- •Введение
- •1. Теоретические основы анализа вирусных эпидемий в информационно-телекоммуникационных сетях
- •1.1. Актуальность противодействия вирусным эпидемиям вредоносного программного обеспечения
- •1.2. Информационно-телекоммуникационная сеть как объект внедрения вредоносного программного обеспечения
- •1.3. Многообразие вредоносного программного обеспечения вирусного характера
- •1.4. Многообразие антивирусного программного обеспечения
- •1.5. Особенности вирусных эпидемий
- •1.6. Выводы по главе
- •2. Вирусные потоки на элементы информационно - телекоммуникационных сетей: оценка вероятности заражения
- •2.1. Входящий поток
- •2.2. Заражение элемента системы файловым вирусом
- •2.3. Заражение элемента системы сетевым вирусом
- •2.4. Заражение элемента системы загрузочным вирусом
- •2.5. Заражение элемента системы макровирусом
- •2.6. Заражение элемента системы скрипт-вирусом
- •2.7. Оценка вероятностей реализации различных этапов вирусной атаки
- •2.7.1. Вероятностная модель процесса инфекционного заражения элемента системы
- •2.7.2. Вероятностная модель процесса излечения зараженного элемента системы
- •2.7.3. Вероятностная модель процесса латентного инфицирования элемента системы
- •2.7.4. Вероятностная модель процесса выхода из строя зараженного элемента системы
- •3. Модели развития вирусных эпидемий в информационно-телекоммуникационных сетях
- •3.1. Математическая модель развития вирусных алгоритмов на примере sir-модели
- •3.2. Описание процесса реализации и риск-оценки вирусной эпидемии по модели si
- •3.2.1. Принцип построения и перечень обозначений для si-модели
- •3.2.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения эпидемии по модели si
- •3.3. Описание процесса реализации и риск-оценки вирусной эпидемии по модели sis
- •3.3.1. Принцип построения и перечень обозначений для sis-модели
- •3.3.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели sis
- •3.4. Описание процесса реализации и риск-оценки вирусной эпидемии по модели seis
- •3.4.1. Принцип построения и перечень обозначений для seis-модели
- •3.4.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели seis
- •3.5. Описание процесса реализации и риск-оценки вирусной эпидемии по модели sir
- •3.5.1. Принцип построения и перечень обозначений для sir-модели
- •3.5.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели sir
- •3.6. Описание процесса реализации и риск-оценки вирусной эпидемии по модели seir
- •3.6.1. Принцип построения и перечень обозначений для seir-модели
- •3.6.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели seir
- •3.7. Механизм регулирования рисков
- •3.8. Выводы по главе
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
2.3. Заражение элемента системы сетевым вирусом
Далее рассмотрим процесс заражения элемента системы сетевым вирусом. Данный класс вирусов создает дополнительную нагрузку на канал связи.
Смоделируем процесс от момента отправки вредоносного ПО до момента заражения элемента системы с помощью сети Петри-Маркова. Для построения сети используем следующие обозначения:
S1 — злоумышленник готов к отправки вредоносного ПО;
S2 — устройство пользователя готово к приему вредоносного ПО;
t1 — сканирование открытых портов системы. Сканирование может осуществляться как через внутренние методы вирусного ПО, так и через подключение к внешней локальной сети;
S3 — порт в режиме прослушивания;
t2 — определение количество и типов приложений подключенных к порту;
S4 — приложение подключенное к данному порту;
t3 — «распоточивание» вредоносного ПО;
S5 — первый поток, направлен на заражения внешних запоминающих устройств;
S6 — второй поток, направлен на дальнейшее распространение по сети;
t4 — подключение и заражение внешнего запоминающего устройства;
S7 — зараженное внешнее запоминающее устройство;
t5 — анализ локальной сети на предмет её наличия;
S8 — найденная локальная сеть;
t6 — сканирование открытых портов. Сканирование может осуществляться как через внутренние методы вирусного ПО так и через подключение к внешней локальной сети;
S9 — порт в режиме прослушивания. Как правило, у одного приложения один порт для обмена данными, но не исключены варианты нескольких портов в одном приложении;
t7 — заражение приложения вирусным ПО;
S7 — ПО зараженное вирусным ПО;
t8 — ожидание подключения внешних запоминающих устройств.
Отсюда граф данной атаки имеет вид, представленный на рис. 2.2.
Рис. 2.2. Граф реализации атаки сетевым вирусом
Тогда матрица, определяющая логические функции срабатывания сети, может быть записана (без учета направленности дуг графа) следующим образом (табл. 2.2):
Таблица 2.2
Матрица срабатывания сети Петри-Маркова для графа реализации атаки сетевым вирусом
t1 |
t2 |
t3 |
t4 |
t5 |
t6 |
t7 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
|
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
1 |
0 |
1 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
t1 |
t2 |
t3 |
t4 |
t5 |
t6 |
t7 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
Для данной матрицы (табл. 2.2) имеет место следующая система интегрально-дифференциальных уравнений (2.5):
, |
(2.5) |
, |
|
|
|
, |
|
|
|
|
|
|
|
, |
|
|
По аналогии с разделом 2.2 полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
|
(2.6) |
где: i = 1,…,10, j = 1,…,7.
Применяя пуассоновское приближение, получим среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
|
(2.7) |
|
|
|
где исходные параметры атаки принимают следующие значения:
– среднее время подготовки вредоносного ПО злоумышленником;
– среднее время подготовки устройства пользователя;
– среднее время необходимое для заражения сканирование открытых портов системы;
– среднее время разбиения вредоносного ПО на два потока;
– среднее время необходимое для заражения внешнего запоминающего устройства;
– среднее время сканирование системы на предмет наличия локальной сети;
– среднее время сканирование открытых портов системы;
– среднее время заражения приложения вирусным ПО;
τ – среднее время для всей цепочки событий.
Из (2.7) можно найти время завершения атаки:
|
(2.8) |
оценка которого имеет особое практическое значение.