динамические модели распространения вредоносного ПО
.pdf
Монахов Ю.М., аспирант каф. ИСИМ ВлГУ Куженькина Н.А., студ. КЗИ-103 ВлГУ
ДИНАМИЧЕСКИЕ МОДЕЛИ РАСПРОСТРАНЕНИЯ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ НА ОСНОВЕ ТЕОРИИ ХАОСА
Исследование распространения сетевых червей становится все более актуальным в настоящее время в связи с развитием и применением информационных технологий во всех сферах человеческой деятельности и широким распространением сети Интернет. Организации несут огромный ущерб в связи с деструктивным воздействием вредоносного программного обеспечения. Возрастает роль угроз доступности и целостности информации. Таким образом, возникает необходимость в определении особенностей распространения ПО, изучении моделей распространения вирулентного кода для предотвращения дальнейших эпидемий и обеспечения безопасной работы организаций.
Математические модели для исследования распространения вредоносного программного обеспечения известны достаточно давно [1]. Наиболее известными из них являются следующие: модель SI, модель SIR, модель AAWP [2], модель Progressive SIDR [3]. Что касается хаотических моделей, то для начала нам надо определить возможность использования данных моделей для нашей системы, состоящей из компьютеров и вредоносного ПО.
Наша система, состоящая из компьютеров, вредоносного программного обеспечения и вакцин1 является динамической, её состояние меняется во времени в соответствие с фиксированными правилами, среди которых можно выделить правила распространения вирусов и вакцин, взаимодействия вакцин и вирусов.
Также система является детерминированной, то есть эти правила не включают явным образом элемента случайности. Вследствие этого можно сделать вывод, что хаотические модели применительно к данной системе будут логически корректны.
Первой хаотической моделью, которую мы рассмотрим, будет реализация модели распространения вредоносного ПО с помощью модели хищник-жертва Система дифференциальных уравнений выглядит следующим образом:
1 В данной работе под вакциной понимается программный код, служащий для нейтрализации, защиты и устранения вредных последствий вредоносных программ. Под это понятие в данном случае также можно отнести действия системного администратора по установке дополнительных обновлений программ.
1
ì dx/dt = k1 AX - k2XR |
(1) |
í |
|
î dR/dt = k4BR + k2XR - k3BR |
|
где Х — количество заражённых компьютеров, |
R — количество |
вакцинированных компьютеров, k1, k2, k3, k4 – коэффициенты, А – скорость распространения вредоносных программ в сети, В — скорость распространения вакцин в сети, dx/dt — скорость распространения вредоносных программ, dR/dt — скорость распространения вакцин.
Основную роль в данной модели играют коэффициенты k1 – k4. Они определяют, будет ли вредоносная программа уничтожена, либо количество вакцин в сети сократится, и вредоносная программа не успеет погибнуть. Также они определяют скорость распространения вакцин и вредоносных программ в системе. Если скорость распространения вакцин в системе достаточно велика, то можно избежать эпидемии и быстро вылечить инфицированные компьютеры.
Второй моделью, которую мы рассмотрим, будет физическая модель распространения вредоносного программного обеспечения. В данной модели вирус распространяется в сети, состоящей из N числа компьютеров,
количество заражённых компьютеров обозначим как Nз .
Заражённые компьютеры будут воздействовать на систему с силой:
F = Nзa , |
(2) |
где a - ускорение заражения.
Будем рассматривать F как управляющий параметр воздействия на систему, также будем исследовать потерю устойчивости системы по мере того, как F постепенно увеличивается от нулевого значения.
Значение силы зависит от количества заражённых компьютеров в системе на данный момент. Соответственно, чем больше компьютеров заражено, с тем большей силой будут воздействовать вредоносные
программы на систему. Степень заражения компьютеров обозначаем как 
. 
Если бы система не сопротивлялась заражению, то в конечном итоге
были бы заражены все компьютеры. Однако система противодействует этому. В системе возникает сила Fn (сила противодействия).
Fn = an (N − Nз ) |
(3) |
Связана она с особенностями операционной системы, с обнаружением признаков вредоносной программы антивирусами, работой системного администратора по противодействию заражению.
Определим критическое значение силы воздействия вредоносных программ, оно будет определяться по формуле:
|
F = |
|
k |
(4) |
|
|
|
|
|
||
|
с |
|
N |
|
|
Таким образом, получаем, что при F таком, что F>Fc |
наблюдается |
||||
неустойчивость, при |
F<Fc |
будет наблюдаться устойчивость, то есть |
|||
равнодействующая сил становится отличной от нуля и будет |
направлена к |
||||
положению равновесия.
2
Поведение вредоносных программ в системе неоднородно, то есть влияние вредоносных программ то увеличивается, то уменьшается. Однако большую часть времени система находится в стабильном состоянии, изменение влияния вредоносных программ незначительно, и, несмотря на деструктивный потенциал вредоносной программы, большую часть времени система не будет испытывать разрушительных воздействий. Усиление воздействия повторяется через определённый промежуток времени, таким образом это даёт нам возможность спрогнозировать следующую вспышку активности вредоносных программ.
Среди методов обнаружения вторжений выделяют [3]:
−сигнатурный метод анализа, в данном подходе сигнатуры вторжений определяют характерные особенности, условия, устройства и взаимосвязь событий, которые ведут к попыткам или собственно к вторжению;
−статистический метод анализа, в данном случае в системе для выявления атаки определяется «нормальная» сетевую активность и
затем весь трафик, не подпадающий под определение «нормального», помечается как аномальный.
Оба метода имеют свои недостатки. Поэтому для создания эффективной системы обнаружения вторжений рекомендуется совмещать оба метода. Таким образом, данные поступают на входы различных анализаторов, где они анализируются. Результаты данных действий обобщаются, и формируется решение о факте атаки на систему. В данном случае мы сочетаем сигнатурный и статистический методы анализа данных.
Список источников:
1.Н.Т.Дж. Бейли; Математическая теория эпидемий; Хафнер 1957
2.Weaver, N. Warhol Worms: The Potential for Very Fast Internet Plagues [Электронный ресурс] – Режим доступа: http://www.cs.berkeley.edu/~nweaver/warhol.html
3.Williamson, M. W. and Leveille, J. «An epidemiological model of virus spread and cleanup» HPL-2003-39 [Электронный ресурс] – Режим доступа: http://www.hpl.hp.com/techreports/2003/HPL-2003-39.pdf
4.Корт С.С. Методы обнаружения нарушителя. [Электронный ресурс]
– Режим доступа: http://www.ssl.stu.neva.ru/sam/IDS%20Methods.htm.
3