Модель запаздывания действия антивирусов при распространении в сетях компьютерных угроз

Размещено на http://www.allbest.ru/

Модель запаздывания действия антивирусов при распространении в сетях компьютерных угроз

Авторы:

Гусаров А.Н., Жуков Д.О.

Введение

антивирус компьютерный сеть

In this work developed model of dynamics chain virus epidemic in a computer network, with delay of action of an antivirus. Lead analysis and discussion of the received model, shown its difference from existing analogues and considered opportunities of its application.

Исследование и математическое моделирование динамики компьютерных угроз является ещё сравнительно молодой и не завершенной областью информатики. Следует упомянуть, что первые работы, посвященные исследованию динамики распространения компьютерных вирусов появились ещё до появления глобальной сети Интернет и здесь можно упомянуть работы J.O. Kephant и S.R. White из компании IBM. В этой работе авторы использовали для моделирования вирусной эпидемии подходы, берущие начало из биологии.

Однако основной прорыв в развитии исследований динамики вирусных эпидемий произошел после эпидемии таких червей (вирусов), как Code Red I, Code Red II, Nimda и Slammer [1-3] и ряда других.

Однако, несмотря на актуальность исследований динамики информационных угроз, в настоящее время существует только две основные модели [4,5], описывающие развития вирусных эпидемий, берущие своё начало из биологии и не учитывающие многих особенностей компьютерных технологий, например, такие как топология сетей.

Анализ сетевых эпидемий последнего времени не позволяет быть уверенным относительно эффективности применяемых мер защиты [3,6] на что в частности указывают результаты работы N. Weaver и его коллег, в которой (на основе анализа имеющихся данных наблюдений и моделирования эпидемий) была разработана концепция Warhol червя (мгновенный вирус) и исследованы различные алгоритмы размножения компьютерных вирусов, кардинально повышающих эффективность их распространения.

Можно сделать общий вывод, что для результативных мер обеспечения безопасности необходимо продолжить исследование новых теоретических моделей описания динамики информационных угроз и анализ на их основе возможных уязвимостей.

Существующие модели развития вирусных эпидемий

Наиболее часто используемыми моделями, описывающими распространение вирусов, являются так называемые SI и SIR - модели, SI - модель описывает развитие эпидемии в сетях без защиты, а вторая SIR - модель с учётом действия антивирусов.

Модель SI [4,5] исходит из того, что любой их входящих в атакуемую сеть компьютеров может находиться в одном из двух состояний: уязвимом (S) и инфицированном (I), причем общее число компьютеров в сети N=I+S. Данная модель основывается на уравнении:

где i - доля зараженных компьютеров, в - константа скорости размножения вирусов.

В модели SIR факторы, обеспечивающие затухание сетевых эпидемий, оцениваются исходя из того, что сетевые узлы могут находиться в трех состояниях: уязвимом (S), зараженном (I) и невосприимчивом (R). Отметим, что узлы оказываются неуязвимыми только после излечения от инфекции, а N - общее число узлов сети равно S+I+R. Вводя постоянную среднюю скорость «иммунизации» в единицу времени г для описания динамики развития эпидемий [5-9], можно получить следующую систему уравнений:

В одной из модификаций модели SIR, кроме того, рассматривается еще возможность прироста сети с постоянной скоростью за счет появления новых узлов. При распространении эпидемии быстрота заражения сети в значительной степени определяется стратегией поведения вирусов. Если происходит рассылка копий вирусов по случайно выбранным адресам, то скорость заражения сети снижается по сравнению с вариантом, когда адресное пространство сети было первоначально разделено между вирусами.

Распространение червей происходит, как правило, путем поиска уязвимых узлов в сети, затем они ищут и используют уязвимые сервисы, работающие на этих узлах для проникновения и заражения. Например, для обнаружения уязвимого узла некоторые черви используют случайное сканирование адресов, при котором червь случайно генерирует IP-адреса. Затем червь пытается запустить уязвимые сервисы на узлах с этими IP-адресами.

В модели SI случайное распространение или целенаправленное распространение вирусов учитывается только эмпирическим образом за счет уменьшения или увеличения величины константы скорости в их размножения.

Предлагаемая модель развития эпидемии с запаздыванием действия антивируса

Часто используемая для описания вирусных атак модель SIR носит эмпирический характер и многие ее параметры являются искусственными, поэтому для практических целей было бы уместно использовать более строго обоснованную модель. Действия угроз в компьютерной сети и в частности распространение вирусов имеет определенные аналогии с цепными процессами, известными в химии и физике. Использование таких подходов для анализа динамики вирусных эпидемий может позволить отойти от принятых в настоящее время биологических аналогий и получить новые результаты, необходимые для моделирования стратегии защиты информационных систем от вирусных угроз.

Для построения такой модели рассмотрим сеть, состоящую из L компьютеров, в которой возможен процесс распространения вирусов, имеющих коэффициент размножения о. Процесс распространения вирусов начинается раньше, чем они будут обнаружены и появится эффективный антивирус, способный их необратимо уничтожить. Антивирусы появляются только на некотором шаге процесса распространения вирусов, отстающим от начала на h₀ - шагов, т.е. на шаге k = h - h₀ (происходит запаздывание).

Число антивирусов, появляющихся для вирусов на (h + 1) шаге или на (k + 1) шаге, для самих себя обозначим как N_k+1, а появившихся на k-шаге (шаге h для вирусов) как N_k.

Число зараженных на (h + 1) шаге компьютеров можно обозначить как P_{h + 1}, а зараженных на шаге h, как P_h. Изменение числа инфицированных машин равно разности числа заражений и числа вирусов, уничтоженных на (h + 1) шаге.

Имеются следующие случайные события, образующие полную систему:

1. Компьютер заражен вирусом с вероятностью (P_h - число вирусов на шаге h, L - число компьютеров в сети).

2. На компьютере с вероятностью имеется антивирус.

3. На компьютере нет ни вируса, ни антивируса с вероятностью .

Число заражений на (h + 1) шаге составит: , т.к. заражение уже зараженного компьютера мы рассматривать не будем, а компьютер, на котором есть антивирус, заразиться не может.

Число вирусов, уничтоженных на (h + 1) шаге, должно составить , где - вероятность того, что на (h + 1) шаге любой из P_h - вирусов, существовавших на шаге h, может встретить антивирус. Таким образом:

Изменение числа компьютеров на (k + 1) шаге, на которых установлен антивирус, определяется разностью N_k+1 - N_k, где N_k+1 - число машин с антивирусом на (k + 1) шаге, N_k - число машин с антивирусом на шаге k.

С другой стороны, N_k+1 - N_k должно быть равно:

где оP_h учитывает, что антивирус устанавливается на (h + 1) шаге на тех машинах, на которых на шаге h был обнаружен вирус, а член учитывает, что антивирус устанавливается только там, где его нет.

Учитывая, что длительность каждого шага равна ф, то все время процесса t и число шагов h связаны между собой следующим соотношением t=hф, а t₀ = h₀ф (k = h - h₀).

Переходя от числа шагов h и k к времени процесса, получим:

Обозначим t-t₀ = y и разложив (5) и (6) в ряд Тейлора, получим:

Ограничиваясь в левых частях уравнений Ошибка! Источник ссылки не найден.(7) и (8) не более чем первыми производными получим:

с начальным условием P(t=0) = P₀ и

с начальным условием N(y=0) = P(t₀) где y = t - t₀.

Анализ предлагаемой модели распространения вирусов

Численное решение системы уравнений (9) и (10) позволяет получить зависимости, моделирующие цепной процесс распространения вирусов, когда в момент времени t = t₀ начинает действовать антивирус.

Как уже отмечалось ранее, результативность распространения вирусов определяется в основном величиной коэффициента размножения вируса о и средней длительностью ф одного шага развития вирусной эпидемии.

На рисунке 1 представлены результаты численного решения системы уравнений (9) и (10) для сети, состоящей из 100000 машин, с начальным числом вирусов P₀ = 5 и величиной ф = 25 условных единиц для различных о, при условии начала действия антивируса в момент времени t₀ = 15 условных единиц времени после начала размножения вирусов.

Кривая 1 на рис.1 показывает изменение с течением времени число машин на которых установлен антивирус N(t), а кривая 1? - число инфицированных компьютеров P(t). Обе кривые получены для о = 10. Кривая 2 и 2?, соответственно, характеризует изменение с течением времени числа антивирусов и вирусов в сети, состоящей из 100000 компьютеров для случая о = 5. Кривые 3 и 3? имеют аналогичный смысл для о = 2.

Как видно из рисунка 1, рост числа антивирусов по своему характеру близок к логистической кривой.

Следует обратить внимание, что предельное значение антивирусов не достигает числа компьютеров в сети 100000, после ликвидации вирусной атаки. Стоит обратить внимание на предельные значения N(t), полученные на рис. 1 для кривой 1. Для кривой 1 на рис.1 величина N(t) достигает значения 8.4*10⁴, а следовательно в рассматриваемой сети остаются 1.6*10⁴ компьютеров, на которых нет антивирусного ПО и может возникнуть новая вспышка эпидемии. Подобная картина часто наблюдается на практике, когда пользователи не устанавливают антивирусное ПО на свои компьютеры после предотвращения эпидемии, если во время эпидемии они не были инфицированы. По всей видимости, это и может служить причиной повторных всплесков активности червей и вирусов, как это наблюдалось в 2001 году с червем Code Red I, Code Red II и Nimda [1-3].

Рисунок 2 иллюстрирует состояние сети, состоящей из 100000 машин для различных значений ф (при P₀ = 5, о = 3 и момента времени t₀ начала действия антивирусов, равного 15 условных единиц), увеличение величины ф приводит к общему увеличению времени всего процесса распространения и гибели вирусов. При прогнозировании вирусных атак и комплекса защитных мероприятий особый интерес представляет время запаздывания действия антивирусного ПО. На рисунке 3 показано изменение величин N(t) - кривые 1 и P(t) - кривая 1^/ для сети, состоящей из 100000 машин с о = 3, P₀ = 5 и ф = 25 условных единиц для t₀ = 15. С ростом t₀ кривая 1^/ сдвигается вправо, причем она совпадает с кривой 1 все больше, на больших временах t.

Данные моделирования показывают, что чем позже начинает действовать антивирусное ПО, тем сильнее оказывается заражена сеть.

Выводы

Рассмотренная в данной работе модель цепного развития эпидемии компьютерных вирусов в сети с запаздыванием действия антивирусов, в отличие от существующей эмпирической модели SIR является более обоснованной. Уравнения Ошибка! Источник ссылки не найден.(9) и (10) образуют систему уравнений, которая отличается от используемой в модели SIR:

1. В уравнении (9) убыль вирусов в правой части определяется произведением числа вирусов на вероятность их встречи с антивирусом, в то время как модель SIR говорит об убыли, происходящей с постоянной средней скоростью «иммунизации» в единицу времени г, т.е. убыль в модели SIR является постоянной.

2. В предлагаемой модели скорость изменения числа антивирусов связана с числом вирусов, уже существующих в данный момент в сети (уравнение (10)Ошибка! Источник ссылки не найден.). В модели SIR вводится, что скорость появления антивирусов не зависит от числа имеющихся вирусов, т.е. изменение их количества как бы не связано с эпидемией.

Кроме того, полученная модель, в отличие от модели SIR, позволяет предсказывать результат, при котором в рассматриваемой сети может возникнуть новая вспышка эпидемии, т.к. часть компьютеров остается незащищенной антивирусом из-за того, что первоначальная эпидемия закончилась раньше, чем антивирус был установлен на все компьютеры.

Литература

антивирус компьютерный сеть

1.Zou, C.C. Code Red Worm Propagation Modeling and Analysis [Text] / C.C. Zou, W. Gong, D. Towsley // In 9th ACM Symposium on Computer and Communication Security. - Washington DC, USA, 2002. - P.138-147.

2.Gaudin, Sh. 2003 'Worst Year Ever' for Viruses, Worms [Электронный ресурс]/ Sh. Gaudin. - Режим доступа: www.esecurityplanet.com/trends/.

3.Staniford, S. How to Own the Internet in Your Spare Time [Text] / S. Staniford, V. Paxson, N. Weaver // 11th Usenix Security Symposium. - San Francisco, USA, 2002. - P.149-167. - ISBN 1-931971-00-5.

4.The Workshop on Rapid Malcode (WORM) [Text] / ACM PRESS. - Washington DC, USA, 2003. - ISBN 1-58113-785-0.

5.Захарченко, А.А. Бой с тенью: компьютерные вирусы и причины сетевого хаоса [Текст] / А.А. Захарченко // Защита информации. Конфидент, 2003, № 6. - М.,2003. - C.49-52.

6.Zou, C.C. Monitoring and Early Warning for Internet Worms [Text] / C.C. Zou, W. Gong, D. Towsley // Proceedings of the 10th ACM Conference on Computer and Communications Security, CCS 2003. ACM PRESS 2003. - Washingtion DC, USA, 2003. - ISBN 1-58113-738-9.

Размещено на Allbest.ru