Исследователи из университета Баффало (штат Нью-Йорк) сообщили о разработке системы защиты от хакерских атак на базе качественно новых принципов.
Большинство современных систем такого рода осуществляют постоянный мониторинг сетевого трафика, задействованных протоколов и портов. Эффективность таких систем, по словам исследователей из Баффало во главе с Рамкумаром Чинчани, составляет 60-80%.
Для повышения эффективности защиты Чинчани и его коллеги предлагают отслеживать не сетевой трафик, а следить за приемами работы пользователя. Специальная программная система фиксирует все команды, отдающиеся человеком компьютеру, и постепенно создает подробный перечень действий, характерных для каждого конкретного пользователя отдельного компьютера или локальной сети.
В случае если команды, поступающие компьютеру, не соответствуют профилю данного пользователя, например, происходит попытка соединения с Интернет из неизвестной программы через обычно не использующийся порт, программа выводит предупреждение о возможной атаке. В то же время, такая программа отличается заметной гибкостью и постоянно обновляет базу данных о допустимых и недопустимых действиях пользователя.
По заявлением разработчиков, сообщивших о новой программе на конференции MILCOM 2002 в Калифорнии, эффективность нового метода обнаружения атак достигает 94%. К его преимуществам можно отнести и то, что для мониторинга пользовательских команд необходимо значительно меньше вычислительных ресурсов, чем для фильтрации сетевого трафика.
Впрочем, по мнению ряда экспертов, эффективность новой разработки в реальных условиях еще предстоит доказать. Одной из проблем может оказаться большой объем времени, требующийся для "самообучения" новой программы. Впрочем, все станет ясно, как только Чинчани и его коллеги создадут полнофункциональный вариант своей программы. На это у них уйдет еще, по меньшей мере, пять месяцев, сообщает "Компьюлента".
