Информационные эпидемии

В последнее время вредоносные программы, использующие уязвимости в Windows и прикладных программах, появляются все быстрее и быстрее после выхода исправлений к этим уязвимостям. В некоторых случаях вредоносные программы появляются даже раньше исправлений. Помня об этом, необходимо своевременно устанавливать исправления и лучше всего для этого использовать средства автоматической установки.

Хотя большинство вредоносных программ используют уязвимости в продуктах Microsoft, существует немало и таких, которые эксплуатируют дыры в программах других производителей. Особенно это касается широко распространенных программ обмена сообщениями, браузеров и почтовых клиентов. Поэтому мало просто установить браузер[90], отличный от Internet Explorer, его тоже нужно обновлять по мере выхода исправления. Чаще всего, в подобных программах есть встроенные средства обновления, но для подстраховки нелишним будет следить за новостями на веб-сайтах, посвященных вопросам безопасности. Информация обо всех критических уязвимостях и исправлениях к ним обязательно попадает в новостную ленту.

Для того чтобы удаленно воспользоваться уязвимостью в программном обеспечении или операционной системе, нужно установить соединение и передать специально сформированный пакет данных. Следовательно можно защититься от таких попыток проникновения и заражения, путем запрета определенных соединений. Задачу контроля соединений успешно решают программы-брандмауэры.

Брандмауэр - это программа, которая следит за сетевыми соединениями и принимает решение о разрешении или запрещении новых соединений на основании заданного набора правил.

Для борьбы с вирусами брандмауэры могут применяться в двояком качестве. Во-первых, брандмауэр можно успешно использовать для защиты от вредоносных программ, которые распространяются непосредственно по сети, используя уязвимости в операционной системе[86]. Например, червь Sasser атакует службу Windows LSASS через TCP порт 445. Значит для защиты от червя достаточно создать в брандмауэре правило, запрещающее входящие соединения на этот порт. Если речь идет о домашнем компьютере, который использует сеть только для выхода в Интернет, такой способ защиты не будет иметь побочных эффектов. В организации с локальной сетью, где порт 445 используется для работы Windows-сети, могут возникнуть неудобства.

Брандмауэр можно использовать и для защиты от атак неизвестных вирусов. В случае домашнего компьютера, использующего сеть только для доступа в Интернет, можно запретить вообще все входящие соединения, и тем самым обезопасить себя от любых атак извне.

Второй аспект применения брандмауэров для защиты от вредоносных программ состоит в контроле исходящих соединений. Многие троянские программы, да и черви, после выполнения вредоносной функции стремиться подать сигнал автору вируса. Например, троянская программа, ворующая пароли, будет пытаться переслать все найденные пароли на определенный сайт или почтовый адрес. Для того чтобы воспрепятствовать этому, можно настроить брандмауэр на блокирование всех неизвестных соединений: разрешить только соединения от доверенных программ, таких как используемый браузер, почтовый клиент, программа мгновенного обмена сообщений, а все остальные соединения запретить. В таком случае, вредоносная программа, даже попав на компьютер незамеченной, не сможет причинить реального ущерба.

1.5 Модели развития информационных эпидемий

В эпидемиологии используются два основных типа моделей: стохастические и детерминистические. Стохастический подход применяется для исследования эпидемий в малых или изолированных популяциях, когда особенно важную роль в распространении заболевания играют случайные колебания вероятностей заражения индивида. Детерминистические модели описывают эпидемиологический процесс на уровне всей популяции и пригодны для больших популяций. Применение стохастических моделей для больших популяций дает такие же результаты как полученные детерминистическим подходом. Для упрощения анализа распространения инфекционного заболевания, особенности заражения и излечения индивида не учитываются. Считается, что каждый индивид в популяции может находиться только в одном из нескольких состояний. В общем случае, детерминистическая MSEIR модель выделяет в популяции пять групп:

* М (passive immunity - обладающие пассивным иммунитетом)

* S (susceptible - уязвимые)

* Е (exposed - зараженные, латентная стадия)

* I (infective - зараженные, распространяющие заболевание)

* R (recovered/removed - индивиды, неподверженные заболеванию)

Индивиды М, обладающие пассивным иммунитетом к инфекции от рождения, постепенно переходят в группу подверженных заболеванию индивидов S. Уязвимые индивиды S заражаются индивидами I с некоторой частотой 3. Новые зараженные индивиды проводят некоторое время в группе развития заболевания Е, а затем приобретают способность распространять инфекцию. Зараженные индивиды излечиваются с некоторой частотой 5 и переходят в группу R, обладающую иммунитетом. Существует множество модификаций этой модели, включающих только определенные группы: модели SI, SIR, SEIR и другие. Также существует модификация MSEIRS и производные от нее, в которой неподверженные заболеванию индивиды могут со временем терять иммунитет и переходить в группу уязвимых. Решение о том, какие группы включать в модель зависит от особенностей распространения конкретного заболевания и от цели моделирования.

В исследовании динамики распространения вредоносных программ нашли широкое применение претерпевшие различные модификации эпидемиологические математические модели, представляющие собой дифференциальные уравнения и системы.

SIR-модель учитывает процесс вывода заражённых субъектов из компьютерной системы, она базируется на предположении, что во время эпидемии некоторое количество заражённых субъектов либо избавляется от вредоносной программы, либо перестаёт функционировать. Как только субъект избавляется от вредоносной программы, он приобретает к ней иммунитет.

Модель RCS (Random Constant Spread) - наиболее простая модель, не учитывающая лечение, предполагающая постоянное непрерывное распространение вируса. Имеет простое аналитическое решение.

Двухфакторная модель в отличие от RCS учитывает два фактора: участие человека в борьбе с эпидемией с помощью отключения отдельных узлов либо иммунизации и непостоянство скорости распространения вируса.

Модель PSIDR (Progressive Suspected-Infected-Detected) учитывает особенности работы антивирусов: антивирус может обнаруживать и удалять вирусы только после того, как в вирусной базе появится сигнатура этого 9 вируса. Добавлено дополнительное состояние D (Detected), в котором находятся узлы, на которых вирус уже обнаружен, но ещё не излечен.

Модель AAWP (Analytical Active Worm Propagation) отличается от других моделей тем, что основана на дискретном времени (что повышает точность моделирования быстрых червей), учитывает возможность устранения уязвимости, используемой вирусом, учитывает время, требуемое для заражения компьютера и возможность одновременной атаки с различных узлов (что повышает точность моделирования массовых эпидемий).

Симулятор Уивера является имитационной моделью, требующей в отличие от аналитических гораздо больше вычислительных ресурсов, но позволяет с высокой точностью оценивать и сравнивать скорости аспространения вирусов, использующих различные технологии сканирования (случайное сканирование, сканирование заранее составленного списка, сканирование локальных подсетей и перестановочное сканирование).

Во всех перечисленных моделях использовано предположение о том, что структура сети не влияет на динамику распространения эпидемии. При этом считается, что вероятности контактов всех узлов в каждый момент времени равны между собой. Было показано, что в действительности ни в реальных экосистемах, ни в компьютерных сетях данное предположение не выполняется.

Модель на основе случайного графа изучает распространение вируса в сети, представляемой случайным графом с заданными характеристиками.

Модель на двумерной решетке и иерархическом случайном графе позволяет исследовать распространение вирусов в сетях, имеющих структуру двумерной решетки и иерархического случайного графа, и позволяет оценить влияние структуры сети на скорость развития эпидемии.

Модель «тесного мира» (small-world model) описывает развитие эпидемии вирусов в сети, представляемой графом «тесного мира». Многие сети имеют 10 структуру, которую можно в определенном приближении представить в виде графа «тесного мира» с определенными параметрами.

Безмасштабные сети также могут быть использованы для моделирования распространения вирусов, т.к. было доказано, что многие сети (биологические и компьютерные) могут быть в определенном приближении представлены как безмасштабные.

1.6 Эпидемиологическая модель SIRS

Модель SIRS состоит из 4 элементов:

- Восприимчивый (S)

- Зараженный (I)

- Восстановленный (R)

- Восприимчивый (S)

Восприимчивые процессы - процессы, которые восприимчивы к получению вредоносной информации, они в состоянии подхватить вирус. Как только они заражаются, они переходят в разряд зараженных процессов.

Зараженные процессы - процессы, которые могут распространять вредоносную информацию восприимчивым процессам. Время, которое они проводят в зараженном состоянии, является инфекционным периодом, после которого они переходят в разряд восстановленных.

Восстановленные процессы - процессы, которые полностью избавлены от вредоносной информации и неуязвимы для вредоносного воздействия, которым были прежде поражены.

Рассмотрим модель на заражении болезнью гриппа населения.

Восприимчивый класс ссылается на людей, которые еще не заразились гриппом. Индивидуумы, которые в настоящее время болеют, составляют зараженный класс. Люди, которые выздоровели, были перемещены в класс восстановленных. Обозначим число индивидуумов в восприимчивом, зараженном и восстановленном классах. Соответственно S, I и R.

Рис. Структурная схема SIRS

Уровень, на котором восприимчивые изменяют свой класс равен уровню, в котором имеет место инфекция и где индивидуумы теряют свой иммунитет. Заражение происходит, когда болезнь передается от зараженного индивидуума к восприимчивому. Число восприимчиво-зараженных контактов пропорционально произведению S и I. Из этих контактов, некоторая доля заразится гриппом. Также уровень, в котором индивидуумы теряют иммунитет, пропорционален числу людей в восстановленному классе. Поэтому, приблизительно уровень изменения в восстановленном классе будет:

, (1)

где I - сила инфекции и - уровень на душу населения, в котором люди в восстановленном классе теряют иммунитет. Выражение (1) отрицательное, потому что в течении инфекции число восприимчивых людей уменьшается. Уровень, в котором появляется инфекция, называют падением. Члены восприимчивого класса, которые заразились, увеличивают количество в зараженном классе. Уровень, в котором люди переходят из восприимчивого класса, равен уровню зараженного класса, к которому они присоединились.

Предположим, что число людей, перемещенных из инфекционного класса в восстановленный, - это некоторая доля зараженного класса. Если мы обозначим г долей людей, перемещенных из зараженного класса в восстановленный, уровень изменения зараженного класса будет:

(2)

R возрастает в пропорциональной доле к числу препаратов для входа в класс. Это уменьшает пропорциональную долю с размером, когда индивидуум теряет иммунитет и переходит в восприимчивый класс. Поэтому уровень изменения в восстановленном классе будет:

(3)

Собрав три выражения, мы получим:

(4)

Число различных компьютерных вирусов является огромным и ежедневно быстро увеличивается. Экономический ущерб от их действий исчисляется десятками миллиардов долларов США и, в будущем, будет возрастать.

Нет ни одной информационной системы или компьютерной программы, которая потенциально не может быть инфицирована. Уязвимости программного обеспечения уже изначально заложены в ограниченности используемых для их создания средств разработки. Кроме того, развитие новых технологий приводят к тому, что в существующем ПО появляются новые уязвимости, вызванные использованием этих технологий.

Увеличение функциональных возможностей информационных систем и программного обеспечения приводят к возникновению новых проблем в защите.

Таким образом, на сегодняшний день существует потребность в решении задачи выбора наиболее эффективного метода защиты атакуемых ИТКС, так как есть тенденция к увеличению темпов распространения вредоносной информации компонентам ИТКС посредством эпидемического распространения информации по модели SIRS. Необходимо построить риск-модель и на её основании выработать рекомендации по предупреждению атак.

Размещено на Allbest.ru