- •Введение
- •1. Теоретические основы анализа вирусных эпидемий в информационно-телекоммуникационных сетях
- •1.1. Актуальность противодействия вирусным эпидемиям вредоносного программного обеспечения
- •1.2. Информационно-телекоммуникационная сеть как объект внедрения вредоносного программного обеспечения
- •1.3. Многообразие вредоносного программного обеспечения вирусного характера
- •1.4. Многообразие антивирусного программного обеспечения
- •1.5. Особенности вирусных эпидемий
- •1.6. Выводы по главе
- •2. Вирусные потоки на элементы информационно - телекоммуникационных сетей: оценка вероятности заражения
- •2.1. Входящий поток
- •2.2. Заражение элемента системы файловым вирусом
- •2.3. Заражение элемента системы сетевым вирусом
- •2.4. Заражение элемента системы загрузочным вирусом
- •2.5. Заражение элемента системы макровирусом
- •2.6. Заражение элемента системы скрипт-вирусом
- •2.7. Оценка вероятностей реализации различных этапов вирусной атаки
- •2.7.1. Вероятностная модель процесса инфекционного заражения элемента системы
- •2.7.2. Вероятностная модель процесса излечения зараженного элемента системы
- •2.7.3. Вероятностная модель процесса латентного инфицирования элемента системы
- •2.7.4. Вероятностная модель процесса выхода из строя зараженного элемента системы
- •3. Модели развития вирусных эпидемий в информационно-телекоммуникационных сетях
- •3.1. Математическая модель развития вирусных алгоритмов на примере sir-модели
- •3.2. Описание процесса реализации и риск-оценки вирусной эпидемии по модели si
- •3.2.1. Принцип построения и перечень обозначений для si-модели
- •3.2.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения эпидемии по модели si
- •3.3. Описание процесса реализации и риск-оценки вирусной эпидемии по модели sis
- •3.3.1. Принцип построения и перечень обозначений для sis-модели
- •3.3.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели sis
- •3.4. Описание процесса реализации и риск-оценки вирусной эпидемии по модели seis
- •3.4.1. Принцип построения и перечень обозначений для seis-модели
- •3.4.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели seis
- •3.5. Описание процесса реализации и риск-оценки вирусной эпидемии по модели sir
- •3.5.1. Принцип построения и перечень обозначений для sir-модели
- •3.5.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели sir
- •3.6. Описание процесса реализации и риск-оценки вирусной эпидемии по модели seir
- •3.6.1. Принцип построения и перечень обозначений для seir-модели
- •3.6.2. Риск-анализ и оценка эпистойкости информационно-телекоммуникационных сетей в условиях распространения вирусной эпидемии по модели seir
- •3.7. Механизм регулирования рисков
- •3.8. Выводы по главе
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1.5. Особенности вирусных эпидемий
Эпидемия – медицинский термин, обозначающий «нарастание или появление большого количества заболеваний, ранее не встречавшихся на данной территории» [38]. Поскольку компьютерные вирусы во многом схожи с биологическими, возможно определить эпидемию компьютерных вирусов как заражение большого количества компьютеров данным типом вирусов.
В эпидемиологии особь (индивид) – это отдельно существующий организм, который, с точки зрения эпидемиологии, может находиться в двух основных состояниях: зараженном и незараженном. В различных эпидемиологических моделях существуют дополнительные состояния, учитывающие различные свойства живых организмов: восприимчивое, латентное, иммунизированное и т.п. Под популяцией при моделировании эпидемий обычно понимают множество особей, на которое может распространяться заболевание.
Модели SIR, SI, SIS, SIER являются наиболее распространенными моделями в классической эпидемиологии. Они предполагают, что каждая особь в популяции может находиться в одном из нескольких состояний и с течением времени переходить из одних состояний в другие. Модели базируются на составлении дифференциальных уравнений, описывающих зависимость количества зараженных особей от времени. Они составлены в предположении о том, что контакты особей в популяции могут быть представлены полносвязным графом [38].
В эпидемиологии используются два основных типа моделей: стохастические и детерминистические. Стохастический подход применяется для исследования эпидемий в малых или изолированных популяциях, когда особенно важную роль в распространении заболевания играют случайные колебания вероятностей заражения индивида. Детерминистические модели описывают эпидемиологический процесс на уровне всей популяции и пригодны для больших популяций. Применение стохастических моделей для больших популяций дает такие же результаты как полученные детерминистическим подходом [132].
Для упрощения анализа распространения инфекционного заболевания, особенности заражения и излечения индивида не учитываются. Считается, что каждый индивид в популяции может находиться только в одном из нескольких состояний. Например, детерминистическая SEIR-модель выделяет в популяции четыре группы:
• S (susceptible – уязвимые);
• Е (exposed – зараженные, латентная стадия);
• I (infective – зараженные, распространяющие заболевание);
• R (recovered/removed – индивиды, неподверженные заболеванию).
Уязвимые индивиды S заражаются индивидами I. Новые зараженные индивиды проводят некоторое время в группе развития заболевания Е, а затем приобретают способность распространять инфекцию. Зараженные индивиды излечиваются и переходят в группу R, обладающую иммунитетом. Существует множество модификаций этой модели, включающих только определенные группы: модели SI, SIR, SEIR и другие. Решение о том, какие группы включать в модель зависит от особенностей распространения конкретного заболевания и от цели моделирования.
В наиболее упрощенном варианте – SI модели – вся популяция разделяется на индивидов, подверженных заболеванию и зараженных индивидов. В классических эпидемиологических моделях считается, что время развития эпидемии гораздо меньше средней продолжительности жизни индивида, т.е. число индивидов в популяции остается постоянным [11]. В классической эпидемиологической модели SIR учитывается приобретение индивидами иммунитета после излечения, число индивидов в популяции также остается постоянным.
В «кибернетической» SI-модели полагается, что произвольный узел системы, состоящей из постоянного количества (N) компьютеров, может находиться только в двух состояниях: уязвимом (S) и инфицированном (I):
S+I=N. |
(1.1) |
Предположим, что на каждом инфицированном узле может существовать только одна копия червя, которая случайным образом выбирает в доступном адресном пространстве потенциальную жертву со средней постоянной скоростью β в единицу времени. «Кибернетическая» SIR-модель отличается от предыдущей модели наличием действия антивируса. Соответственно, сетевые узлы существуют в трех состояниях: уязвимом (S), зараженном (I) и невосприимчивом (вылеченном) (R):
S + I + R = N. |
(1.2) |
Узлы оказываются неуязвимыми только после излечения от инфекции. В модель, помимо скорости заражения, введена скорость «иммунизации» в единицу времени γ.
Современные технологии распространения вирусов наиболее адекватно описываются с помощью модели SEIR. Математическая модель SEIR характеризуется наличием четырех типов объектов управления: зараженные (I), не зараженные (S), вылеченные объекты, обладающие иммунитетом (R) и найденные зараженные объекты (E).
Исходя из указанных условий, обобщенная структура компьютерной системы на основе модели SEIR может быть представлена с помощью выражения:
S + E + I + R = N , |
(1.3) |
где: S – количество уязвимых объектов;
I – количество зараженных объектов;
R – количество вылеченных объектов, обладающих иммунитетом;
E – количество объектов, в которых обнаружен вирус;
N – общее количество объектов в системе.
Модель SEIR математически можно представить в виде системы уравнений (1.4):
|
(1.4) |
(1.4)
где β – вероятность заражения объекта,
µ – вероятность иммунизации до момента заражения объекта,
α – вероятность атаки узла злоумышленного ПО с фатальными последствиями,
υ – вероятность лечения,
S – количество уязвимых объектов;
I – количество зараженных объектов;
R – количество вылеченных объектов, обладающих иммунитетом;
E – количество объектов, в которых обнаружен вирус;
N – общее количество объектов в системе.
К сожалению, данная модель не учитывает реальную топологию, дискретность системы и её переходов из одного состояния в другое. Поэтому в последующем изложении вопросу дискретизации модели будет уделено особое внимание.
Описанные модели широко используются в классической эпидемиологии, но не учитывают многие особенности распространения компьютерных вирусов (особенности процесса заражения и антивирусной защиты), поэтому для компьютерных вирусов используются специальные модели.
Модель RCS (RandomConstantSpread) – наиболее простая модель, не учитывающая лечение, предполагающая постоянное непрерывное распространение вируса.
Двухфакторная модель учитывает участие человека в борьбе с эпидемией с помощью отключения отдельных узлов или иммунизации и непостоянство скорости распространения вируса.
Модель PSIDR (ProgressiveSuspected-Infected-Detected) учитывает особенности работы антивирусов: антивирус может обнаруживать и удалять вирусы только после того, как в вирусной базе появится сигнатура этого вируса. Существует дополнительное состояние D (Detected), в котором находятся узлы, с неизлеченным, но уже обнаруженным вирусом.
Модель AAWP (AnalyticalActiveWormPropagation) основана на дискретном времени (что позволяет существенно повысить точность моделирования быстрых червей), учитывает возможность устранения уязвимости, используемой вирусом, имеет возможность учета времени, требуемого для заражения компьютера, а также возможность одновременной атаки с различных узлов (что повышает точность моделирования массовых эпидемий).
Модель на основе расчета длины гамильтонова пути в отличие от классической эпидемиологической модели, учитывает масштабы компьютерной системы.
Существует несколько моделей, учитывающих структуру системы и изменения значений вероятности контактов всех процессов в каждый момент времени.
1. Модель на основе случайного графа изучает распространение вируса в сети, представляемой случайным графом с заданными характеристиками. Модель позволяет исследовать распространение вирусов в сетях, имеющих структуру двумерной решетки и иерархического случайного графа, и позволяет оценить влияние структуры сети на скорость развития эпидемии;
2. Модель «тесного мира» (small-world model) описывает развитие эпидемии вирусов в сети, представляемой графом «тесного мира»;
3. Безмасштабные сети также могут быть использованы для моделирования распространения вирусов.
Romualdo Pastor-Satorras and Alessandro Vespignani рассматривали не только топологию ИТКС как SF сеть, но анализировали процесс распространения эпидемии на таких сетях [108-110, 119, 159, 161-170]. Получили данные по компьютерным вирусам и выявляли такие их параметры, как средняя «продолжительность жизни» вируса и устойчивость к уничтожению. Описали динамическую модель распространения инфекции в сетях и предположили метод определения наличия эпидемического порога в сети.