Leo en Ars Technica que recientemente se ha presentado en sociedad una lista de malware basada en un PageRank particular. La iniciativa, que podemos encontrar en el sitio web DShield.org, se basa en la colaboración de los administradores de servidores en Internet, que envían los logs informes de los firewalls cortafuegos de sus máquinas con la lista de intentos de ataque sufridos. En DShield, procesan los ataques mediante un algoritmo que establece un ranking de los puertos más apetecibles para el malware, posiblemente por estar asociados a software con vulnerabilidades o no contar con la debida protección. El algoritmo se basa en la siguiente fórmula:
sqrt( (S-s)^2/s + (T-t)^2/t ) )
S: número de IPs de origen atacando al puerto en las últimas 24 horas.
s: número medio de IPs de origen atacando este Puerto los últimos 30 días.T/t: igual que con el par S/s, pero referido a las IPs de destino detectando escaneos en el puerto.
El documento de presentación que prepararon sus autores para Usenix Security está disponible para su descarga (en inglés), y es interesante comprobar cómo prevén posibles futuros atacantes basándose en el comportamiento previo del malware analizado. Así, si varios administradores proveen logs informes de sus firewalls cortafuegos, y DShield encuentra patrones comunes de ataques, establece una correlación entre los servidores que permite, en caso de detectar un nuevo ataque, determinar quiénes serán las próximas víctimas del mismo y avisar así a los administradores de estos sistemas para que tomen las medidas de contingencia oportunas. Actualmente la eficacia en la detección de futuros ataques supera el 45% de aciertos, lo que convierte al proyecto en una interesante iniciativa que irá mejorando conforme se automatice y crezca el número de logs informes disponibles para su análisis.
No hay comentarios:
Publicar un comentario