان شده در رابطه با انتشار کرم‌ها، می‌توان از کرم‌های کامپیوتری به عنوان برنامه‌های خطرناکی یاد کرد که برنامه‌نویسان آن همواره یک قدم جلوتر از مبارزه‌کنندگان با کرم‌ها هستند. دلیل این موضوع آن است که کسانی که برنامه‌های مخرب را می‌نویسند به دنبال خطایی در برنامه‌ها می‌گردند تا از آن به عنوان نقطهٔ نفوذ به داخل سیستم‌ها استفاده کنند . روشی که در این مقاله برای مقابله با انتشار کرم‌ها استفاده شده، باعث کاهش سرعت انتشار کرم شده و زمان لازم را برای واکنش انسان‌ها را به دست می‌دهد. همچنین با استفاده از این روش هشدارهای بیشتری را نسبت به حالت قرنطینهٔ دائمی می‌توانیم تحمل کنیم بنابراین می‌توانیم برنامهٔ تشخیص ناهنجاری کرم را نسبت به فعالیت‌های کرم‌ها حساس تر کنیم و در نتیجه تعداد بیشتری از میزبان‌های آلوده شده را پیدا کرده و آن‌ها را قرنطینه کنیم. روش قرنطینهٔ پویا در حالتی که کرمی بسیار زیرکانه وارد سیستم شده و شروع به انتشار کند بسیار مؤثرتر است. دلیل آن این است که در صورت بروز چنین مشکلی کرم مورد نظر فقط با نرخ هشدار زیاد قابل تشخیص دادن است و ما در این روش می‌توانیم چنین کاری را انجام دهیم. در هر صورت باید بگوییم تاکنون روشی به وجود نیامده که کاملاً بتواند از حضور و انتشار کرم‌ها جلوگیری کند.

منابع[ویرایش]

زینب شریفی- استاد راهنما: دکتر محمد کاظم اکبری- [۱] Tom Vogt, Simulating and optimising worm propagation algorithms, ۲۰۰۴ .

[۲] https://web.archive.org/web/20031011111426/http://www.sans.org/rr/paper.php?id=88.

[۳] Cliff Changchun Zou , Weibo Gong, Don Towsley, Worm Propagation Modeling and Analysis under Dynamic Quarantine Defense , Univ. Massachusetts , ۲۰۰۴.

[۴] D. Moore, C. Shannon, and J. Brown. Code-Red: acase study on the spread and victims of an Internet Worm. In Proc. ACM/USENIX Internet MeasurementWorkshop, France, November, ۲۰۰۲.

[۵] CAIDA. Dynamic Graphs of the Nimda worm.http://www.caida.org/dynamic/analysis/security/nimda

[۶] USA Today. The cost of ’Code Red’: $۱٫۲ billion.http://usatoday.com/tech/news/2001-08-01-code- redcosts.htm.

[۷] D. Moore, V. Paxson, S. Savage, C. Shannon, S.Staniford, and N. Weaver. Inside the Slammer Worm. IEEE Security and Privacy, ۱(۴):۳۳-۳۹, July ۲۰۰۳.

[۸] D.J. Daley and J. Gani. Epidemic Modelling: An Introduction. Cambridge University Press, ۱۹۹۹.

[۹] J. O. Kephart and S. R. White. Measuring and Modeling Computer Virus Prevalence. In Proceedings of the IEEE Symposimum on Security and Privacy, ۱۹۹۳.

[۱۰] D. Moore, C. Shannon, G. M. Voelker, and S. Savage.Internet Quarantine: Requirements for Containing Self-Propagating Code. In IEEE INFOCOM, ۲۰۰۳.

[۱۱] S. Staniford, V. Paxson, and N. Weaver. How to Own the Internet in Your Spare Time. In ۱۱th Usenix Security Symposium, San Francisco, August, ۲۰۰۲.

[۱۲] C.C. Zou, W. Gong, and D. Towsley. Code Red Worm Propagation Modeling and Analysis. In ۹th ACM Symposium on Computer and Communication Security, pages ۱۳۸-۱۴۷, Washington DC, ۲۰۰۲.

[۱۳] C.C. Zou, L. Gao, W. Gong, and D. Towsley. Monitoring and Early Warning for Internet Worms. In ۱۰th ACM Symposium on Computer and Communication Security, Washington DC, ۲۰۰۳.

برگرفته از «https://fa.wikipedia.org/w/index.php?title=انتشار_کرم‌های_رایانه‌ای_در_شبکه&oldid=34363666»