3.4.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели seis
Используя формулы (3.73) и (3.75), получим выражения для риска ИТКС при реализации вирусной эпидемии по модели SEIS:
|
(3.85) |
Отсюда эпистойкость системы можно оценить следующим образом:
|
(3.86) |
.
Для усредненной оценки формулы (3.85) и (3.86) принимают следующий вид:
|
(3.87) |
|
(3.88) |
Для пиковой оценки имеем:
|
(3.89) |
|
(3.90) |
Интервальная оценка дает следующие формулы:
|
|
(3.91) |
|
(3.92) |
|
Выражения (3.87)-(3.92) уместно использовать для численных оценок рисков и эпистойкости ИТКС.
3.5. Описание процесса реализации и риск-оценки вирусной эпидемии по модели sir
3.5.1. Принцип построения и перечень обозначений для sir-модели
Рассмотрим сценарий вредоносной атаки компьютерной системы простым вирусом с действующим в режиме «на-лету» (резидентным) антивирусом.
Принцип действия простого вируса: вирус прописывает свой код в любое место заражаемого файла (чаще в конец) и передает управление на вредоносный код, результатом работы которого становится заражение других файлов [89, 91]. Таким образом, инфицированный файл становится источником эпидемии.
Простые вирусы обнаруживаются по их коду, который они записывают в заражаемый файл. Антивирусные программы перехватывают все файловые операции (такие как, чтение, копирование, запуск) и проверяют файлы, с которыми выполняются действия (драйвер klif.sys файлового антивируса). Обнаружение зараженного файла, полученного по почте или из сети Интернет, происходит в момент сохранения файла на диск (при условии работы только файлового антивируса и отключенных почтового и веб-антивируса). Выполнить запуск файла из вложения или веб-страницы без сохранения на диск нельзя [172].
Если в результате сканирования файловым антивирусом файл оказывается зараженным, операция блокируется, а сам файл лечится или удаляется.
Операция удаления применяется к вредоноcному ПО, целью которых является нарушение целостности – модификация или уничтожение. Если целью является нарушение конфиденциальности (копирование, разглашение) или доступности (блокирование), то файлы могут быть вылечены.
Лечение зараженных элементов заключается в удалении вредоносных участков кода и передаче управления изначальному блоку, который простыми вирусами не удаляется, а просто переносится в другое место. Заметим, что по окончанию лечения файл может оказаться неработоспособным. Это происходит по причине неверного определения или восстановления управляющей части кода. Данный случай мы рассмотрим позже, т.к. он не соответствует рассматриваемой модели.
Применимо к простым вирусам антивирусные программы могут применять функции иммунизации. Данная функция может быть выполнена в двух вариантах: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение.
Второй тип иммунизации защищает систему от поражения вирусом какого-либо определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.
Таким образом, к данному сценарию применима модель SIR, согласно которой элементы ИТКС могут относиться к одному из нижеперечисленных подмножеств:
1. Восприимчивые – элементы, которые восприимчивы к заражению вирусом, они в состоянии перейти в состояние зараженные. Как только они заражаются, они переходят в разряд зараженных элементов. – количество восприимчивых элементов на i-ом этапе эпидемии;
2.
Зараженные
– элементы, которые могут распространять
вредоносную информацию восприимчивым
объектам. I
– количество зараженных элементов на
i-ом
этапе заражения системы;
3.
Восстановленные
– элементы, которые полностью избавлены
от вредоносной информации и неуязвимы
для последующего вредоносного воздействия,
которым были прежде поражены. R
– количество восстановленных элементов
на i-ом
этапе распространения инфекции.
Рассмотрим ИТКС, в которой развивается вирусная эпидемия по модели SIR со следующими параметрами:
N – общее количество элементов системы, является заданным параметром, не изменяемо в процессе эпидемии и не имеет вероятностной природы;
(1+n) – cреднее количество элементов, непосредственно контактирующих с каждым элементом;
Qi – оценка ожидания заражения элементов на i-ом этапе эпидемии, согласно соответствующему закону распределения вероятностей инфицирования;
Pi – оценка ожидания восстановления элементов на i-ом этапе эпидемии, согласно соответствующему закону распределения вероятностей.
На нулевом этапе развития эпидемии заражается первый элемент, с которого и начинается вирусная эпидемия в системе. Здесь имеем:
|
(3.93) |
|
(3.94) |
, |
(3.95) |
|
(3.96) |
На первом этапе количество восприимчивых и заражённых элементов можно представить как:
|
(3.97) |
|
(3.98) |
|
(3.99) |
На втором этапе каждый из заражённых элементов взаимодействует с соседними элементами, причём становятся заражёнными, а восстанавливаются. Таким образом:
|
(3.100) |
|
(3.101) |
|
(3.102) |
На
третьем этапе каждый из
заражённых элементов взаимодействует
с
соседними элементами. Таким образом:
|
(3.103) |
|
(3.104) |
|
(3.105) |
По анологии, для k-го этапа получим следующие выражения:
|
(3.106) |
|
(3.107) |
|
(3.108) |
Рассмотрим формулы (3.106), (3.107) и (3.108) для различных видов риск-оценок. Для усредненной оценки получаем:
|
(3.109) |
|
(3.110) |
|
(3.111) |
где – математическое ожидание количества зараженных элементов на i-ом этапе эпидемии;
– математическое ожидание количества восстановленных элементов на i-ом этапе эпидемии.
Для пиковой оценки имеем:
|
(3.112) |
|
(3.113) |
|
(3.114) |
где – мода количества зараженных элементов на i-ом этапе эпидемии;
– мода количества восстановленных элементов на i-ом этапе эпидемии.
Для интервальной оценки получаем следующие выражения:
|
(3.115) |
|
(3.116) |
|
(3.117) |
|
(3.118) |
|
(3.119) |
|
(3.120) |
|
(3.121) |
|
(3.122) |
|
(3.123) |
,
,
,
где – математическое ожидание количества зараженных элементов на i-ом этапе эпидемии;
– СКО количества зараженных элементов на i-ом этапе эпидемии;
– математическое ожидание количества восстановленных элементов на i-ом этапе эпидемии;
– СКО количества восстановленных элементов на i-ом этапе эпидемии.
При
этом количество зараженных, восприимчивых
и восстановленных элементов находятся
в интервалах
,
и (
)
соответственно.