去年，一種新蠕蟲Storm開始席卷互聯(lián)網(wǎng)。雖然它還沒有引起主流媒體的太大注意，但已經(jīng)讓安全人士寢食難安。Storm比之前的蠕蟲狡猾多了，因為它采用P2P技術(shù)及其他新手法來規(guī)避檢測，肆意傳播。

　　Storm通過潛伏代碼潛入計算機，潛伏代碼可用來破壞公司的整個網(wǎng)絡(luò)。

　　網(wǎng)絡(luò)熵:抑制蠕蟲的新利器

　　信息熵最初由美國應用數(shù)學家Claude Shannon在1948年提出，用于研究傳輸消息中的信息量。如果數(shù)字信號的兩個狀態(tài)：0和1在信號中出現(xiàn)的概率完全一樣，那么下一個會收到哪個比特的不確定性就能最大化。另一方面，如果1的出現(xiàn)概率較高，那么下一個會收到哪個比特的不確定性要低一些。也就是說，如果下一個比特是1的可能性較大，那么熵就會減小。

　　網(wǎng)上的流量模式同樣如此。更確切地說，只要觀察數(shù)據(jù)網(wǎng)絡(luò)上的流量，就能從中得到大量信息。如果我們觀察足夠全面，就能得到進出數(shù)據(jù)包的歷史平均數(shù)，注意到一些重要特征，比如網(wǎng)絡(luò)從哪些地址收到數(shù)據(jù)包、網(wǎng)絡(luò)把數(shù)據(jù)包發(fā)到哪些地址。我們還能注意到在一天的不同時間段發(fā)送了多少數(shù)據(jù)包、使用哪些互聯(lián)網(wǎng)協(xié)議以及總流量。在任何一個時間，網(wǎng)絡(luò)上流量的概率分布將呈現(xiàn)出不同的曲線。實際上，曲線形狀表明了系統(tǒng)的熵。如果曲線形狀保持一致，那么熵很高。如果出現(xiàn)尖峰，就表明出現(xiàn)了低概率事件，熵相應很低。

　　在蠕蟲感染期間，已中招的主機會在很短時間內(nèi)連接到其他許多主機。被感染主機建立的開啟連接會占多數(shù)，熵隨之減小。同樣，數(shù)據(jù)包流中的目標IP地址會比正常流量中的IP地址隨機得多。也就是說，目的地IP地址的分布會更分散，導致網(wǎng)絡(luò)熵較高。

標簽： 安全 代碼 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)協(xié)議 媒體 美國 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。