2.3. Заражение элемента системы сетевым вирусом
Далее рассмотрим процесс заражения элемента системы сетевым вирусом. Данный класс вирусов создает дополнительную нагрузку на канал связи.
Смоделируем процесс от момента отправки вредоносного ПО до момента заражения элемента системы с помощью сети Петри-Маркова. Для построения сети используем следующие обозначения:
S1 — злоумышленник готов к отправки вредоносного ПО;
S2 — устройство пользователя готово к приему вредоносного ПО;
t1 — сканирование открытых портов системы. Сканирование может осуществляться как через внутренние методы вирусного ПО, так и через подключение к внешней локальной сети;
S3 — порт в режиме прослушивания;
t2 — определение количество и типов приложений подключенных к порту;
S4 — приложение подключенное к данному порту;
t3 — «распоточивание» вредоносного ПО;
S5 — первый поток, направлен на заражения внешних запоминающих устройств;
S6 — второй поток, направлен на дальнейшее распространение по сети;
t4 — подключение и заражение внешнего запоминающего устройства;
S7 — зараженное внешнее запоминающее устройство;
t5 — анализ локальной сети на предмет её наличия;
S8 — найденная локальная сеть;
t6 — сканирование открытых портов. Сканирование может осуществляться как через внутренние методы вирусного ПО так и через подключение к внешней локальной сети;
S9 — порт в режиме прослушивания. Как правило, у одного приложения один порт для обмена данными, но не исключены варианты нескольких портов в одном приложении;
t7 — заражение приложения вирусным ПО;
S7 — ПО зараженное вирусным ПО;
t8 — ожидание подключения внешних запоминающих устройств.
Отсюда граф данной атаки имеет вид, представленный на рис. 2.2.
Рис. 2.2. Граф реализации атаки сетевым вирусом
Тогда матрица, определяющая логические функции срабатывания сети, может быть записана (без учета направленности дуг графа) следующим образом (табл. 2.2):
Таблица 2.2
Матрица срабатывания сети Петри-Маркова для графа реализации атаки сетевым вирусом
t1 |
t2 |
t3 |
t4 |
t5 |
t6 |
t7 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
|
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
1 |
0 |
1 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
t1 |
t2 |
t3 |
t4 |
t5 |
t6 |
t7 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
Для данной матрицы (табл. 2.2) имеет место следующая система интегрально-дифференциальных уравнений (2.5):
, |
(2.5) |
, |
|
|
|
, |
|
|
|
|
|
|
|
|
|
|
,
По аналогии с разделом 2.2 полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
|
(2.6) |
где: i = 1,…,10, j = 1,…,7.
Применяя пуассоновское приближение, получим среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
|
(2.7) |
|
|
|
где исходные параметры атаки принимают следующие значения:
– среднее время подготовки вредоносного ПО злоумышленником;
– среднее время подготовки устройства пользователя;
– среднее время необходимое для заражения сканирование открытых портов системы;
– среднее время разбиения вредоносного ПО на два потока;
– среднее
время необходимое для заражения
внешнего запоминающего устройства;
– среднее
время сканирование
системы на предмет наличия локальной
сети;
– среднее время сканирование открытых портов системы;
– среднее время заражения приложения вирусным ПО;
τ – среднее время для всей цепочки событий.
Из (2.7) можно найти время завершения атаки:
|
(2.8) |
оценка которого имеет особое практическое значение.