Учёные университета штата Пенсильвания, США, Penn State University, разработали технологию защиты от червей, которая срабатывает спустя миллисекунды после атаки, анализируя скорость обмена данными, частоту и географию отправки пакетов. Этот новый вид так называемой проактивной защиты позволит предотвратить распространение червей, утверждают разработчики. Приложение реагирует на аномалии в ходе соединения, в частности, на частую рассылку пакетов на разные адреса, - поясняет Пенг Лю (Peng Liu), профессор информационных наук и технологий университета. Разработчики систем ИТ-безопасности ищут альтернативу обнаружения вредоносного кода по сигнатурам. Скорость добавления сигнатуры червя в антивирусную базу составляет несколько часов, но за это время он успевает распространиться в больших масштабах, и броня всегда на шаг отстаёт от снаряда. Однако у проактивных защит есть недостаток – возможность ложного срабатывания. Исследователь SANS Institute Йоханнес Ульрих (Johannes Ullrich) предупредил, что подобная система анализа поведения может легко отключить офис от интернет-телефонии, систем мгновенного обмена сообщениями или децентрализованных сетей, генерирующих многочисленные соединения с различными адресами по всему миру. Источник: fullnews.ru
Хм... а malware honeypots разве не так же поступают? Скорость поступления в базу антивируса обычно не более 10 минут, хотя отловить подобные штуки всё-таки могут не всё, а только модификации уже известной заразы, использующей известные уязвимости. Боюсь, что ложных срабатываний избежать в противном случае черезвычайно сложно.