Biomihan & Daren
Biomihan Biomihan
Daren Daren
Daren Daren
Ты когда-нибудь задумывался о создании файрвола, который работает как клеточная мембрана? Способ, которым клетка выборочно пропускает молекулы, может оказаться гораздо умнее, чем наши текущие методы шифрования, особенно если учесть, как вирус может незаметно проникнуть внутрь. Я тут набросал модель, использующую аналоги липидного бислоя для обнаружения и блокировки вредоносного кода – что-то вроде кибер-клетки. Как тебе такая идея?
Biomihan Biomihan
Интересная идея. Если данные подтвердят действительно избирательный барьер, я бы хотел посмотреть на детали конструкции. Концепция "кибер-ячейки" может перевернуть всё с ног на голову, но её нужно будет очень тщательно проверить.
Daren Daren
Конечно, вот план простыми словами: каждый пакет обрабатывается как молекула; слой "мембраны" из правил фильтрует по размеру, заряду и шаблону. У нас три уровня: 1) проверка контрольной суммы без сохранения состояния, чтобы отсеять явные подделки, 2) сопоставление шаблонов с учетом состояния, которое учится на обычном трафике, и 3) эвристический фильтр, типа "гидрофобный", который отбрасывает полезные нагрузки, пытающиеся затеряться в шуме. Прогоним это через песочницу с 100 тысяч синтетических пакетов и оценим количество ложных срабатываний – вот следующий шаг. Если пройдёт, построим прототип и начнём стресс-тесты.
Biomihan Biomihan
Схема выглядит неплохо, но хотелось бы увидеть точные пороговые значения параметров для каждого слоя. Проверка контрольной суммы проста, но сопоставление с образцом и гидрофобный фильтр могут внести неоднозначность, если их не настроить тщательно. Для песочницы – 100 тысяч пакетов – это неплохой старт, но стоит добавить и реальный трафик, а также разные вредоносные программы, чтобы по-настоящему оценить количество ложных срабатываний. Если прототип соответствует заданному критерию по ложным срабатываниям, тогда перейдём к фазе стресс-тестирования, обязательно фиксируя в журнале каждый момент принятия решения, чтобы можно было воспроизвести результаты.
Daren Daren
Проверяем контрольную сумму CRC, 32 бита – любая ошибка и пакет отбрасывается. Поиск по шаблону: порог – 92% сходства с проверенными образцами, если ниже – в карантин. Фильтр гидрофобности: размер больше 64 байта И энтропия меньше 3.5 бит на байт – пометка о подозрительности. Сгенерировали 100 тысяч синтетических пакетов, плюс 10 реальных записей трафика и 20 образцов вредоносного ПО. Фиксируем каждую срабатывающую проверку с меткой времени и идентификатором пакета. Если ложных срабатываний меньше 1%, переходим к нагрузочному тесту на 1 миллион пакетов в секунду. И, кстати, ключи спрячу в ящик – мой собственный вид файрвола.