2015_лекции / Лекция №9_2015_botnets
.pdfЭпидемиологическая модель SIS
Граф: N-узлов,
(N-1)N- число связей в графе,
з – вероятность включения узла в сеть.
p*N*(N-1) – ожидаемое количество связей в сети
δi – уровень излечимости узла для заданного вируса (вероятность излечения в единицу времени).
βij – уровень заражения узла j вирусом от узла i Пусть δi= δ и βij = β для всех узлов
Эпидемиологическая модель SIS
I(t) – число зараженных узлов сети, в момент t =>
i(t) = I(t)/N - доля зараженных узлов.
b' = pN(N - 1)/N = p(N - 1) - это ожидаемое число исходящих связей узла
b'(1 - i) – число незараженных узлов, которое может быть заражено узлом по исходящим связям.
β' = βb' – это общая вероятность сети, при которой зараженный узел пытается заразить соседние узлы.
β I (1 - i) – ожидаемый общий уровень заражения в сети, при котором зараженные узлы заразят неинфицированные узлы.
δ I – это общесетевая вероятность, что инфицированные узлы излечиваются.
Эпидемиологическая модель SIS
di/dt = β b' i (1 - i) - δi
i(t) = i0 (1-ρ)/(i0+(1 - ρ - i0)e-(β'- δ)t)
ρ = δ/ β' соотношение вероятностей излечения к вероятности заражения в сети
ρ > 1 то доля зараженных узлов уменьшается экспоненциально с i0 до 0.
ρ ≤ 1 , то доля зараженных узлов растет экспоненциально, достигая значения 1 - ρ.
Модель AAWP
AAWP = Analytical Active Worm Propagation
(аналитическая модель распространения активного червя)
Исходные предположения для моделирования:
червь сканирует несколько машин одновременно;
не заражает повторно;
хосты, находящиеся в хит - списках уже заражены;
за единицу времени червь выполняет целый цикл заражения.
Модель AAWP
N -число уязвимых машин;
h - размер хит-листов;
s - среднее число просканированных машин в единицу времени;
d -вероятность вылечить без установки патча;
p -уровень пропатченных машин(вероятность установки патча в единицу времени);
mi-число уязвимых машин(включая заражённые) в i – момент времени;
ni - число заражённых машин в i – момент времени;
m0 = N - число уязвимых машин в начальный момент времени;
n0 = h - число зараженных машин в начальный момент времени.
Модель AAWP
Пусть в момент времени i
mi и ni уязвимых и зараженных машин то i+1
n'i+1 = (mi - ni)[1-(1-2-32)sni] - новых заражённых машин
mi+1 = (1 - p)mi => mi = (1 - p)im0 = (1 - p)iN - число новых уязвимых «излеченных» машин для
заданных d и p и dni + pni зараженных машин
=>
ni+1 = ni(1 - d - p)+[ (1 - p)iN - ni ] [1 -(1-2-32)sni]
Сравнение моделей
SIS |
AAWP |
|
|
непрерывная |
дискретная |
|
|
Ориентирована на P2p и |
Сканирование IP- |
@ черви |
адресов |
|
|
Не учитывает время |
Дискретность учитывает |
необходимое червю для |
время, затрачиваемое на |
заражения компьютера и |
заражение |
устранение червя |
|
|
|
Учитывают размер hit-листов
Сравнение моделей SIS и AAWP
На рисунке представлено сравнение двух изученных моделей – SIS и AAWP.
На рисунке 1- результаты моделирования для 10000 уязвимых хостов при исходных условиях:
размер хит-листа – 1 хост; скорость сканирования 2147500 узлов в единицу времени, параметр d (вероятность устранить червя без установки патча) – 1 машина в единицу времени; параметр вероятность заражения других узлов от инфицированного) = 5 машин в единицу времени; патчи не устанавливаются p = 0, и полное заражение происходит за одну единицу времени.
На рисунке 2- результаты моделирования для 1000000 уязвимых хостов при исходных условиях:
размер хит-листа – 10000 хост; скорость сканирования 100 узлов в секунду, Период заражения составляет 30 секунд (для модели AAWP), параметр d (вероятность устранить червя без установки патча) = 0 для обеих моделей; патчи не устанавливаются p = 0.
Литература:
1)J. O. Kephart, S. R. White Directed-Graph Epidemiological Models of Computer Viruses, IBM Thomas J. Watson Research Center, 1993 (для презентации http://www.docstoc.com/docs/88821085/Directed-Graph- Epidemiological-Models-of-Computer-Viruses)
2)Chen, L. Gao, and K. Kwiat, “Modeling the Spread of Active Worms” in Proc. Of INFOCOM 2003, San Francisco, April, 2003.
3)И.В. Котенко, В.В. Воронцов. Аналитические модели распространения сетевых червей http://www.proceedings.spiiras.nw.ru/data/src/2007/04/00/spyproc-2007-04-00- 15.pdf