Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Бабанин, Дмитрий Владимирович

Модели оценки структурных решений по защите компьютерных сетей от вирусных атак
<
Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак Модели оценки структурных решений по защите компьютерных сетей от вирусных атак
>

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Бабанин, Дмитрий Владимирович. Модели оценки структурных решений по защите компьютерных сетей от вирусных атак : диссертация ... кандидата технических наук : 05.13.19 / Бабанин Дмитрий Владимирович; [Место защиты: Моск. гос. ин-т электроники и математики].- Москва, 2011.- 132 с.: ил. РГБ ОД, 61 12-5/1737

Содержание к диссертации

Введение

1. Распространение вирусов в компьютерных сетях

1.1. Определение и классификация компьютерных вирусов

1.2. Структура и распространение сетевых червей...

1.2.1. Свойства сетевых червей

1.2.2. Сетевые эпидемии

1.2.3. Классификация сетевых червей

1.3. Методы защиты сети от компьютерных вирусов

1.3.1. Организационные методы антивирусной защиты

1.3.2. Технические методы антивирусной защиты Выводы

2. Моделирование сетевых эпидемий

2.1. Модели классической эпидемиологии

2.1.1. Модель MSEIR

2.1.2. Модель SI (Suspected-Infected)

2.1.3. Модель SIS (Suspected-Infected-Suspected)

2.1.4. Модель SIR (Suspected-Infected-Removed)

2.1.5. Модели эпидемиологии для конкретных болезней

2.2. Модели развития эпидемий компьютерных вирусов

2.1. Модель RCS (Random Constant Spread)

2.2.2. Двухфакторная модель

2.2.3. Модель PSIDR (Progressive Suspected-Infected-Detected)

2.2.4. Модель AAWP (Analytical Active Worm Propagation)

2.2.5. Модель на основе расчета длины гамильтонова пути

2.2.6. Симулятор Уивера

2.3. Модели, учитывающие структуру сети

2.3.1. Случайный граф

2.3.2. Двумерная решетка и иерархический случайный граф

2.3.3. Модель «тесного мира»

2.3.4. Безмасштабные сети

2.3.5. Пространственные сети Выводы

3. Модели распространения компьютерных вирусов для произвольной структуры сети

3.1. Представление сети

3.1.1. Представление сети на основе информации о физических связях узлов

3.1.2. Топологические черви

3.1.3. Особенности составления графа для многовекторных червей

3.2. Модель на основе цепи Маркова для всей сети

3.2.1. Пример сети

3.2.2. Построение матрицы переходов

3.2.3. Вероятность изменения состояния узла

3.2.4. Вероятность заражения узла

3.2.5. Пример составления матрицы переходов в модели для всей сети

3.2.6. Использование модели для всей сети

3.2.7. Пример использования модели для всей сети

3.3. Модель на основе цепи Маркова для отдельных узлов

3.3.1. Пример составления матрицы переходов в модели для

отдельных узлов

3.3.2. Использование модели для отдельных узлов

3.3.3. Пример использования модели для отдельных узлов

3.4. Расширение модели для учета лечения

Выводы 4. Применение моделей распространения компьютерных вирусов для оценки защищенности сети

4.1. Описание методов использования моделей

4.1.1. Использование моделей при проектировании сети

4.1.2. Использование моделей для улучшения безопасности существующей сети

4.1.3. Критерии защищенности структуры

4.1.4. Применение моделей для сравнения различных структур сети со сходными характеристиками

4.2. Программное решение для моделирования распространения вирусов в компьютерных сетях

4.2.1. Подсистема ввода данных

4.2.2. Подсистема моделирования

4.2.3. Подсистема вывода результатов

4.3. Применение моделей для оценки защищенности сети университета ПО

4.3.1. Описание задачи и основные допущения ПО

4.3.2. Рассматриваемые структуры

4.3.3. Исходные данные и результаты моделирования

Выводы

Заключение.

Общие выводы

Литература

Введение к работе

Актуальность проблемы

Развитие компьютерных сетей позволяет осуществлять интеграцию распределенных вычислительных и информационных ресурсов и предоставлять доступ к ним большому числу пользователей. Все это обусловило широкое применение сетевых технологий во многих системах обработки информации различного уровня и назначения.

Однако сетевая интеграция приводит к увеличению рисков пользователей, связанных с возможностью распространения по сети вредоносного программного обеспечения и одной из его разновидностей -компьютерных вирусов.

Накопленный опыт в борьбе с компьютерными вирусами позволяет сделать вывод, что необходимо сочетание разнообразных средств и методов защиты при их атаках на компьютерные сети. Одним из подходов к организации защиты, по мнению ряда авторов, является применение структурных решений, которые позволяют снизить скорость распространения вирусов по сети, обеспечивая «структурную защищенность» сети, что позволит администратору иметь определенный запас времени для организации эффективного противодействия вирусной атаке.

Проведенные различными авторами исследования показали, что механизм распространения вирусов (вирусная атака) в конкретной сетевой структуре во многом схож с механизмами распространения инфекций в человеческих популяциях - эпидемиями.

На данный момент разработано большое количество моделей распространения компьютерных вирусов в компьютерных сетях. Среди них есть модели, базирующиеся на исследованиях в области эпидемиологии - SI, SIR, RCS (J. О. Kephart, S. R. White, N. Weaver), а также модели, специально разработанные для исследования эпидемий в компьютерных сетях - AAWP, LAAWP, PSIDR (M.M.Williamson, J. Leveille, L. Gao, Z. Chen, K. Kwiat). Однако известные модели, как правило, не позволяют оценить структурную защищенность компьютерной сети с произвольной структурой.

Попытки использования известных моделей, разработанных для анализа компьютерной сети, также не приводят к успеху, поскольку не учитывают

специфики распространения вирусов.

Следовательно, актуальной является задача разработки системы математических и программных моделей, которые позволяли бы оценить структурную защищенность компьютерной сети от вирусной эпидемии.

Создание такой системы позволит проектировать компьютерные сети максимально защищенной структуры.

Цель работы

Целью работы является создание математического и программного обеспечения для анализа влияния структурных решений при создании компьютерной сети на распространение вирусов, позволяющего формировать структуру сети, максимально защищенную от вирусных атак, что дает возможность повысить эффективность защиты компьютерной сети.

Объект и предмет исследования

Объектом исследования является структура компьютерной сети и ее влияние на распространение вирусной эпидемии.

Предметом исследования является механизм распространения вирусных эпидемий в компьютерной сети с заданной структурой.

Для достижения указанной цели были проведены исследования по следующим направлениям:

  1. Проведен анализ известных вирусов и механизмов их распространения в компьютерной сети.

  2. Проведен анализ известных моделей распространения вирусов в сетевой среде и их возможностей по учету особенностей структуры сети.

  3. Разработана система характеристик для оценки развития вирусных атак в компьютерной сети.

  4. Разработаны математические модели, позволяющие проводить исследование развития вирусной эпидемии в зависимости от структуры сети.

  5. Разработано программное обеспечение для моделирования распространения вирусных эпидемий в компьютерной сети, дополняющее возможности математических моделей.

На защиту выносятся 1. Результаты анализа механизмов распространения вирусов в

компьютерной сети и известных математических моделей, позволяющих вычислять характеристики развития атак.

  1. Метод уменьшения размерности задач анализа процесса распространения вирусной атаки в компьютерной сети с заданной структурой, позволяющий определять характеристики развития вирусной атаки между узлами сети.

  2. Комплекс математических моделей для расчета характеристик распространения вирусных атак в компьютерной сети с заданной структурой.

  3. Комплекс программных моделей, позволяющий моделировать развитие вирусной атаки в компьютерной сети.

Методы исследований определялись спецификой решаемых задач и поставленными целями. В качестве основных методов исследования применялись методы теории систем, теории вероятностей и математической статистики, теории графов.

Научная новизна результатов диссертации заключается в выборе объекта исследования, структуры компьютерной сети и установлении связей между параметрами объекта и характеристиками развития вирусных атак; в разработке комплекса математических и программных моделей для расчета характеристик развития вирусных атак в сетях с заданной структурой, позволяющих определять структурную защищенность сети и выбирать параметры структуры, обеспечивающие максимальную защиту.

Практическая значимость результатов заключается в создании математического и программного обеспечения, дающего возможность администраторам и разработчикам сетей оценивать различные варианты структуры сети с точки зрения их защищенности от вирусных атак и выбирать наиболее защищенные варианты структуры.

Достоверность и обоснованность результатов и выводов диссертации обусловлены соответствием разработанных моделей реальным механизмам распространения вирусов в компьютерной сети, обобщением известных результатов других авторов и подтверждаются данными о внедрении результатов для анализа конкретных компьютерных сетей.

Апробация полученных результатов

Основные положения диссертационной работы, теоретические и практические результаты докладывались и обсуждались на научно-технических конференциях: Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ (2008, 2009, 2010), Москва, МИЭМ, II Международной научно-практической конференции «Современные информационные компьютерные технологии - mcIT-2010», Гродно, 2010, а также на научно-технических семинарах кафедры ВСиС МИЭМ.

Результаты работы применялись для оценки структурной защищенности компьютерных сетей и выбора структуры сети в ряде организаций.

Публикации

Результаты проведенных в диссертации исследований опубликованы в 10 работах, в том числе в 2 статьях в рецензируемых изданиях, рекомендованных ВАК для публикации основных материалов диссертаций, представляемых на соискание ученой степени кандидата наук.

Структура и объем диссертации

Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы из 113 наименований. Общий объем диссертации 132 страницы.

Свойства сетевых червей

В настоящее время информационные технологии интегрированы практически во все сферы человеческой деятельности. Возможности автоматизированной и автоматической обработки информации позволяют человеку перейти на качественно новый уровень жизни. Но широкое использование информационных технологий принесло современному обществу и новые типы угроз. Одна из таких угроз - вредоносное программное обеспечение (вредоносные программы). Согласно ст. 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ» вредоносным программам дано определение программ для ЭВМ, «заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети» [1]. В работах [2, 3, 4] вредоносная программа определена как программа, специально созданная для выполнения несанкционированных действий и нарушению нормального функционирования компьютерной системы (сети). В [5] отмечается недостаточная точность формулировок в УК и комментариях к нему и предлагается следующее определение: «Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия - без участия и без предварительного уведомления вышеуказанных субъектов». В книге [6] Е. Касперский определяет вредоносное ПО как множество следующих программ: «компьютерные вирусы, троянские кони, конструкторы вирусов и полиморфик-генераторы». В работе [7] вирус определен через его математическую модель.

Среди перечисленных типов вредоносных программ наиболее многочисленным и наиболее опасным типом являются компьютерные вирусы: ежегодно они наносят ущерб на десятки миллиардов долларов [8, 9].

В данной главе дано определение и приведена классификация компьютерных вирусов. Представлено описание и классификация наиболее опасного на сегодняшний день вида компьютерных вирусов - сетевых червей. Описано явление сетевых эпидемий и их характеристики. Результаты, изложенные в этой главе, были опубликованы в работах [10, 11].

Наиболее точное определение компьютерного вируса было приведено Ф. Коэном [12]: «Определим вирус как программу, которая может «заражать» другие программы, модифицируя их так, что они содержат в себе копию вируса, возможно, измененную». Подобное определение содержится и в ГОСТ Р 51188-98: «компьютерный вирус - программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам» [13].

Различные попытки классификации компьютерных вирусов предпринимались неоднократно [14, 15]. Многие антивирусные компании имеют свои собственные способы классификации вирусов. Крис Касперски указывает на сложность классификации вирусов из-за наличия многочисленных межвидовых гибридов, из-за чего один и тот же вирус приходится относить к нескольким категориям сразу, «в результате чего классификация сразу теряет стройность, привлекательность и смысл» [16]. Кроме того, из-за быстрого развития технологий появляются новые типы вирусов, что делает классификацию быстро устаревающей.

Классическая, во многом до сих пор актуальная классификация компьютерных вирусов приведена Е. Касперским [17]. Согласно данной классификации вирусы можно разделить по следующим признакам:

По среде обитания вирусы можно разделить на следующие группы [18, 19,20,21]. Файловые вирусы обязательно заражают некоторый файл: либо внедряясь в исполнимый файл [22], либо подменяет его, храня оригинал отдельно (компаньон-вирусы), либо используют особенности файловой системы (link-вирусы) [23].

Загрузочные вирусы заражают загрузочные сектора дисков, активируясь при попытке загрузиться с диска.

Макровирусы заражают документы различных прикладных программ, которые позволяют внедрять в документ программный код макросов. Сетевые вирусы для своего распространения используют различные сетевые протоколы, либо другие возможности, предоставляемые вычислительными сетями. Данный вид вирусов также называют сетевыми червями. [24]

Существуют также вирусы, сочетающие в себе возможность распространения в различных средах обитания, например, файлово-загрузочные вирусы, способные заражать и файлы, и загрузочные сектора дисков [17].

Операционная система, объекты которой подвергаются заражению, также может быть использована для классификации. Файловые и сетевые вирусы ориентированы на определенные операционные системы (DOS, Windows, Unix), а также на конкретные их версии. Для макровирусов вместо операционной системы логичней рассматривать конкретные версии программ, в которых при открытии зараженного документа будет активизирован вирусный код (Word, Excel и т.д.). Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. [21] Можно также выделить следующие особенности алгоритма работы вирусов [18, 19,20,21]. Резидентные вирусы после запуска частично остаются в оперативной памяти, благодаря чему могут работать всё время работы компьютера, заражая объекты, к которым обращается операционная система. Нерезидентные вирусы сохраняют свою активность лишь некоторое время, как прикладные программы [23].

Стелс-вирусы имеют возможность скрывать свое присутствие в системе. Для этого чаще всего вирусы перехватывают обращения операционной системы к зараженным объектам, подменяя зараженный объект незараженной копией. Это значительно затрудняет обнаружение вируса, как пользователями, так и антивирусами [23].

Модель SI (Suspected-Infected)

В данной главе дан обзор различных моделей, используемых для моделирования эпидемий. Представлены как модели классической эпидемиологии, используемые для моделирования биологических эпидемий, так и современные модели, предназначенные для моделирования распространения компьютерных вирусов. Произведено сравнение данных моделей, отмечены их достоинства и недостатки. Результаты, изложенные в этой главе, были опубликованы в работах [10, 65, 66, 67].

Моделирование распространение эпидемий компьютерных вирусов (сетевые эпидемии описаны в разделе 1.2.2) берет начало из эпидемиологии -общемедицинской науки, изучающей закономерности возникновения и распространения заболеваний. Поскольку распространение вредоносного кода среди компьютеров во многом схоже с распространением заболеваний в популяции людей, то для моделирования эпидемий компьютерных вирусов можно использовать математический аппарат эпидемиологии. В эпидемиологии при исследовании эпидемий используются следующие понятия.

Особь (индивид) - это отдельно существующий организм. С точки зрения эпидемиологии особь может находиться в двух основных состояниях: зараженном и незараженном. В различных эпидемиологических моделях существуют дополнительные состояния, учитывающие различные свойства живых организмов.

Популяция - совокупность индивидуумов, из которой отбирается выборка, и на которую могут быть распространены результаты, полученные для этой выборки [68]. При моделировании эпидемий под популяцией обычно понимают множество особей, на котором может происходить распространение заболевания.

С течением времени особи в популяции контактируют друг с другом, в результате чего осуществляется передача заболевания. Обычно для эпидемий популяция считается гомогенной смесью: все особи в популяции имеют равную вероятность контакта, но существуют и отдельные модели, учитывающие неравномерность контакта [69]. Также со временем могут происходить и другие процессы, такие как излечение, смерть, приобретение иммунитета.

Наиболее общей моделью эпидемии в математической эпидемиологии, а также основой для большинства моделей, является модель MSEIR [70, 71].

Суть модели заключается в следующем. Имеется популяция из N особей. Каждая особь находится в одном из пяти состояний. Состояния обозначаются буквами М, S, Е, I, R. Иногда для обозначения состояния особи говорят о принадлежности особи к одноименной группе. Состояния, их обозначения и особенности перечислены в таблице 2.1

Функция зависимости количества особей, находящихся в определенном состоянии, от времени обозначается соответствующей буквой, например S(t), І(і),Я(і)ит.д.

Переход особей из одной группы в другую (т.е. изменение состояния особи) происходит по схеме, указанной на рис. 2.1.1. РОСІ ГОСУ«А

Изначально часть особей может находиться в состоянии М, т.е. обладают пассивным иммунитетом. Обычно таким иммунитетом обладают новорожденные, в крови у которых находятся антитела, доставшиеся от матери. Через некоторое время материнские антитела выводятся из организма, и особь становится уязвима для инфекции, т.е. переходит в состояние «уязвима» (S). Также в этом состоянии изначально находятся особи, родившиеся без пассивного иммунитета. При контакте уязвимой особи (S) с особью, распространяющей заболевание (в состоянии I) происходит заражение, и особь переходит в латентную стадию заражения (группа Е). Особи на этой стадии считаются зараженными, но при контакте с ними передачи инфекции не происходит. После истечения латентного периода особи переходят в состояние распространения инфекции (I). Это единственное состояние данной модели, находясь в котором особи заражают других. По истечению периода болезни особь излечивается и получает активный иммунитет, осуществляется переход из состояния І в состояние R. Особи, обладающие активным иммунитетом, не подвержены заражению и переходу в какие-либо другие состояния. В некоторых моделях предусматривается возможность потери иммунитета, т.е. перехода из состояния R в состояние S [70].

Некоторые модели для тех болезней, для которых длительность протекания сравнима со временем жизни особи, учитывают изменение численности популяции: рождение и смерть особей. Для таких моделей предусматривается появление новых особей в состояниях М или S, а также смерть особей, находящихся в любых состояниях.

Выбор состояний для конкретной модели обычно зависит от особенности моделируемого заболевания, а также из цели модели. Состояния пассивного иммунитета М и латентной стадии Е часто не используются, т.к. не имеют большого значения для взаимодействия уязвимых и зараженных. Название конкретной модели составляется из букв, символизирующих состояния в той последовательности, в которой изменяются состояния членов популяции: MSEIR, MSEIRS, SEIR, SEIRS, SIR, SIRS, SEI, SEIS, SI, и SIS. Наличие S в конце последовательности говорит о том, что в данных моделях зараженная или излеченная особь может вернуться в состояние уязвимой (S) [71].

Особенности составления графа для многовекторных червей

Математические модели эпидемиологии могут быть использованы для моделирования компьютерных вирусов, но лишь в некотором приближении. Для получения более точных моделей необходимо учитывать особенности распространения компьютерных вирусов по различным каналам связи, а также особенности лечения, иммунизации и других мер противодействия вирусам. Поэтому на основе классических моделей эпидемиологии были разработаны модели, позволяющие более точно рассчитать динамику развития эпидемии [73, 74, 75].

При моделировании эпидемий компьютерных вирусов используются понятия, эквивалентные понятиям классической эпидемиологии.

Компьютер или узел сети - понятие, эквивалентное «особи». Обозначает отдельный компьютер либо другое устройство, участвующее в распространении эпидемии.

Сеть - понятие, эквивалентное понятию «популяция». Под компьютерной сетью понимается «набор связанных между собой автономных компьютеров» [76]. При этом два компьютера считаются связанными, если между ними возможна передача информации. В рамках моделирования эпидемий компьютерных вирусов под передачей информации рассматривается возможность передачи компьютерного вируса.

Модель RCS (Random Constant Spread) Для анализа реальных вспышек эпидемий активных сетевых червей, а также для изучения более быстрых способов распространения Стейнфорд, Паксон и Уивер создали модель, названную RCS - Random Constant Spread [35].

Модель основана на следующих допущениях: Сетевой червь имеет хороший генератор случайных чисел с равномерным распределением. N - общее число уязвимых серверов, которые могут быть доступны червю. Ыпостоянно, т.е. не учитывается ни появление новых серверов, ни установка обновлений либо отключение от сети старых. К - начальная скорость распространения. Это число уязвимых машин, которое зараженный узел может найти и заразить в течение единицы времени в начале эпидемии. Предполагается, что К- это глобальная константа, не зависящая от скорости сети или частоты процессора зараженной машины.

Предполагается, что однажды зараженная машина не может быть заражена дважды и иметь в себе две копии червя.

Зная, что в данный момент времени t доля зараженных компьютеров равна а, можно рассчитать, какое количество компьютеров (Nda) будет заражено в течение промежутка времени dt: количество зараженных за промежуток времени машин будет пропорционально количеству уже зараженных машин (Na), помноженному на количество машин, которые могут быть заражены (1-а).

Можно доказать, что это решение математически эквивалентно математической модели SI, отличается лишь способом задания начальных данных. Наличие всего двух параметров - К и Т - позволяет использовать эту модель для аппроксимации данных реальных эпидемий: для получения зависимости количества зараженных узлов от времени достаточно подобрать значения лишь этих двух коэффициентов [35].

Разработчики показали адекватность данной модели, успешно применив её для моделирования эпидемии червя Code Red. График с реальными данными и результатом моделирования приведены на рис. 2.2.1.

RCS является наиболее простой моделью распространения компьютерных вирусов. Достоинства: простота, наличие аналитического решения, небольшое количество параметров. Недостатки: модель не учитывает ни возможность излечения, ни особенности среды распространения вируса, при любых исходных данных прогнозирует 100% заражение всей сети.

Применение моделей для сравнения различных структур сети со сходными характеристиками

Представленные в разделах 3.2 и 3.3 модели могут быть использованы не только при проектировании новых сетей, но и для анализа антивирусной защищенности существующих. Использование моделей распространения вирусов для существующих сетей позволяет ответить на следующие вопросы.

Каковы значения критериев защищенности для сети в данный момент? Достаточен ли уровень защищенности? Насколько изменится защищенность при изменении структуры сети? Какие точки сети наиболее опасны в случае их заражения? Имея ответы на данные вопросы, можно давать рекомендации по улучшению безопасности сети: необходимости изменения структуры сети, либо усилении защиты на каких-либо узлах сети.

При анализе антивирусной безопасности существующей сети в первую очередь проводится моделирование распространения вирусов для данной структуры сети. Если значения полученных критериев свидетельствуют о достаточной защищенности, то необходимости в изменении структуры сети нет.

В случае недостаточной защищенности сети необходимо изменить структуру сети. Для этого в структуру сети вносятся небольшие изменения, после чего запускается процесс моделирования. Данный метод аналогичен описанному в п. 4.1.1, за исключением того, что вместо выбора из некоторого начального количества структур происходит итеративное изменение существующей структуры в поисках наиболее безопасной.

Для обнаружения узлов, заражение которых представляет наибольшую угрозу для всей сети необходимо выбирать различные начальные точки заражения. В результате моделирования будут получены значения критериев защищенности. Узлы, заражение которых приводит к наиболее сильному (либо быстрому) заражению всей сети, должны быть защищены как можно более надежно. Структурная схема алгоритма обнаружения наиболее уязвимых узлов представлена на рис. 4.1.2.

Критерии защищенности структуры Для сравнения различных способов соединения узлов необходимо иметь критерий качества решения - критерий защищенности.

В результате проведения моделирования с помощью формул (3.2.12) и (3.3.8) можно получить вероятности нахождения узлов в зараженном состоянии р/(7). Для оценки защищенности необходимо сопоставить множеству зависимостей Р,(,)(7),Р2(0(/),..., Р (1) значение критерия S.

Поскольку заражение различных узлов может приносить различный ущерб в зависимости от важности информации, хранимой или обрабатываемой на данном узле, стоимости простоя либо излечения узла, то для учета этой особенности вводится вес узла аг Физический смысл веса -потери от заражения узла. Значение критерия защищённости сети может быть представлена как взвешенная сумма значений критериев защищенности отдельных узлов: S = ±a,X[Pr(I)] (4.1.1) где at - это вес узла, а Х[Р/(/)] - критерий защищенности узла. В качестве критерия защищенности узлов могут быть выбраны следующие критерии. Вероятность зараженности узла в определенный момент времени не позволяет оценить всю динамику развития эпидемии, но может дать полезную информацию для таких типов вирусов, как «логическая бомба», описанных в разделе 1.2.3.4. Критерий выражается следующей формулой.

Затраты на простой узла. Использование данного критерия предполагает, что пока узел заражен, он приносит убытки. Проинтегрировав вероятность заражения узла по времени и умножив это значение на стоимость простоя узла в единицу времени можно получить математическое ожидание убытков от заражения узла. Физический смысл данного можно представить как количество потерянных машино-часов в результате заражения.

Применение моделей для сравнения различных структур сети со сходными характеристиками

Очевидно, что чем выше связность сети, тем быстрее распространяется в данной сети эпидемия компьютерных вирусов. На практике часто приходится сравнивать защищенность сетей, имеющих одинаковую связность. Применение разработанной модели позволяет обнаружить различия в распространении вирусов в сетях с одинаковыми значениями таких величин, как диаметр и среднее расстояние между узлами. Рассмотрим три различных структуры сети, изображенных на рис. 4.1.3.

Все три приведенных структуры имеют по 6 узлов, 7 ребер, диаметр графов равен 3. Среднее значение расстояния между узлами для приведенных структур также совпадает и равно 1,6667.

Моделирование проводилось с использованием модели на основе цепей Маркова для всей сети. Были использованы следующие значения параметров: [3 = 0,04; Т = 160. Для каждого из вариантов структур проводилось 6 численных экспериментов, в которых один из узлов выбирался изначально зараженным. На рис. 4.1.4 - 4.1.6 представлены результаты моделирования. На каждом рисунке изображены шесть графиков - для различных начальных вариантов заражения.

Из полученных данных можно сделать следующий вывод: в сетях, структура которых имеет одинаковую связность и равный диаметр, распространение эпидемии компьютерных вирусов может происходить с различной скоростью.

Программное решение для моделирования распространения вирусов в компьютерных сетях Для моделирования распространения вирусов была разработана специальная программа. Данная программа позволяет осуществлять ввод данных, производить моделирование, сравнение результатов с использованием различных моделей.

Данная подсистема предназначена для ввода таких исходных данных для моделирования, как структура исследуемой сети, начальные точки заражения, скорость заражения и другие параметры используемых моделей. Для ввода структуры сети предназначен редактор графов, позволяющий создавать и редактировать граф как в графическом режиме, так и редактированием матрицы смежности. Подсистема имеет возможность сохранять введенные данные в файл и загружать данные из файла. Внешний вид пользовательского интерфейса ввода структуры сети представлен на рис. 4.2.1 ирис. 4.2.2.

Похожие диссертации на Модели оценки структурных решений по защите компьютерных сетей от вирусных атак