新一代入侵检测系统INFER

　　近日，纽约大学理工学院计算机科学与工程学教授Nasir Memon已经开发出了基于网络的病毒检测系统来检测大型网络内的被感染破坏的主机电脑。

　　Memon表示，“我们不是把重点放在防止感染入侵，而是假设存在一种感染，并侧重于检测这种感染。入侵防御是不够的，我们必须非常仔细的监测网络和是否存在感染。”

　　Memon在近日纽约大学的网络基础设施保护会议中介绍了他的系统，并将他的系统称为INFER。INFER的目的在于检测出有组织的攻击者试图对企业和政府网络发起的隐形攻击，网络管理员通过使用针对已知恶意软件的防火墙、防病毒软件、入侵防御或者入侵检测系统来检测出这些进展缓慢的攻击。

　　另一方面，INFER侧重于已经位于网络中的恶意软件，INFER使用位于路由器和交换机附近的传感器来被动的监测网络流量并进行总结，INFER配备的数据挖掘引擎可以对这些数据统计进行分析并查出受感染的机器。

　　INFER的控制台为网络管理员提供了可能受到感染的前十名主机计算机列表，同时INFER还可以允许网络管理员来追踪具体主机的历史流量模式。

　　据介绍，INFER并不是寻找出已知的恶意软件或者攻击，也不是寻找与这些攻击相关的签名或者行为模式。相反的，INFER寻找显示出被感染征兆的主机，而不是寻找感染本身。INFER会检测计算机的很多症状，如速度变慢、频繁重启、DNS重新连接和主机作为代理服务器运行。

　　只要攻击者开始对感染计算机进行任何操作，就会开始在网络留下足迹，这也是我们想要找出的，这就像在网络中安装一台实时监视摄像机一样。

　　INFER为网络流量进行症状总结，而不是将这些网络流量存储起来进行分析。通过使用网络流量的状态数据，INFER可以让用户腾出空间存储多达3个多月的数据，并将这些数据进行集中审查。

　　纽约大学理工学院已经运行了两年INFER系统，实时检测网络中3000台计算机的行为，“我们每天都会发现僵尸网络，并向IT人士报告僵尸网络的存在，”Memon表示。

　　Memon和他的学生已经成立了一家名为Vivic的公司，来将INFER系统推入市场。到目前为止，Vivic已经吸引了美国陆军研究实验室的关注，他们计划使用该系统来部署其审讯网络监测项目。INFER也吸引了其他客户的关注，包括政府，计划使用该系统来监测43000台主机。

　　目前Vivic公司正在为INFER制定营销策略，“INFER代表着不同角度的产品，”Memon表示，“网络管理人员经常在想该如何预防攻击者进入网络，而实际上攻击者已经位于网络中。”