扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
去年,一种新蠕虫Storm开始席卷互联网。虽然它还没有引起主流媒体的太大注意,但已经让安全人士寝食难安。Storm比之前的蠕虫狡猾多了,因为它采用P2P技术及其他新手法来规避检测,肆意传播。
Storm通过潜伏代码潜入计算机,潜伏代码可用来破坏公司的整个网络。
网络熵:抑制蠕虫的新利器
信息熵最初由美国应用数学家Claude Shannon在1948年提出,用于研究传输消息中的信息量。如果数字信号的两个状态:0和1在信号中出现的概率完全一样,那么下一个会收到哪个比特的不确定性就能最大化。另一方面,如果1的出现概率较高,那么下一个会收到哪个比特的不确定性要低一些。也就是说,如果下一个比特是1的可能性较大,那么熵就会减小。
网上的流量模式同样如此。更确切地说,只要观察数据网络上的流量,就能从中得到大量信息。如果我们观察足够全面,就能得到进出数据包的历史平均数,注意到一些重要特征,比如网络从哪些地址收到数据包、网络把数据包发到哪些地址。我们还能注意到在一天的不同时间段发送了多少数据包、使用哪些互联网协议以及总流量。在任何一个时间,网络上流量的概率分布将呈现出不同的曲线。实际上,曲线形状表明了系统的熵。如果曲线形状保持一致,那么熵很高。如果出现尖峰,就表明出现了低概率事件,熵相应很低。
在蠕虫感染期间,已中招的主机会在很短时间内连接到其他许多主机。被感染主机建立的开启连接会占多数,熵随之减小。同样,数据包流中的目标IP地址会比正常流量中的IP地址随机得多。也就是说,目的地IP地址的分布会更分散,导致网络熵较高。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。