Научная статья на тему 'Математическая модель защиты компьютерной сети от вирусов'

Математическая модель защиты компьютерной сети от вирусов Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1339
205
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
КОМПЬЮТЕРНЫЙ ВИРУС / МАТЕМАТИЧЕСКАЯ МОДЕЛЬ / МОДЕЛЬ MSEIRS / НЕЛИНЕЙНАЯ СИСТЕМА / ДИФФЕРЕНЦИАЛЬНЫЕ УРАВНЕНИЯ / ОПТИМАЛЬНОЕ УПРАВЛЕНИЕ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Семыкина Н.А., Шавыкина И.В.

Одним из эффективных подходов к анализу процессов функционирования компьютерных систем в условиях активного распространения вредоносных программ является математическое моделирование. Его преимущество заключается в большой скорости моделирования различных сценариев для конкретных параметров компьютерной сети. Численные результаты, получаемые посредством таких моделей, позволяют анализировать поведение вирусов в сетях, состоящих из любого числа элементов. В статье рассмотрена математическая модель защиты компьютерной сети от вредоносного кода на основании модели MSEIRS. Данная модель является разносторонней и всеобщей, так как учитывает многие факторы, влияющие на состояние сети: временные параметры заражения для конкретных вирусов и лечения сети с помощью антивируса, средняя скорость иммунизации и непроизвольное отключение компьютеров от сети. Выбран критерий управления, характеризующий наилучшее состояние системы, когда большинство хостов невосприимчивы к воздействию сетевых вирусов. Построена дискретная аппроксимация исходной задачи оптимального управления. Результатом исследования модели является разработанная программа, которая позволяет грамотно оценить защищенность сети и при необходимости применить эффективные методы борьбы с вредоносным кодом. Проведены и проанализированы вычислительные эксперименты. Для этого рассмотрены два случая: прогрессирующее во времени и сети распространение вируса (эпидемия) и отсутствие существенных колебаний численности инфицированных компьютеров.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Семыкина Н.А., Шавыкина И.В.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

One of the effective approaches to analyzing computer systems in the context of active computer viruses is mathematical modeling. Its advantage is in fast modeling of various scenarios for particular parameters of a computer network. Computational results obtained by these models allow analyzing viruses’ behavior in networks consisting of any number of elements. The article considers a mathematical model of computer network protection from a malicious code based on MSEIRS model. This model is multifaceted and global as it takes into account many factors influencing a network state: timing of infection for specific viruses and network treatment using an antivirus, medium immunization rate and involuntary computer shut down. The selected control criterion characterizes the best state of the system, when most hosts are immune to the impact of network viruses. The paper presents the discrete approximation of the optimal control problem. The result of the research model is a developed program that allows you to competently evaluate the security of the network and to use effective methods of dealing with malicious code if necessary. The authors conducted and analyzed computational experiments. For this they considered two cases: a progressive virus transmission in time and network (epidemic) and the absence of significant numbers of infected computers’ fluctuations.

Текст научной работы на тему «Математическая модель защиты компьютерной сети от вирусов»

УДК 004.942+ 518.6 Дата подачи статьи: 14.06.16

DOI: 10.15827/0236-235X.114.125-128 2016. Т. 29. №° 4. С. 125-128

МАТЕМАТИЧЕСКАЯ МОДЕЛЬ ЗАЩИТЫ КОМПЬЮТЕРНОЙ СЕТИ ОТ ВИРУСОВ

Н.А. Семыкина, к.ф.-м.н., доцент, semykina.tversu@yandex.ru (Тверской государственный университет, ул. Желябова, 33, г. Тверь, 1 70100, Россия);

И.В. Шавыкина, инженер-программист, inna.sha.vykina@mail.ru (НИИ «Центрпрограммсистем», просп. 50 лет Октября, 3а, г. Тверь, 170024, Россия)

Одним из эффективных подходов к анализу процессов функционирования компьютерных систем в условиях активного распространения вредоносных программ является математическое моделирование. Его преимущество заключается в большой скорости моделирования различных сценариев для конкретных параметров компьютерной сети. Численные результаты, получаемые посредством таких моделей, позволяют анализировать поведение вирусов в сетях, состоящих из любого числа элементов.

В статье рассмотрена математическая модель защиты компьютерной сети от вредоносного кода на основании модели MSEIRS. Данная модель является разносторонней и всеобщей, так как учитывает многие факторы, влияющие на состояние сети: временные параметры заражения для конкретных вирусов и лечения сети с помощью антивируса, средняя скорость иммунизации и непроизвольное отключение компьютеров от сети. Выбран критерий управления, характеризующий наилучшее состояние системы, когда большинство хостов невосприимчивы к воздействию сетевых вирусов. Построена дискретная аппроксимация исходной задачи оптимального управления.

Результатом исследования модели является разработанная программа, которая позволяет грамотно оценить защищенность сети и при необходимости применить эффективные методы борьбы с вредоносным кодом. Проведены и проанализированы вычислительные эксперименты. Для этого рассмотрены два случая: прогрессирующее во времени и сети распространение вируса (эпидемия) и отсутствие существенных колебаний численности инфицированных компьютеров.

Ключевые слова: компьютерный вирус, математическая модель, модель MSEIRS, нелинейная система, дифференциальные уравнения, оптимальное управление.

В настоящее время для обработки информации, общения и обмена данными повсеместно используются компьютерные сети. Однако благодаря Интернету и большой пропускной способности систем связи распространение вирусов превращается в сетевые эпидемии. Поэтому остро встает вопрос о защите компьютерных сетей и информации. По статистическим данным [1], опубликованным на сайте Лаборатории Касперского, 95 % отечественных организаций как минимум один раз подвергались внешней компьютерной атаке. Россия входит в двадцатку стран, подвергшихся наибольшему риску заражения через Интернет, и занимает одиннадцатое место в мире по уровню зараженности компьютеров. С каждым годом положение в IT-сфере ухудшается: появляется большое количество новых вирусов и, как следствие, растут материальные потери. Важной научной задачей в данной ситуации является построение действенной защиты компьютерной сети. Для этого необходимо исследовать причины и механизмы распространения вирусов. Одним из способов исследований является математическое моделирование распространения вредоносных программ.

Исследования многих авторов показали, что наиболее адекватно распространение вируса описывают модели, основанные на математической теории биологических эпидемий. Большинство исследователей используют для описания компьютерной эпидемии модели типа SI, SIR и SEIR [2-5]. В данной статье рассмотрим модель MSEIRS [6], которая достаточно полно описывает развитие эпи-

демии для популяции людей. Например, модель М8ЕЖ8 предусматривает латентный период заболевания, то есть когда объект заражен, но вирус еще не распространяет. Модифицируем эту биологическую модель для наиболее правильного описания деструктивных воздействий вируса на работу компьютерной сети какой-либо организации при условии, что подключаемые новые узлы изначально обеспечены антивирусной защитой. Согласно этой модели, каждый хост компьютерной сети может находиться в одном из пяти состояний: уязвимом, вновь подключенном с установленным антивирусным ПО, инфицированном, латентном (инфицирован, но не распространяет вирус), невосприимчивом к вирусу. Работа этой модели схематично отображена на рисунке 1.

Для описания модели использованы следующие переменные и постоянные величины: N(0 - общее количество машин в сети в момент времени ^ M(t) - количество вновь подключаемых компьютеров в момент времени ^ S(t) - количество уязвимых узлов в момент времени V, E(t) - количество инфицированных узлов (при этом вирус не наносит какого-либо вреда зараженному узлу) в момент времени t (латентная стадия); ДО - количество инфицированных узлов в момент времени ^ R(t) -количество невосприимчивых узлов в момент времени V, 9 - коэффициент, характеризующий скорость прироста новых уязвимых узлов; в - коэффициент, характеризующий скорость заражения уязвимых узлов; д - коэффициент, характеризующий скорость отключения узлов от сети и не зависящий

Подключ ение

Отключение

т т ▼

Отключение Отключение Отключение

Рис. 1. Представление работы модели MSEIR Fig. 1. MSEIR model operation performance

от вируса; 5 - коэффициент, характеризующий скорость, с которой невосприимчивые хосты вновь становятся уязвимыми; е - коэффициент, характеризующий средний период, когда компьютер является зараженным, но сам вирус неактивен; у - параметр, характеризующий скорость обновления антивирусных баз.

В любой момент времени будет выполняться условие M(t)+S(t)+E(t)+I(t)+R(t) = N(t).

Процесс деструктивных воздействий вируса на компьютерную сеть описывается системой дифференциальных уравнений с соответствующими начальными условиями:

дМ

-= 9N - (8 + u)M, M(0) = Mo,

dt

— = 8М-uS + 8R, S(0) = So,

dt N

дЕ р SI

— = — - (е + U)E, E(0) = Eo,

dt N

— = еЕ - (у + ц)I, I(0) = Io,

dt

dR

(1)

дt

= YI - (8 + m)R, R(o) = Ro.

Непрерывные функции М(1:), 8(1), Е((), Щ, Щ) будем считать фазовыми переменными. Коэффициент у будем рассматривать как кусочно -не прерывную функцию управления, удовлетворяющую ограничению

0<у(0<7тах<1, /е[0, Т], (2)

где Утях - максимальная норма управлений, характеризующая технические и экономические возможности организации.

Для оценки защищенности компьютерной сети будем исходить из требования, что в конечный момент времени рассматриваемого периода большинство компьютеров (более 80 %) невосприимчивы к заражению. Для построения функционала используем метод штрафных функций [7], тогда задача

управления будет заключаться в минимизации функционала

I (у) = А шах{(0,8^(Г) - Я(Г)),0}2, (3)

где Ы(Т) = М(Т)+8(Т)+Е(Т)+!(Т)+Я(Т) - общее количество компьютеров в сети в конечный момент времени; А > 0 - штрафной параметр.

В результате получаем непрерывную задачу оптимального управления (1)-(3). С помощью принципа максимума Понтрягина [8] можно свести исходную задачу (1)-(3) к решению краевой. Однако получение решения краевой задачи в аналитическом виде довольно сложно и поэтому требует применения численных методов.

Для численного решения задачи (1)-(3) построим ее дискретную аппроксимацию, используя явную разностную схему [9, 10]. На отрезке [0, Т] введем равномерную сетку {& = А/к, 0 < к < Ь} с шагом А/ = Т/Ь. Обозначим значения фазовых функций и функции управления в точках разбиения следующим образом: М(г^) = Мк, БЦк) = 8к, Е(/к) = Ек,

1(/к) = 1к, Щк) = Як, у(4) = ук, к= 0Ь.

Дискретная задача оптимального управления при к= 0, Ь -1 примет вид

I = А[шах{0,8ИЬ - ЯЬ ;0}]2 ^ Мк+1 = Мк + Ы(№к - (8 + ц)Мк),

S1+1 = S1 + M(8M1 -

ßS111 N1

-MS1 +8R1 ),

(4)

Ek+1 = Ek + At(^ - (s + l)Ek ),

Ik+1 = Ik + Ai(eEk - (yk + |)Ik ), Rk+1 = Rk + At(ykIk - (8 + |)Rk ), M0 = M0, S0 = S, E0 = E0, I0 = I0, R0 = R0, 0 <yK < Y < 1.

I max

Для построения приближенного оптимального решения воспользуемся методом проекции градиента [9]. При этом рекуррентные формулы для

определения сопряженных векторов получаем из условий стационарности функции Лагранжа [7, 8].

На основе численных методов решения задач оптимального управления было разработано ПО в среде Lazarus. Пользователь может добавлять, удалять и редактировать параметры сети и антивирусного ПО. Разработанная программа позволяет представлять информацию в удобной для анализа форме в виде таблиц и графиков. Интерфейс главного окна программы (окно ввода данных) и окна «Визуализация решения» представлен по ссылке http://www.swsys.ru/uploaded/image/2016-4/2016-4-dop/5.jpg. В окне «Визуализация решения» отображен график обновления антивирусных баз. В главном окне программы расположены поля для ввода параметров сети и антивирусного ПО.

В данной работе приведено исследование нештатной ситуации работы сети (активное развитие эпидемии компьютерного вируса) в течение 24 часов. Рассматриваемый период был разбит на 50 равных отрезков времени. В таблицах 1 и 2 представлены вводимые экспериментальные данные.

Таблица 1

Типы компьютеров сети

Table 1

Network computer types

Таблица 2

Параметры антивирусного ПО

Table 2

Antivirus software parameters

На рисунках 2 и 3 показаны траектории динамики функций, характеризующие количество компьютеров разных типов, и функции управления.

На приведенных графиках можно заметить, что при большой скорости распространения вредоносного кода за рассматриваемый период удается погасить эпидемию. При этом выполнено требование,

80000

Время

Рис. 2. Графики функций, характеризующие состояние сети

Fig. 2. Function graphs that show network condition

X Z 0,45

X

£ 0,4

р

s 0,35

H 0,3

я 0,25

J ю 0,2

ta 0,15

0,1

о

ш 0,05

0

ш

3-

Время

Рис. 3. График функции управления у Fig. 3. у control function graph

что в конечный момент времени рассматриваемого периода количество невосприимчивых компьютеров R(t) составляет более 80 % (а именно 89,9 %).

Из графика (рис. 3) можно видеть, что для оптимальной защиты сети необходимая длина временного интервала между загрузками обновления антивирусных баз должна быть равна 19 ед., что в нашем случае составляет чуть больше 9 часов.

Данная программа может быть полезна системным администраторам при формировании структуры компьютерных сетей, максимально защищенных от вирусных атак. При этом работа администратора максимально упрощена: программа высчитывает оптимальное значение частоты обновления антивирусных баз, позволяет моделировать различные ситуации.

Литература

1. Большие угрозы для небольших компаний. URL: http://www.kaspersky.ru/news?id=207734101 (дата обращения: 13.06.2016).

2. Воронцов В.В., Котенко И.В. Аналитические модели распространения сетевых червей // Тр. СПИИРАН. 2007. Вып. 4. С. 208-224.

3. Kephart J.O., White S.R. Directed-graph epidemiological

Состояние компьютеров Количество

Всего 75 000

Вновь вводимые в эксплуатацию 0

Подвержены вирусу 74 097

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Латентные 302

Зараженные 101

С антивирусом 500

Параметр ПО Значение

Коэффициент периода действия антивирусных баз 0,01

Коэффициент распространения вируса 0,06

Коэффициент отключения компьютеров 0,00001

Коэффициент подключения новых компьютеров 0,00001

Коэффициент обновления антивирусных баз (начальное значение) 0,01

Коэффициент обновления антивирусных баз (максимальное значение) 0,4

models of computer viruses. Proc. 1991 IEEE Comp. Society Symposium on Research in Security and Privacy; Oakland, California, 1991, pp. 343-359.

4. Leveille J. Epidemic spreading in technological networks. Technical Report HPL-2002-287, HP Laboratories Bristol, 2002. URL: http://www.hpl.hp.com/techreports/2002/HPL-2002-287.pdf (дата обращения: 13.06.2016).

5. Zhang Ch., Zhao Y., Wu Y. An impulse model for computer viruses. Discrete Dynamics in Nature and Society. 2012. URL: http://dx.doi.org/10.1155/2013/286209 (дата обращения: 13.06.2016).

6. Hethcote H.W. The basic epidemiology models I & II:

models, expressions for R0, parameter estimation, and applications. Master Review, 2005, vol. 9. URL: http://www.ims.nus.edu.sg/Pro-grams/infectiousdiseases/files/hethcote_ln.pdf (дата обращения: 13.06.2016).

7. Васильев Ф.П. Численные методы решения экстремальных задач. М.: Наука, 1988. 552 с.

8. Габасов Р., Кириллова Ф.М. Методы оптимизации. Минск: Четыре четверти, 2011. 472 с.

9. Бахвалов Н.С., Жидков Н.П., Кобельков Г.М. Численные методы. М.: Бином. Лаборатория знаний, 2003. 640 с.

10. Самарский А.А. Введение в численные методы. СПб: Лань, 2005. 288 с.

Software & Systems Received 14.06.16

DOI: 10.15827/0236-235X.114.125-128 2016, vol. 29, no. 4, pp. 125-128

A MATHEMATICAL MODEL OF COMPUTER NETWORK ANTIVIRUS PROTECTION

N.A. Semykina1, Ph.D. (Phisics and Mathematics), Associate Professor, semykina.tversu@yandex.ru I.V. Shavykina2, Software Engineer, inna.shavykina@mail.ru

1 Tver State University, Zhelyabova St. 33, Tver, 170100, Russian Federation

2 R&D Institute Centerprogramsystem, 50 let Oktyabrya Ave. 3a, Tver, 170024, Russian Federation

Abstract. One of the effective approaches to analyzing computer systems in the context of active computer viruses is mathematical modeling. Its advantage is in fast modeling of various scenarios for particular parameters of a computer network. Computational results obtained by these models allow analyzing viruses' behavior in networks consisting of any number of elements.

The article considers a mathematical model of computer network protection from a malicious code based on MSEIRS model. This model is multifaceted and global as it takes into account many factors influencing a network state: timing of infection for specific viruses and network treatment using an antivirus, medium immunization rate and involuntary computer shut down. The selected control criterion characterizes the best state of the system, when most hosts are immune to the impact of network viruses. The paper presents the discrete approximation of the optimal control problem.

The result of the research model is a developed program that allows you to competently evaluate the security of the network and to use effective methods of dealing with malicious code if necessary. The authors conducted and analyzed computational experiments. For this they considered two cases: a progressive virus transmission in time and network (epidemic) and the absence of significant numbers of infected computers' fluctuations.

Keywords: computer virus, mathematical model, MSEIRS model, nonlinear system, differential equations, optimal control.

References

1. Bolshie ugrozy dlya nebolshikh company [Big Threats for Small Companies]. Available at: http://www.kaspersky. ru/news?id=207734101 (accessed June 13, 2016).

2. Vorontsov V.V., Kotenko I.V. Analytical models of network worm propagation. Trudy SPIIRAN [SPIIRAS Proceedings]. St. Petersburg, Nauka Publ., 2007, iss. 4, pp. 208-224 (in Russ.).

3. Kephart J.O., White S.R. Directed-Graph Epidemiological Models of Computer Viruses. Proc. 1991 IEEE Computer Society Symp. on Research in Security and Privacy. Oakland, California, 1991, pp. 343-359.

4. Leveille J. Epidemic spreading in technological networks. Technical Report HPL-2002-287. HP Laboratories Bristol, 2002. Available at: http://www.hpl.hp.com/techreports/2002/HPL-2002-287.pdf (accessed June 13, 2016).

5. Zhang Ch., Zhao Y., Wu Y. An impulse model for computer viruses. Discrete Dynamics in Nature and Society. 2012. Available at: http://dx.doi.org/10.1155/2013/286209 (accessed June 13, 2016).

6. Hethcote H.W. The basic epidemiology models I & II: models, expressions for R0, parameter estimation, and applications. Master Review. 2005, vol. 9. Available at: http://www.ims.nus.edu.sg/Programs/infectiousdiseases/files/ hethcote_ln.pdf (accessed June 13, 2016).

7. Vasilev F.P. Chislennye metody resheniya ekstremalnykh zadach [Numerical Computation for Extremum Problems]. Moscow, Nauka Publ., 1988, 552 p.

8. Gabasov R., Kirillova F.M. Metody optimizatsii [Optimization Methods]. Minsk, Chetyre chetverti Publ., 2011, 472 p.

9. Bakhvalov N.S., Zhidkov N.P., Kobelkov G.M. Chislennye metody [Numerical Computation]. Binom Publ., Laboratoriya znany, 2003, 640 p.

10. Samarsky A.A. Vvedenie v chislennye metody [Introduction to Numerical Computation]. St. Petersburg, Lan Publ., 2005, 288 p.

i Надоели баннеры? Вы всегда можете отключить рекламу.