2.5. Заражение элемента системы макровирусом
Смоделируем процесс заражения элемента системы макровирусом. В качестве элемента заражения данный класс вирусов использует файлы поддерживающие макро-языки. В этом случае уместно использовать следующие обозначения:
S1 – злоумышленник готов к запуску вредоносного ПО;
t1 – сканирование системы на присутствие встроенного в систему макроязыка;
S2 – макроязык в операционной системе;
t2 – запись вредоносного кода;
S3 – вредоносный код;
t3 – запуск зараженного приложения;
S4 – деструктивные действия направленные на нанесения ущерба.
На рис. 2.4 представлен соответствующий граф.
Рис. 2.4. Граф реализации атаки макровирусом
В таблице 2.4 представлены элементы матрицы, определяющие логические функции срабатывания сети.
Таблица 2.4
Матрица срабатывания сети Петри-Маркова для графа реализации атаки макровирусом
t1 |
t2 |
t3 |
1 |
0 |
0 |
1 |
0 |
0 |
|
1 |
1 |
0 |
1 |
1 |
0 |
0 |
1 |
Для данной сети Петри-Маркова имеет место следующая система интегрально-дифференциальных уравнений (2.12):
, |
(2.12) |
, |
|
|
|
, |
|
|
Используя пуассоновское приближение, получим среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
|
(2.13) |
|
|
|
,
где – среднее время сканирование системы на присутствие встроенного в систему макроязыка,
– среднее
время для
записи вредоносного кода;
– среднее
время запуска
зараженного приложения;
τ – среднее время для всей цепочки событий.
Из (2.13) можно найти время заражения.
2.6. Заражение элемента системы скрипт-вирусом
С помощью сетей Петри-Маркова опишем процесс заражения элемента системы скрипт-вирусом, где в качестве элемента заражения обычно используют службы операционной системы.
Для построения сети были использованы следующие обозначения:
S1 — злоумышленник готов к отправки вредоносного ПО,
S2 — устройство пользователя готово к приему вредоносного ПО,
t1 — сканирование системы на присутствие в КС определенной запущенной службы (служба выбирается в зависимости от цели вирусной атаки),
S3 — служба найдена и активна,
t2 — «распоточивание» приложения,
S5 — служба найдена и запущена,
S4 — служба найдена, но не запущена,
S6 — служба не найдена,
t3 — запуск службы,
S7 — служба запущена,
t4 — запуск вредоносного ПО,
S8 — вредоносный ПО запущенное в системе,
t5 — изменение параметров службы,
S9 — измененная служба.
Рис. 2.5 иллюстрирует граф данной сети.
Рис. 2.5. Граф реализации атаки скрипт-вирусом
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны следующим образом (табл. 2.5):
Таблица 2.5
Матрица срабатывания сети Петри-Маркова для графа реализации атаки скрипт-вирусом
t1 |
t2 |
t3 |
t4 |
t5 |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
|
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
Для данной матрицы (табл. 2.5) имеет место следующая система интегрально-дифференциальных уравнений (2.14):
, |
(2.14) |
|
|
|
|
|
|
|
|
|
|
|
,
,
.С использованием пуассоновского приближения получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
|
(2.15) |
|
|
|
,
(2.5)
где – среднее время сканирование системы на присутствие определенной запущенной службы;
– среднее время записи вредоносного кода;
– среднее
время для заражения
посредством самостоятельного запуска
вредоносного ПО;
– среднее время запуска службы;
– среднее
время ожидание
установки службы;
– среднее
время для всей цепочки событий.
Для вышеприведенной сети Петри-Маркова из (2.15) можно найти время заражения элемента.