2.7. Оценка вероятностей реализации различных этапов вирусной атаки
Фактически необходимо найти следующие вероятности:
pзи – вероятность инфекционного заражения элемента;
pиз – вероятность излечения элемента;
pли – вероятность латентного инфицирования элемента;
pвс – вероятность выхода из строя зараженного элемента.
2.7.1. Вероятностная модель процесса инфекционного заражения элемента системы
На примере моделирования сети Петри-Маркова для реализации атаки файловыми вирусами рассмотрим процесс инфекционного заражения элемента компьютерной системы.
Вероятность того, что в момент времени t0 состоится заражение, будет равна:
|
(2.16) |
где
–плотность вероятности заражения и △t
– время дискретизации, причем △t
< ½ fmax.
Для плотности вероятности, имеем:
|
(2.17) |
где
– момент
успешного завершения атаки,
– среднее
время для всей цепочки событий,
полученное при моделировании сетей
Петри-Маркова.
В свою очередь:
|
(2.18) |
|
|
|
где n – количество дискрет процесса.
Отсюда вероятность заражения элемента будет равна:
|
(2.19) |
где – момент времени вирусного заражения.
2.7.2. Вероятностная модель процесса излечения зараженного элемента системы
Для нахождения вероятности излечения элемента необходимо смоделировать процесс лечения с помощью сети Петри-Маркова. Для этого используем следующие термины:
S1 — зараженный элемент компьютерной системы;
t1 — запуск антивирусного ПО;
S2 — антивирусное ПО;
t2 — подключение базы с сигнатурами вирусного ПО в антивирусе;
S3 — база с сигнатурами вредоносного ПО;
t3 — сравнение кода зараженного ПО с вирусной базой данных;
S4 — результат сравнения положительный;
t4 — поиск в зараженном элементе код вредоносного ПО;
S5 — найденный вредоносный код;
t5—удаление вредоносного кода;
S6—излеченный элемент.
Граф данной сети представлен на рис. 2.6.
Рис. 2.6. Граф реализации излечения элемента системы
Элементы матрицы, определяющие логические функции срабатывания сети, сведены в табл. 2.6:
Таблица 2.6
Матрица срабатывания сети Петри-Маркова для графа реализации излечения элемента системы
t1 |
t2 |
t3 |
t4 |
t5 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
1 |
Для табл. 2.6 имеет место следующая система интегрально-дифференциальных уравнений (2.20):
, |
(2.20) |
|
|
|
|
|
|
|
,
Используя пуассоновское приближение, получим среднее время перемещения по сети (рис. 2.6) из начальной позиции до конечного перехода:
|
(2.21) |
,
и вероятность этого перемещения:
|
(2.22) |
где – среднее время необходимое для запуска антивирусного ПО,
– среднее время подключения базы с сигнатурами вирусного ПО в антивирусе,
– среднее время сравнение кода зараженного ПО с вирусной базой данных,
– среднее время поиска в зараженном элементе код вредоносного ПО,
– среднее
время удаление
вредоносного кода,
– среднее время для всей цепи событий.
Для перехода к плотности вероятности, необходимо взять производную от вероятности, полученной при помощи моделирования сетей Петри – Маркова:
|
(2.23) |
где
– среднее
время для всей цепочки событий,
полученное при моделировании сетей
Петри-Маркова заражения элемента,
– среднее время для всей цепочки событий, полученное при моделировании сетей Петри-Маркова излечения элемента системы.
Для нахождения t предположим, что:
|
(2.24) |
|
|
|
где n – количество дискрет.
Отсюда вероятность излечения зараженного элемента будет равна:
|
(2.25) |
где t – момент излечения элемента.