2015_лекции / Лекция №9_2015_botnets

Эпидемиологическая модель SIS

I(t) – число зараженных узлов сети, в момент t =>

i(t) = I(t)/N - доля зараженных узлов.

b' = pN(N - 1)/N = p(N - 1) - это ожидаемое число исходящих связей узла

b'(1 - i) – число незараженных узлов, которое может быть заражено узлом по исходящим связям.

β' = βb' – это общая вероятность сети, при которой зараженный узел пытается заразить соседние узлы.

β I (1 - i) – ожидаемый общий уровень заражения в сети, при котором зараженные узлы заразят неинфицированные узлы.

δ I – это общесетевая вероятность, что инфицированные узлы излечиваются.

Эпидемиологическая модель SIS

di/dt = β b' i (1 - i) - δi

i(t) = i0 (1-ρ)/(i0+(1 - ρ - i0)e-(β'- δ)t)

ρ = δ/ β' соотношение вероятностей излечения к вероятности заражения в сети

ρ > 1 то доля зараженных узлов уменьшается экспоненциально с i0 до 0.

ρ ≤ 1 , то доля зараженных узлов растет экспоненциально, достигая значения 1 - ρ.

Модель AAWP

AAWP = Analytical Active Worm Propagation

(аналитическая модель распространения активного червя)

Исходные предположения для моделирования:

червь сканирует несколько машин одновременно;

не заражает повторно;

хосты, находящиеся в хит - списках уже заражены;

за единицу времени червь выполняет целый цикл заражения.

Модель AAWP

N -число уязвимых машин;

h - размер хит-листов;

s - среднее число просканированных машин в единицу времени;

d -вероятность вылечить без установки патча;

p -уровень пропатченных машин(вероятность установки патча в единицу времени);

mi-число уязвимых машин(включая заражённые) в i – момент времени;

ni - число заражённых машин в i – момент времени;

m0 = N - число уязвимых машин в начальный момент времени;

n0 = h - число зараженных машин в начальный момент времени.

Модель AAWP

Пусть в момент времени i

mi и ni уязвимых и зараженных машин то i+1

n'i+1 = (mi - ni)[1-(1-2-32)sni] - новых заражённых машин

 mi+1 = (1 - p)mi => mi = (1 - p)im0 = (1 - p)iN - число новых уязвимых «излеченных» машин для

заданных d и p и dni + pni зараженных машин

=>

ni+1 = ni(1 - d - p)+[ (1 - p)iN - ni ] [1 -(1-2-32)sni]

Сравнение моделей SIS и AAWP

На рисунке представлено сравнение двух изученных моделей – SIS и AAWP.

На рисунке 1- результаты моделирования для 10000 уязвимых хостов при исходных условиях:

размер хит-листа – 1 хост; скорость сканирования 2147500 узлов в единицу времени, параметр d (вероятность устранить червя без установки патча) – 1 машина в единицу времени; параметр вероятность заражения других узлов от инфицированного) = 5 машин в единицу времени; патчи не устанавливаются p = 0, и полное заражение происходит за одну единицу времени.

На рисунке 2- результаты моделирования для 1000000 уязвимых хостов при исходных условиях:

размер хит-листа – 10000 хост; скорость сканирования 100 узлов в секунду, Период заражения составляет 30 секунд (для модели AAWP), параметр d (вероятность устранить червя без установки патча) = 0 для обеих моделей; патчи не устанавливаются p = 0.