CC BY
12Столыпинский вестник №7/2022
Научная статья Original article УДК 004.056
МОДЕЛИРОВАНИЕ ВРЕДОНОСНОГО ТРАФИКА В ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ
SIMULATION OF MALICIOUS TRAFFIC IN LOCAL COMPUTER
NETWORKS
Тураев Саиджон Эркинович, Аспирант, Национальный исследовательский университет ИТМО, (Санкт-Петербург)
Заколдаев Данил Анатольевич, научный руководитель, кандидат технических наук, доцент, Национальный исследовательский университет ИТМО, (Санкт-Петербург)
Turaev Saijon Erkinovich, PhD Student, ITMO National Research University, (St. Petersburg)
Zakoldaev Danil Anatolievich, scientific adviser, candidate of technical sciences, associate professor, National Research University ITMO, (St. Petersburg)
Аннотация. Основной целью защиты от вредоносных программ является исследование методов обнаружения вредоносных программ. В данной статье приводится математическое моделирование распространения
Столыпинский вестник
3901
вредоносного трафика в локальных вычислительных сетях. Проводится факторный анализ распространения трафика через уравнение регрессии. Эти работы не учитывают методы графических моделей обнаружения вредоносных программ и не раскрывают всех недостатков этих методов. В настоящее время необходимо оценить методы обнаружения вредоносных программ, чтобы определить наиболее эффективный метод обнаружения вредоносных программ.
Annotation. The main task in protection against malicious programs is the study of methods for detecting malicious programs. This article provides mathematical modeling of the spread of malicious traffic in local area networks. A factor analysis of traffic distribution is carried out through the regression equation. In these works, the method of graph models of malware detection is not considered; all the shortcomings of the methods are not revealed. There is currently a need to evaluate malware detection methods in order to determine the most effective malware detection method.
Ключевые слова: моделирование, трафик, программное обеспечение, локальные вычислительные сети, вредоносный трафик.
Keywords: modeling, traffic, software, local area networks, malicious traffic
Пусть есть некоторая система трафика в локальных вычислительных сетях (ЛВС) - передача пакетов данных между устройствами и сетью интернет, состоящая из одного элемента. Время ее безотказной работы ^ имеет распределение [1] F(x) = < x}, F(0) = 0.
Предположим, что система подвергается атакам вредоносного программного обеспечения согласно процессу Пуассона. Как известно, в таком процессе интервалы п между атакам вредоносного программного обеспечения и имеют экспоненциальное распределение с параметром А:
Р{П < x}= 1-e- Ax, x > 0.
3902
Система начинает исправно работать, и в момент старта осуществляется назначение времени начала планового предупредительного обновления трафика в системе V с распределением G(x) = < х}, G(0) = 0.
Особенностью данной модели является предположение, что отказ системы под воздействием вредоносного трафика не проявляется самостоятельно. Мы узнаем об отказе только тогда, когда наступит момент прекращения работы устройств ЛВС. Если к моменту V = т система не отказала, начинается плановая профилактика системы антивирусным ПО (профилактика системы антивирусным ПО 1-го типа) продолжительностью у1, распределенная следующим образом: [2] F1(x) = Р(ух < х}, F1(0) = 0.
Если же отказ произошел до назначенного момента V = т, то в момент V = т стартует аварийная профилактика системы антивирусным ПО (профилактика системы антивирусным ПО 2-го типа) длительностью у2:
F2(x) = Р(У2 < х}, F2(0) = 0.
Так как отказ самостоятельно не проявляется, неработоспособность системы обнаружится только в назначенный момент прекращения работы устройств ЛВС. Теперь необходимо увязать термин «авария ЛВС» с определенным событием. Когда система исправно функционирует, она способна отражать атаки. Но если система находится в неработоспособном состоянии, она уязвима перед внешними угрозами. Неработоспособными состояниями являются состояния, когда проводятся восстановительные работы обоих типов. Также неработоспособным является состояние так называемого «скрытого отказа», когда система отказала, но еще не наступил назначенный момент прекращения работы устройств ЛВС. Будем считать катастрофой событие, состоящее в том, что поступила атака в период неработоспособности системы. После выполнения восстановительных работ происходит полное обновление системы, весь процесс повторяется заново. [3]
3903
Задача состоит в том, чтобы найти такую характеристику безопасности как математическое моделирование распространения вредоносного трафика по уравнению регрессии и проанализировать получившееся выражение.
Далее построим управляемый процесс с авариями. Для его построения необходимо выполнить определенную процедуру действий: [4][5]
• Определить пространства состояний, уравнения регрессии;
• Определить пространства управлений, стратегий управления;
• Построить полумарковске ядро управляемого процесса;
• Получить выражения для математического моделирования распространения вредоносного трафика по уравнению регрессии. [ Error! Reference source not found.]
Опишем состояния первой компоненты уравнения регрессии моделирования распространения вредоносного трафика:
• ^(t) = 0, если последний Марковский момент до t есть момент окончания функционирования модели распространения вредоносного трафика, что является моментов полного обновления трафика в системе;
• ^(t) = 1, если функционирование системы началось в ближайший Марковский момент, предшествующий t;
• ^(t) = 2, если приостановка работы системы началось в ближайший Марковский момент, предшествующий t;
• ^(t) = 3, если сбой работы произошел до момента t.
В нашем случае моменты начала и окончания проведения работ есть Марковские моменты. Заметим, что состояние ^(t) = 3 является поглощающим. Если произошел сбой работы системы, нас не интересует дальнейшее развитие процесса. [5] Опишем пространство состояний:
E = {0,1,2,3}. Исходя из описания процесса, понятно, что мы управляем системой, когда она находится в работоспособном состоянии (^(t) = 0),
3904
причем решение принимается в моменты полного обновления трафика в системе: мы разыгрываем случайную величину V момента начала предупредительной профилактики. Следовательно, пространство управлений есть и0 = [0, го), а стратегии определяется выбором вероятностной меры Go(x) = G(x). Выпишем полумарковское ядро управляемого полумарковского процесса. По определению Qij(t, и) = Р(^п+1 = j, 0п+1 < t | = ь ип = и}.
Рассмотрим переход из состояния / = 0 в другие состояния.
СоЛ^) = {
0 , и > /7(и) , и <
Переход из состояния 0 в 1 за время £ < и невозможен, он может произойти только в назначенный момент и с вероятностью > и} = /^(и).
Г 0, и >
СоЛи) = Ц^-я^-у)^) , и < г.
не пришло атак > и - Соз(^) = . ,(и
Чтобы в момент u началось аварийное восстановление системы, необходимо, чтобы отказ системы под воздействием вредоносного трафика произошел до и (^ < и, ^ < £) и за оставшееся от момента отказа до и время
/¿(1 - е-я(с-^)^(у) , и > Г,
гП
'о
Переход из работоспособного состояния в состояние сбоя работы системы происходит, когда отказ системы под воздействием вредоносного трафика случается раньше, чем тт(£, и) и атака приходит во время пребывания системы в состоянии скрытого отказа, то есть ^ < тт(£, и) — ^.
Рассмотрим переход в состояние у = 0 из других состояний. [5]
= [ е-Яу^(у), ¿ = 1,2. о
3905
Для успешного завершения восстановительной работы за время £ достаточно выполнения неравенств < £ и ^ > , то есть во время восстановительной работы типа / не произойдет сбоя работы системы и время
этой работы меньше ^¿3(£,и) = 1 — е-я^(£) — е-Яу^(у), / = 1,2.
На восстановительной работе произойдет сбой работы системы до если верны неравенства ^ < у; и у; < Другие переходы невозможны:
= = 0
= 0, ;е£ д;7(£,и) = 0, .
Проверим следующее соотношение, справедливое для всех и > 0:
Ит / и) = 1.
У е£
Теперь можно получить полумарковское ядро стандартного полумарковского процесса, проинтегрировав равенства по мере (и) = в (и).
= I Я^Ж(и), 0
и
-Ли I „Яу
/-и
00
F(u)dG(u) — I е-Яи I еЯу ^(у) +
0 ■'О ■'О
+ (1 — С (Г)) — е-Яс | еЯу ^(у) ),
&о(0 = м) = I е-Яу^(у), 1 = 1,2,
0
&з(0 = Оз(^) = 1 —— | е-я^(у), ¿ = 1,2
0
3906
&2(0 = = 0, = 0, уеЕ, = 0, уеЕ.
= ^¿уС^,при / ^ 1, так как в равенствах для полумарковского ядра управляемого полумарковского процесса нет зависимости от управления.
Устремив £ к бесконечности, получим переходные вероятности вложенной цепи Маркова: [4] = Ит $¿,(0, ¿,У 6 Я.
^Г. от
^(и)^С(и),
0
от и
00
^г. от /-от ¡-и
F(u)dG(u) - I е-Яи I ^(у) й£(м),
п ^п ^п
Pi0
Jn UU
е-Яу^(у), ¿ = 1,2,
0
Jn ии
е-я^(у), ¿ = 1,2,
0
Р12 = P21 = Рз; = 0, ye F.
Заметим, что сохраняется равенство e£Piy = 1 при i = 0,1,2,3.
Согласно терминологии, введенной в [Error! Reference source not found.], состояния i e 0,1,2 есть опасные состояния, а состояние i = 3 -состояние сбоя работы системы. В таком случае математическое моделирование распространения вредоносного трафика по уравнению регрессии существует и конечно [Error! Reference source not found.]. Введем обозначение. Пусть Mj - математическое моделирование распространения вредоносного трафика по уравнению регрессии при условии старта процесса
3907
из состояния /. Тогда по формуле полного математического ожидания получаем систему алгебраических уравнений: [4] [5]
2
р^-М; , I = {0,1,2},
} = 0
где есть математическое ожидание времени непрерывного
пребывания процесса в состоянии = е^/0 Ч ^(0 = ^ /Д1 — ея ОД^,
Выпишем выражения для всех ш^, / = 0,1,2.
Íco ги / /-с \
| (1 — F(t) + е-Яс I еЯу ^(у)
гг( - , г",
+ I I (1 — /^(и) — е-Яи I еЯу ^(у) — F(u) ^0 ^ V ->0
-и
+ е-Яи I еЯу ^(у) ) ^
Íco ^и / /-С \
I + I еЯу ^(у)
Поясним выражение. Разбиваем интеграл по £ на два интеграла: от 0 до и и от и до бесконечности, выписываем подынтегральную функцию в соответствии с элементами ядра (£, и), у е Е.
ет
= I ^
0
^г. ет
е-яг^(0 ¿г
0
Можно заметить, что в последних двух равенствах интегралы есть математическое ожидание минимума двух независимых случайных величин ^ и у;: [1][2] Ш; = ХТР{т/п(^,у^) > I = 1,2.
3908
Столыпинский вестник №7/2022
Действительно, находясь в состоянии восстановительной работы системы, мы выйдем из него, если придет атака (случится авария ЛВС) или профилактика системы антивирусным ПО завершится.
Теперь вычислим математическое моделирование распространения вредоносного трафика по уравнению регрессии. Предположим, что процесс стартует из состояния / = 0, что логично. Решим систему алгебраических уравнений. Для этого воспользуемся формулой Крамера. Математическое моделирование распространения вредоносного трафика по уравнению регрессии при старте из состояния / = 0, выраженное через известные
характеристики, имеет вид: м0 =-.
1 — Ро1Рю— Р02Р20
Подставляя исходные характеристики, получим выражение для математического моделирования распространения вредоносного трафика по уравнению регрессии, зависящее от вероятностной меры С:
Мо(С) =
Íu / /-С \ г<от
( ЯО + е-яс | ^(у) ) ^ + ОД | е^/ЗД ^
^пи г ОТ
еЯу ^(у) I
Г) ^п
+ е
00
^г. от ¡-и /-от
е-Яу^г(у) -е-Яи( е-Яу^(у) I е-Яу^2(у) .
о -'о -'о
Опишем структуру функционала М0(С). Функционалы ш0 и р0у,/ 6 1,2 есть линейные функционалы относительно распределения С (и). Следовательно, М0(С) - дробно-линейный функционал относительно меры С.
Рассмотрим задачу поиска оптимальной стратегии управления при известных исходных данных более подробно. [12] Зададим характеристики:
3909
• Времени безотказной работы имеет экспоненциальное распределение F(x) = 1 — Интенсивность отказов: д = 2;
• Интенсивность атак. Я = 1;
• Длительность профилактики системы имеет экспоненциальное распределение F1 (х) = 1 — е^1* с параметром ^ = 3;
• Длительность аварийного восстановления также распределена экспоненциально F2(x) = 1 — е^2* с параметром (2 = 2.
Выпишем величины - математическое ожидание времени
пребывания в состоянии / = 1,2: т^ = /0ОТ =
11
Подставляя известные значения, получаем: ш1 = -, ш2 = -.
3 2
Отсюда найдем величины а1, а2: а1 = -, а2 = -.
Тогда математическое моделирование распространения вредоносного
4 _
1 _
трафика по уравнению регрессии М0 (и) =
_ _3
--+ —е_2и+-
12
1-1е_и+—е_2"
3 12
Ниже
представлен
график
этой
зависимости.
180 160 140 120 100 80 60 40 20
н м ю ^ ш ю I М010нм^1/1Ш1 оз(лонг^т^1ЛШ1 ооо
I ЗАГРУЗКА ■ ОБЪЕМ ДАННЫХ
0
3910
Рисунок 1 - Оценка значимости коэффициентов выборочного уравнения регрессии модели вредоносного трафика в ЛВС
Оптимальное время, через которое нужно производить профилактики, и0 « 0,6032. В этом случае среднее время до сбоя работы системы М0(и0) « 1,787. Таким образом, восстановительные работы необходимо проводить через время и0. В таком случае последнее равенство дает гарантированное значение математического моделирования вредоносного трафика в ЛВС.
Список литературы
1. Boruvka O., O jistem problemu minimalnim (About a Certain Minimal Problem), Prace mor. prirodoved. spol. v Brne, III, (2019), 37-58.
2. Fredman M., Willard D. E., Trans-dichotomous algorithms for minimum spanning trees and shortest paths, In Proceedings of FOCS'90 (2020), 719-725.
3. Graham R. L., Hell P., On the history of the minimum spanning tree problem, Ann. Hist. Comput. 7 (2020), 43-57.
4. Pettie S., Finding minimum spanning trees in O(ma(m, n)) time, Tech Report TR99-23, Univ. of Texas at Austin, 2019.
5. Tarjan R. E., Data structures and network algorithms, 44 CMBS-NSF Regional Conf. Series in Appl. Math. SIAM, 2021.
© Тураев С.Э., З.Данил А., 2022 Научный сетевой журнал «Столыпинский вестник», номер 7/2022.
Для цитирования: Тураев С.Э., Заколдаев Д.А. МОДЕЛИРОВАНИЕ ВРЕДОНОСНОГО ТРАФИКА В ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ// Научный сетевой журнал «Столыпинский вестник», номер 7/2022.
3911
