- •Введение
- •1. Теоретические основы анализа вирусных эпидемий в информационно-телекоммуникационных сетях
- •1.1. Актуальность противодействия вирусным эпидемиям вредоносного программного обеспечения
- •1.2. Информационно-телекоммуникационная сеть как объект внедрения вредоносного программного обеспечения
- •1.3. Многообразие вредоносного программного обеспечения вирусного характера
- •1.4. Многообразие антивирусного программного обеспечения
- •1.5. Особенности вирусных эпидемий
- •1.6. Выводы по главе
- •2. Вирусные потоки на элементы информационно - телекоммуникационных сетей: оценка вероятности заражения
- •2.1. Входящий поток
- •2.2. Заражение элемента системы файловым вирусом
- •2.3. Заражение элемента системы сетевым вирусом
- •2.4. Заражение элемента системы загрузочным вирусом
- •2.5. Заражение элемента системы макровирусом
- •2.6. Заражение элемента системы скрипт-вирусом
- •2.7. Оценка вероятностей реализации различных этапов вирусной атаки
- •2.7.1. Вероятностная модель процесса инфекционного заражения элемента системы
- •2.7.2. Вероятностная модель процесса излечения зараженного элемента системы
- •2.7.3. Вероятностная модель процесса латентного инфицирования элемента системы
- •2.7.4. Вероятностная модель процесса выхода из строя зараженного элемента системы
- •3. Модели развития вирусных эпидемий в информационно-телекоммуникационных сетях
- •3.1. Математическая модель развития вирусных алгоритмов на примере sir-модели
- •3.2. Описание процесса реализации и риск-оценки вирусной эпидемии по модели si
- •3.2.1. Принцип построения и перечень обозначений для si-модели
- •3.2.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения эпидемии по модели si
- •3.3. Описание процесса реализации и риск-оценки вирусной эпидемии по модели sis
- •3.3.1. Принцип построения и перечень обозначений для sis-модели
- •3.3.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели sis
- •3.4. Описание процесса реализации и риск-оценки вирусной эпидемии по модели seis
- •3.4.1. Принцип построения и перечень обозначений для seis-модели
- •3.4.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели seis
- •3.5. Описание процесса реализации и риск-оценки вирусной эпидемии по модели sir
- •3.5.1. Принцип построения и перечень обозначений для sir-модели
- •3.5.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели sir
- •3.6. Описание процесса реализации и риск-оценки вирусной эпидемии по модели seir
- •3.6.1. Принцип построения и перечень обозначений для seir-модели
- •3.6.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели seir
- •3.7. Механизм регулирования рисков
- •3.8. Выводы по главе
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
2.7. Оценка вероятностей реализации различных этапов вирусной атаки
Фактически необходимо найти следующие вероятности:
pзи – вероятность инфекционного заражения элемента;
pиз – вероятность излечения элемента;
pли – вероятность латентного инфицирования элемента;
pвс – вероятность выхода из строя зараженного элемента.
2.7.1. Вероятностная модель процесса инфекционного заражения элемента системы
На примере моделирования сети Петри-Маркова для реализации атаки файловыми вирусами рассмотрим процесс инфекционного заражения элемента компьютерной системы.
Вероятность того, что в момент времени t0 состоится заражение, будет равна:
|
(2.16) |
где –плотность вероятности заражения и △t – время дискретизации, причем △t < ½ fmax.
Для плотности вероятности, имеем:
|
(2.17) |
где – момент успешного завершения атаки, – среднее время для всей цепочки событий, полученное при моделировании сетей Петри-Маркова.
В свою очередь:
|
(2.18) |
|
|
|
где n – количество дискрет процесса.
Отсюда вероятность заражения элемента будет равна:
|
(2.19) |
где – момент времени вирусного заражения.
2.7.2. Вероятностная модель процесса излечения зараженного элемента системы
Для нахождения вероятности излечения элемента необходимо смоделировать процесс лечения с помощью сети Петри-Маркова. Для этого используем следующие термины:
S1 — зараженный элемент компьютерной системы;
t1 — запуск антивирусного ПО;
S2 — антивирусное ПО;
t2 — подключение базы с сигнатурами вирусного ПО в антивирусе;
S3 — база с сигнатурами вредоносного ПО;
t3 — сравнение кода зараженного ПО с вирусной базой данных;
S4 — результат сравнения положительный;
t4 — поиск в зараженном элементе код вредоносного ПО;
S5 — найденный вредоносный код;
t5—удаление вредоносного кода;
S6—излеченный элемент.
Граф данной сети представлен на рис. 2.6.
Рис. 2.6. Граф реализации излечения элемента системы
Элементы матрицы, определяющие логические функции срабатывания сети, сведены в табл. 2.6:
Таблица 2.6
Матрица срабатывания сети Петри-Маркова для графа реализации излечения элемента системы
t1 |
t2 |
t3 |
t4 |
t5 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
Для табл. 2.6 имеет место следующая система интегрально-дифференциальных уравнений (2.20):
, |
(2.20) |
, |
|
|
|
|
|
|
Используя пуассоновское приближение, получим среднее время перемещения по сети (рис. 2.6) из начальной позиции до конечного перехода:
, |
(2.21) |
и вероятность этого перемещения:
|
(2.22) |
где – среднее время необходимое для запуска антивирусного ПО,
– среднее время подключения базы с сигнатурами вирусного ПО в антивирусе,
– среднее время сравнение кода зараженного ПО с вирусной базой данных,
– среднее время поиска в зараженном элементе код вредоносного ПО,
– среднее время удаление вредоносного кода,
– среднее время для всей цепи событий.
Для перехода к плотности вероятности, необходимо взять производную от вероятности, полученной при помощи моделирования сетей Петри – Маркова:
|
(2.23) |
где – среднее время для всей цепочки событий, полученное при моделировании сетей Петри-Маркова заражения элемента,
– среднее время для всей цепочки событий, полученное при моделировании сетей Петри-Маркова излечения элемента системы.
Для нахождения t предположим, что:
|
(2.24) |
|
|
|
где n – количество дискрет.
Отсюда вероятность излечения зараженного элемента будет равна:
|
(2.25) |
где t – момент излечения элемента.