Добавил:

mihail1000 Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Воронежский государственный технический университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Учебное пособие 700148.doc

Скачиваний:

Добавлен:

01.05.2022

Размер:

853.69 Кб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 78 / 238 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 > Следующая >>>

2.2. Заражение элемента системы файловым вирусом

Рассмотрим процесс заражения элемента системы файловым вирусом. Примем в качестве элемента заражения файл операционной системы (динамические библиотеки DLL, драйвера SYS, приложения EXE). Вредоносная программа меняет код заражаемого файла на свой. В результате зараженный элемент системы полностью или частично теряет свой исходный функционал.

Смоделируем поведение вредоносного ПО от момента его отправки до момента заражения элемента системы с помощью сети Петри-Маркова, для чего используем следующие обозначения:

S₁— злоумышленник готов к отправки вредоносного ПО;

S₂— устройство пользователя готово к приему вредоносного ПО;

t₁— определение способа отправке вредоносного ПО;

S₃— выбранный способ отправки вредоносного ПО;

t₂— настройка вредоносного ПО под выбранный тип отправки определяемый на шаге t₁;

S₄— вредоносное ПО готово к отправке;

S₅— выбранный способ отправки;

t₃— отправка вредоносного ПО на устройств;

S₆— вредоносное ПО находится на устройстве;

t₄— анализ системы на предмет возможного варианта запуска вредоносного ПО;

S₇— найденные возможности запуска вредоносного ПО (в данном случае два: по средствам автозапуска, по средствам запуска вредоносного ПО пользователем);

t₅— вредоносное ПО начинает работать в 2 потока (в данном случае это обеспечит большую вероятность запуска вредоносного кода);

S₈— первый поток направленный на обеспечение запуска вредоносного ПО через автозапуск;

S₉— второй поток, в котором запуск вредоносного ПО происходит по средствам пользователя;

t₆— правка реестра системы и добавление вредоносного ПО в автозагрузку;

S₁₀— вредоносное ПО ожидающее перезагрузку системы и последующий запуск;

t₇— запуск вредоносного ПО посредством открытия приложения пользователем;

S₁₁— запущенное вредоносное приложение;

t₈— поиск подходящего к заражению объекта;

S₁₂— найденный и подходящий для заражения объект;

t₉— добавление вредоносного кода в найденный объект;

S₁₃— видоизмененный объект.

С учетом введенных обозначений граф сети представлен на рис. 2.1.

Рис. 2.1. Граф реализации атаки файловым вирусом

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом (табл. 2.1):

Таблица 2.1

Матрица срабатывания сети Петри-Маркова для графа реализации атаки файловым вирусом

t₁	t₂	t₃	t₄	t₅	t₆	t₇	t₈	t₉
1	0	0	0	0	0	0	0	0
1	0	0	0	0	0	0	0	0
	1	0	0	0	0	0	0	0
0	0	1	0	0	0	0	0	0
0	1	1	0	0	0	0	0	0
0	0		1	0	0	0	0	0
0	0	0	1	1	0	0	0	0
0	0	0	0	1	1	0	0	0
0	0	0	0	1	0	1	0	0
0	0	0	0	0	1	0	0	0
0	0	0	0	0	0	1	1	0
0	0	0	0	0	0	0	1	1
0	0	0	0	0	0	0	0	1

Для данной сети (рис. 2.1) имеет место следующая система интегрально-дифференциальных уравнений (2.1):

,	(2.1)
,

,
,
,

,



,

Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:

(2.2)

где i = 1,…,13, j = 1,…,9.

Применение прямого и обратного преобразования Лапласа является весьма громоздким, поэтому целесообразно применять пуассоновское приближение для плотностей распределения вероятностей времени перемещения в переходах сети Петри-Маркова.

Используя пуассоновское приближение, получим среднее время перемещения по сети (рисунок 2.1) из начальной позиции до конечного перехода и вероятность этого перемещения: