1.5. Особенности вирусных эпидемий
Эпидемия – медицинский термин, обозначающий «нарастание или появление большого количества заболеваний, ранее не встречавшихся на данной территории» [38]. Поскольку компьютерные вирусы во многом схожи с биологическими, возможно определить эпидемию компьютерных вирусов как заражение большого количества компьютеров данным типом вирусов.
В эпидемиологии особь (индивид) – это отдельно существующий организм, который, с точки зрения эпидемиологии, может находиться в двух основных состояниях: зараженном и незараженном. В различных эпидемиологических моделях существуют дополнительные состояния, учитывающие различные свойства живых организмов: восприимчивое, латентное, иммунизированное и т.п. Под популяцией при моделировании эпидемий обычно понимают множество особей, на которое может распространяться заболевание.
Модели SIR, SI, SIS, SIER являются наиболее распространенными моделями в классической эпидемиологии. Они предполагают, что каждая особь в популяции может находиться в одном из нескольких состояний и с течением времени переходить из одних состояний в другие. Модели базируются на составлении дифференциальных уравнений, описывающих зависимость количества зараженных особей от времени. Они составлены в предположении о том, что контакты особей в популяции могут быть представлены полносвязным графом [38].
В эпидемиологии используются два основных типа моделей: стохастические и детерминистические. Стохастический подход применяется для исследования эпидемий в малых или изолированных популяциях, когда особенно важную роль в распространении заболевания играют случайные колебания вероятностей заражения индивида. Детерминистические модели описывают эпидемиологический процесс на уровне всей популяции и пригодны для больших популяций. Применение стохастических моделей для больших популяций дает такие же результаты как полученные детерминистическим подходом [132].
Для упрощения анализа распространения инфекционного заболевания, особенности заражения и излечения индивида не учитываются. Считается, что каждый индивид в популяции может находиться только в одном из нескольких состояний. Например, детерминистическая SEIR-модель выделяет в популяции четыре группы:
• S (susceptible – уязвимые);
• Е (exposed – зараженные, латентная стадия);
• I (infective – зараженные, распространяющие заболевание);
• R (recovered/removed – индивиды, неподверженные заболеванию).
Уязвимые индивиды S заражаются индивидами I. Новые зараженные индивиды проводят некоторое время в группе развития заболевания Е, а затем приобретают способность распространять инфекцию. Зараженные индивиды излечиваются и переходят в группу R, обладающую иммунитетом. Существует множество модификаций этой модели, включающих только определенные группы: модели SI, SIR, SEIR и другие. Решение о том, какие группы включать в модель зависит от особенностей распространения конкретного заболевания и от цели моделирования.
В наиболее упрощенном варианте – SI модели – вся популяция разделяется на индивидов, подверженных заболеванию и зараженных индивидов. В классических эпидемиологических моделях считается, что время развития эпидемии гораздо меньше средней продолжительности жизни индивида, т.е. число индивидов в популяции остается постоянным [11]. В классической эпидемиологической модели SIR учитывается приобретение индивидами иммунитета после излечения, число индивидов в популяции также остается постоянным.
В «кибернетической» SI-модели полагается, что произвольный узел системы, состоящей из постоянного количества (N) компьютеров, может находиться только в двух состояниях: уязвимом (S) и инфицированном (I):
S+I=N. |
(1.1) |
Предположим, что на каждом инфицированном узле может существовать только одна копия червя, которая случайным образом выбирает в доступном адресном пространстве потенциальную жертву со средней постоянной скоростью β в единицу времени. «Кибернетическая» SIR-модель отличается от предыдущей модели наличием действия антивируса. Соответственно, сетевые узлы существуют в трех состояниях: уязвимом (S), зараженном (I) и невосприимчивом (вылеченном) (R):
S + I + R = N. |
(1.2) |
Узлы оказываются неуязвимыми только после излечения от инфекции. В модель, помимо скорости заражения, введена скорость «иммунизации» в единицу времени γ.
Современные технологии распространения вирусов наиболее адекватно описываются с помощью модели SEIR. Математическая модель SEIR характеризуется наличием четырех типов объектов управления: зараженные (I), не зараженные (S), вылеченные объекты, обладающие иммунитетом (R) и найденные зараженные объекты (E).
Исходя из указанных условий, обобщенная структура компьютерной системы на основе модели SEIR может быть представлена с помощью выражения:
S + E + I + R = N , |
(1.3) |
где: S – количество уязвимых объектов;
I – количество зараженных объектов;
R – количество вылеченных объектов, обладающих иммунитетом;
E – количество объектов, в которых обнаружен вирус;
N – общее количество объектов в системе.
Модель SEIR математически можно представить в виде системы уравнений (1.4):
|
(1.4) |
(1.4)
где β – вероятность заражения объекта,
µ – вероятность иммунизации до момента заражения объекта,
α – вероятность атаки узла злоумышленного ПО с фатальными последствиями,
υ – вероятность лечения,
S – количество уязвимых объектов;
I – количество зараженных объектов;
R – количество вылеченных объектов, обладающих иммунитетом;
E – количество объектов, в которых обнаружен вирус;
N – общее количество объектов в системе.
К сожалению, данная модель не учитывает реальную топологию, дискретность системы и её переходов из одного состояния в другое. Поэтому в последующем изложении вопросу дискретизации модели будет уделено особое внимание.
Описанные модели широко используются в классической эпидемиологии, но не учитывают многие особенности распространения компьютерных вирусов (особенности процесса заражения и антивирусной защиты), поэтому для компьютерных вирусов используются специальные модели.
Модель RCS (RandomConstantSpread) – наиболее простая модель, не учитывающая лечение, предполагающая постоянное непрерывное распространение вируса.
Двухфакторная модель учитывает участие человека в борьбе с эпидемией с помощью отключения отдельных узлов или иммунизации и непостоянство скорости распространения вируса.
Модель PSIDR (ProgressiveSuspected-Infected-Detected) учитывает особенности работы антивирусов: антивирус может обнаруживать и удалять вирусы только после того, как в вирусной базе появится сигнатура этого вируса. Существует дополнительное состояние D (Detected), в котором находятся узлы, с неизлеченным, но уже обнаруженным вирусом.
Модель AAWP (AnalyticalActiveWormPropagation) основана на дискретном времени (что позволяет существенно повысить точность моделирования быстрых червей), учитывает возможность устранения уязвимости, используемой вирусом, имеет возможность учета времени, требуемого для заражения компьютера, а также возможность одновременной атаки с различных узлов (что повышает точность моделирования массовых эпидемий).
Модель на основе расчета длины гамильтонова пути в отличие от классической эпидемиологической модели, учитывает масштабы компьютерной системы.
Существует несколько моделей, учитывающих структуру системы и изменения значений вероятности контактов всех процессов в каждый момент времени.
1. Модель на основе случайного графа изучает распространение вируса в сети, представляемой случайным графом с заданными характеристиками. Модель позволяет исследовать распространение вирусов в сетях, имеющих структуру двумерной решетки и иерархического случайного графа, и позволяет оценить влияние структуры сети на скорость развития эпидемии;
2. Модель «тесного мира» (small-world model) описывает развитие эпидемии вирусов в сети, представляемой графом «тесного мира»;
3. Безмасштабные сети также могут быть использованы для моделирования распространения вирусов.
Romualdo Pastor-Satorras and Alessandro Vespignani рассматривали не только топологию ИТКС как SF сеть, но анализировали процесс распространения эпидемии на таких сетях [108-110, 119, 159, 161-170]. Получили данные по компьютерным вирусам и выявляли такие их параметры, как средняя «продолжительность жизни» вируса и устойчивость к уничтожению. Описали динамическую модель распространения инфекции в сетях и предположили метод определения наличия эпидемического порога в сети.