Netzwerk-Flaschenhals gegen Viren
Moderne Computerwürmer und -viren stellen den herkömmlichen Virenschutz vor ein Problem: Die Schädlinge verbreiten sich dank Internet und Netzwerken rasend schnell und haben bisweilen bereits Zehntausende Rechner infiziert, bevor die Unternehmen eingreifen können.
Beispiele dafür sind der "Nimda"- und der "SQLSlammer"-Wurm. "Nimda" verbreitete sich im Vorjahr kurz nach seinem Auftreten, indem er pro Sekunde nicht weniger als 400 Computer im Netzwerk kontaktierte. "SQLSlammer" bringt es immerhin noch auf 100 pro Sekunde.
Schnelle Verbreitung
Das sorgt nicht nur für eine schnelle Verbreitung, sondern
belastet auch Netzwerk und Rechenleistung aufs Äußerste. In den HP
Labs wird derzeit an einer Möglichkeit geforscht, derart aggressive
Viren im Ansatz zu erkennen und ihre Verbreitung zu verhindern.
Das KonzeptNetzwerk wird überwacht
Dabei wird das Netzwerk genau überwacht, und im Falle eines unüblichen bzw. verdächtig massiven Netzwerkzugriffs wird der Wurm gesperrt ["Virus Throttling"]. "Der Vorteil ist, dass wir die Signatur des Virus nicht im Vorhinein wissen müssen", umreißt Forscher Matthew Williamson sein Konzept. "Durch seine aggressiven Verbreitungsmethoden wird der künftige Schädling sofort erkannt und erstickt."
Im Falle eines "Nimda"-Virus, wo auf Grund der plötzlich auftretenden massiven Zahl an Netzwerkverbindungen die Identifikation leicht fällt, wird der betroffene Computer innerhalb einer Sekunde gehindert, seinen schädlichen Inhalt zu verbreiten. Bei Viren, die nur einige Verbindungen pro Minute aufbauen, dauert das entsprechend länger.
Derzeit ist die Erkennungssoftware auf den Testrechnern der HP Labs installiert. Williamson will die Technologie aber mittelfristig ins Netzwerkequipment verlagern. In einem Router oder Switch sei das am ehesten sinnvoll, da unabhängig vom Betriebssystem jeder Computer überwacht werden könnte. Außerdem würde die Gefahr wegfallen, dass Viren nach der Virus-Throttling-Software suchen und diese zu löschen versuchen.
