- •Введение
- •1. Теоретические основы анализа вирусных эпидемий в информационно-телекоммуникационных сетях
- •1.1. Актуальность противодействия вирусным эпидемиям вредоносного программного обеспечения
- •1.2. Информационно-телекоммуникационная сеть как объект внедрения вредоносного программного обеспечения
- •1.3. Многообразие вредоносного программного обеспечения вирусного характера
- •1.4. Многообразие антивирусного программного обеспечения
- •1.5. Особенности вирусных эпидемий
- •1.6. Выводы по главе
- •2. Вирусные потоки на элементы информационно - телекоммуникационных сетей: оценка вероятности заражения
- •2.1. Входящий поток
- •2.2. Заражение элемента системы файловым вирусом
- •2.3. Заражение элемента системы сетевым вирусом
- •2.4. Заражение элемента системы загрузочным вирусом
- •2.5. Заражение элемента системы макровирусом
- •2.6. Заражение элемента системы скрипт-вирусом
- •2.7. Оценка вероятностей реализации различных этапов вирусной атаки
- •2.7.1. Вероятностная модель процесса инфекционного заражения элемента системы
- •2.7.2. Вероятностная модель процесса излечения зараженного элемента системы
- •2.7.3. Вероятностная модель процесса латентного инфицирования элемента системы
- •2.7.4. Вероятностная модель процесса выхода из строя зараженного элемента системы
- •3. Модели развития вирусных эпидемий в информационно-телекоммуникационных сетях
- •3.1. Математическая модель развития вирусных алгоритмов на примере sir-модели
- •3.2. Описание процесса реализации и риск-оценки вирусной эпидемии по модели si
- •3.2.1. Принцип построения и перечень обозначений для si-модели
- •3.2.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения эпидемии по модели si
- •3.3. Описание процесса реализации и риск-оценки вирусной эпидемии по модели sis
- •3.3.1. Принцип построения и перечень обозначений для sis-модели
- •3.3.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели sis
- •3.4. Описание процесса реализации и риск-оценки вирусной эпидемии по модели seis
- •3.4.1. Принцип построения и перечень обозначений для seis-модели
- •3.4.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели seis
- •3.5. Описание процесса реализации и риск-оценки вирусной эпидемии по модели sir
- •3.5.1. Принцип построения и перечень обозначений для sir-модели
- •3.5.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели sir
- •3.6. Описание процесса реализации и риск-оценки вирусной эпидемии по модели seir
- •3.6.1. Принцип построения и перечень обозначений для seir-модели
- •3.6.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели seir
- •3.7. Механизм регулирования рисков
- •3.8. Выводы по главе
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1. Теоретические основы анализа вирусных эпидемий в информационно-телекоммуникационных сетях
Рассматривается информационно-телекоммуникационная сеть как объект вирусных атак. Анализируется многообразие вредоносных и антивирусных программ, особенности классических и «кибернетических» эпидемий.
1.1. Актуальность противодействия вирусным эпидемиям вредоносного программного обеспечения
На сегодняшний день повсеместное использование «интернет вещей» стало объективной реальностью [1, 2]. В современном доме можно найти несколько устройств, подсоединенных к локальной сети. Причем это будут не только традиционные домашние компьютеры, ноутбуки, планшеты и сотовые телефоны, но и такие устройства, как Smart TV, принтер, сетевой накопитель данных, игровая консоль или медиа-плеер, спутниковый ресивер или система видеонаблюдения.
Они привлекают к себе внимание как пользователей, так и злоумышленников, использующих уязвимости в технологиях, встроенных в автомобили, внедренных в гостиницах, системах тревожной сигнализации, бытовой технике и т.п. Причем одно взломанное устройство такой системы станет источником заражения для других устройств, подключенных к накопителю (например к домашнему компьютеру) и даже сможет функционировать как бот в составе ботнета, через который проводятся DDoS-атаки [18-22].
Успешность таких атак во многом обеспечена уязвимостями ИТКС, среди которых разнообразные базы данных [117], платежные системы [3, 4], социальные сети [68, 71, 75, 107, 118, 119] и объекты критической инфраструктуры [32-37]. Особые риски возникают в ИТКС при попытке их инфицирования [16, 68, 78, 82, 96, 98, 100, 120-127].
Благодаря масштабам глобальной сети Интернет и огромным пропускным способностям современных каналов передачи информации вредоносная программа может инфицировать мощную ИТКС всего за несколько часов, даже если вредоносное ПО использует обычные стратегии заражения.
Исследования вирусных эпидемий посредством моделирования выявили особенность вредоносных программ на начальных этапах заражения – вирусы тратят большое количество времени на поиск целей заражения. Более того, происходит многократное исследование одних и тех же адресов.
В первый день проявления вируса Nimda было отмечено, что ему потребовалось только два часа [128] для того, чтобы размножиться в количестве, достаточном для доведения числа пробных HTTP – соединений с одним, случайно выбранным сервером в Сети, до сотни в секунду. Очевидно, что чем выше скорость распространения, тем больше размеры причиненного ущерба и меньше возможности оперативных противодействий угрозе.
К сожалению, два часа – это не предельная скорость инфицирования [114, 128-131]. Ее можно увеличить в разы, если учитывать возможность ликвидации повторного сканирования одних и тех же целей.
Такого эффекта можно добиться за счет предварительного сканирования сети с целью определения адресов, где есть уязвимость, и учета топологии сети (создание хитлиста (hitlist)). Причем, такое сканирование можно осуществлять с показателями близкими к сотне подключений, даже для модемных линий выхода в Интернет, так как требуется только 40 байтов для TCP пакета SYN, чтобы определить доступно ли обслуживание и несколько сот байтов для того, чтобы создать попытку подключения [69, 70, 130].
Среди интернет-червей распространены следующие виды сканирования: случайное сканирование, локальное сканирование и топологическое распространение.
Случайное сканирование всего диапазона IP-адресов обладает множеством недостатков. Во-первых, вирус перебирает все возможные варианты, затрачивая на недоступные адреса определенное количество времени. Во-вторых, периодическое обращение к несуществующим адресам может быть обнаружено автоматическими системами обнаружения. В-третьих, применение стратегии случайного сканирования требует создания генератора случайных чисел [132].
Существует более совершенный алгоритм – алгоритм локального сканирования. При его использовании в первую очередь заражаются объекты в локальном адресном пространстве того абонента, на котором запущен вирус (червь). Поиск происходит из предположения, что в данной подсети имеются уязвимые компьютеры [132].
Топологическая стратегия является довольно простой, но весьма распространенной. Например, она применялась червем Морриса и используется современными email-, im-, peero-peer- и другими червями [128]. Топологическая стратегия основана на использовании информации о связях зараженного компьютера с другими узлами (адресные книги, списки контактов, подключений и т.д.). Распространение вируса, использующего такую стратегию, зависит от топологии сети. Так или иначе, червь вынужден перемещаться от узла к узлу. Особенностью топологической стратегии можно назвать высокий уровень доверия к контенту, полученному атакуемым объектом. Если пользователь зараженного компьютера имеет контакты другого пользователя, то, вероятнее всего, и этот пользователь имеет контакты зараженного и может с большой вероятностью открыть присланное письмо с вложением, содержащее вредоносную программу [132].
Таким образом, теоретически возможно появление вредоносного кода, способного распространяться за считанные секунды, благодаря использованию усовершенствованных стратегий распространения [69, 70, 114, 128, 132, 133]. Такой стратегией можно считать стратегию, основанную на предварительном составлении списка уязвимых компьютеров, который будет использоваться для атаки некоторого «критического» числа уязвимых компьютеров, необходимого для дальнейшего распространения инфекции [69, 70, 129, 134].
К сожалению, действующее ПО также не способствует снижению числа новых эпидемий вредоносных программ. Новые уязвимости в различных программах находят практически каждый день [1, 2], производители программного обеспечения не всегда имеют возможности моментально их устранять [132].
Не лучшую роль в распространении вирусов играет и человеческий фактор: пользователи и технический персонал сетей зачастую пренебрегают безопасностью собственных компьютеров, не заботятся о регулярном обновлении антивирусных программ [132].
Таким образом, в настоящее время существуют множество факторов, способствующих появлению вирусных эпидемий, и задача противодействия распространению вредоносных программ крайне актуальна, так как организации, работа которых, так или иначе, связана с использованием сетей передачи данных, терпят убытки от постоянных вспышек сетевых эпидемий и вредоносных программ. При этом противодействие распространению и созданию вредоносных программ – очень сложная задача, имеющая множество аспектов, одним из которых является моделирование и предсказание распространения вредоносных программ, где эпидемиологические модели являются необходимым инструментом для изучения и противодействия распространению вирусных атак.