Традиционные системы предотвращения вторжений полагаются на сигнатуры или реагируют на изменения в структуре трафика, тогда как PWC срабатывает при изменении частоты поступления пакетов или возрастании количества устанавливаемых соединений. Если сигнатурным механизмам на распознавание червя нужно до нескольких минут, то PWC реагирует практически мгновенно, получив всего несколько десятков зараженных пакетов. (Для сравнения, червь Slammer, заразивший в прошлом году Windows-банкоматы, рассылает ежесекундно по 4 тыс. зараженных пакетов). Возрастание количества соединений не всегда свидетельствует об атаке, но разработчики PWC предусмотрели методики, позволяющие быстро разблокировать хосты после ложно-положительных срабатываний. Исследователи предлагают применять их систему совместно с традиционными, которые могли бы отвечать за блокирование более "медленных" червей.

Поделитесь материалом с коллегами и друзьями