Марковские модели динамики инфицирования вредоносными программами информационных систем
Особенностью реализации угроз применения вредоносных программ в ИС является существенная зависимость опасности угрозы от времени. Возрастание опасности угрозы может представлять собой лавинообразный процесс. В этих условиях особенно важным становится оценка возможной динамики развития указанного процесса, то есть динамики «заражения» («инфицирования») вредоносной программой файлов в файловой системе каждого компьютера, совокупности компьютеров в компьютерной сети, множества не объединенных в сети компьютеров компьютерным вирусом.
Динамика реализации таких угроз определяется целым рядом факторов, таких как класс вредоносной программы, способ внедрения и распространения, содержание несанкционированного действия, ассоциация с другими программами, время инфицирования, интенсивность запуска инфицированных файлов и др.
Разнообразие этих факторов обусловливает то, что пока не удается разработать какую-либо одну (единую) математическую модель динамики распространения всех вредоносных программ.
До настоящего времени наиболее глубоко рассмотрены марковские модели распространения вредоносных программ в [104, 35]. Так, в [104] предложены марковские модели распространения резидентных и нерезидентных компьютерных вирусов в компьютере и компьютерных сетях. Однако эти модели, во-первых, не позволяют рассчитать вероятность того, что за заданное время может быть поражен конкретный защищаемый блок информации, то есть оценивать опасность угроз выполнения вредоносных программ применительно к блокам защищаемой информации. Во-вторых, в них не учитываются меры и средства защиты от вредоносных программ. Вместе с тем заложенные в эти модели идеи весьма плодотворны и были использованы в данной работе. При этом были рассмотрены пять основных моделей динамики распространения вредоносных программ:
загрузочного вируса без поиска и с поиском поражаемого файла в пределах файловой системы одного компьютера с выполнением разового деструктивного действия;
файлового вируса или загрузочного вируса с многократным
последовательным заражением файлов с определенными расширениями имен и отсутствии ограничения на количество поражаемых файлов в пределах файловой системы одного компьютера
файлового вируса или загрузочного вируса с многократным
последовательным заражением файлов с определенными расширениями имен и наличии ограничения на количество восприимчивых к заражению файлов в пределах файловой системы одного компьютера;
файлового или загрузочного при распространении среди множества компьютеров, не объединенных в ИС;
файлового, загрузочного вируса или сетевого «червя» при распространении по ИС.
Основные полученные соотношения для оценки вероятностновременных характеристик реализации угроз применения вредоносных программ применительно к указанным моделям приведены в таблице 5.4. Приведенные соотношения позволяют рассчитать вероятностно-временные характеристики динамики такого распространения.
Ограничение в распространении связано только с количеством файлов в файловой системе, которые могут быть поражены данным вирусом, но не характеристиками самой вредоносной программы.
Приведенные соотношения позволяют рассчитать вероятностновременные характеристики динамики такого распространения. В частности, для модели с многократным последовательным заражением файлов с определенными расширениями имен и отсутствии ограничения на количество поражаемых файлов зависимость вероятности Pu(t,n) того, что за время / окажется заражено п файлов, от количества инфицируемых файлов и от времени в графическом виде представлена.
1) t =7С, Tree = 0.1с, Тм =0.2с, ты = 0.5с; 2) t = 50с, тгес =0.2с, тп1 =u.j, гы =1 с
Рисунок 5.35 - Зависимость вероятности инфицирования от количества инфицированных файлов
1) п = 10, Tree = 0.1с, Tret = 0.2с, Ты = 0.5с;
2) П = 30, Tree = 0.2с, Tret = 0.3, Tinf = ІС
Рисунок 5.36 - Зависимость вероятности инфицирования от времени
В основу модели динамики распространения вируса на множестве компьютеров была положена теория марковских случайных ветвящихся процессов.
Пример. Рассмотрим случай, когда от каждого компьютера может быть заражено не более двух других компьютеров, то есть
Я0 = 0, Я, = -Я, Я2 = Я, Як -0 для к >2.
В этом случае:
- °° F(t,z) = е~я" ■ -----——= <ГД-' • z• £(1 -/ • zk, (5.115)
что приводит к следующим соотношениям:
Ро(0 = 0, P„(t) = ем ■ (1 -ем г\ п = 1,2,.... (5.116)
Среднее количество пораженных компьютеров за заданное время t, если, например, в момент времени t = 0 бьш поражен только один компьютер, оценивается следующим образом:
n(t) = ^-F(t,z)\z__0=eA\ (5.117)
Полученная зависимость количества поражаемых компьютеров от параметров инфицирования в виде графиков показана на рисунке 5.37.
Для учета влияния антивирусного пакета на динамику распространения вредоносной программы необходимо ввести вероятность ее обнаружения Pdet по сигнатуре вируса и блокирования его распространения, при этом количество поражаемых компьютеров определится из соотношения:
n(t) = exp{Ptnf-(\-Pde,I phls)-t) (5.118)
Данная зависимость графически представлена.
Зависимость количества инфицируемых компьютеров от средней вероятности инфицирования каждого компьютера для различного времени, прошедшего с начала инфицирования
Зависимость количества инфицированных компьютеров от вероятности обнаружения и блокирования ("ликвидации") вредоносной программы.
Аналогичным образом строятся модели динамики распространения вредоносных программ по компьютерной сети. Отличия заключаются в необходимости введения дополнительных параметров инфицирования, таких как частота обмена информацией между хостами сети, частота передачи инфицированных файлов по сети, количества инфицированных файлов в компьютере - источнике заражения и т.д.
Следует отметить, что разработка таких моделей применительно к разным классам вредоносных программ является весьма важным и перспективным направлением развития методического обеспечения оценки эффективности защиты информации в ИС. Изложенный подход показывает возможность и пути решения данной важной для практики задачи.
Вероятностно временные характеристики динамики реализации угроз применения вредоносных
Наименование модели Условия реализации угрозы Основные соотношения Принятые обозначения
Модель динамики заражения компьютера загрузочным вирусом, выполняющим какое-либо разовое деструктивное действие
Заражение происходит при использовании зараженного отчуждаемого носителя - дискеты или CD-диска.
Деструктивное действие осуществляется без поиска поражаемой информации (например, форматирование жесткого диска)
ВД») = І-г= [г.-(|-Ц-)-ги].[г..(|-Ц*«)-г.] МТ) ____’’ ____________ ______*>'* *' ф-*11______ I
Заражение происходит при использовании зараженного отчуждаемого носителя - дискеты или CD-диска.
Деструктивное действие осуществляется с поиском поражаемой информации (например, по расширению имени файла)
Га - среднее время между инцидентами возникновения угроз заражения вирусом;
Гы - среднее время, необходимое для заражения компьютера данным вирусом (вредоносной программой) с момента возникновения инцидента;
X , - среднее время выполнения деструктивного действия;
- вероятность обнаружения вредоносной программы и своевременного пресечения ее распространения на этапе инфицирования;
/«' - вероятность обнаружения вредоносной программы при попытке выполнения деструктивного действия и своевременного его пресечения;
- вероятность инфицирования отчуждаемого носителя при применении в зараженном компьютере; д - средняя интенсивность применения пользователем чужих дискет (или CD-дисков);
Д ^ - средняя интенсивность использования своих дискет пользователем для записи информации на чужом компьютере
г..- - PZ')-r~) ________г., г г~ ___________ / г*-Г.Г I - к* ГII Г*-Г,П-с" / Цг« -п - С I-Ы!-с )■ I __________},‘е: __________
Те же, а также:
- вероятность обнаружения вредоносной программы при поиске блока информации, подлежащего поражению;
Г« - среднее время поиска блока информации (файла) для выполнения предусмотренного во вредоносной программе действия
IГг -г*м-/£*тг,0 - с І-f I - п: )Ни(\-К Г. ‘t * Іт.-ип-р^ шыi-tf i-r.«< н® Щь -м і - г,; 7 I г,* =■-----—-----=— Рмі ІМ'
Наименование модели Условия реализации угрозы Основные соотношения Принятые обозначения
Модель распространения файловых вирусов в файловой системе при отсутствии ограничения на количество восприимчивых к заражению файлов и автозапуске вредоносной программы после каждого инфицирования
При попадании вредоносной программы (например, через флоппи-диск) в файловую систему дальнейшее инфицирование происходит путем последовательного автозапуска программы после каждого инфицирования очередного файла с некоторым расширением имени (например, исполняемых файлов с расширением .СОМ или .EXE.)
і*I 'hif ' 1 I -V • < I +.*r,) |(l+JT.XI+iT,ir _ y«n) =-----^----- M—{ '- a *'•/ ,(urWr (n-I)Hr, ■!■,)• j J Щ -i' r> - Г, Г г 1-л TmS 1-/^ c .c r<ta *•/ (*./)
1^.1^,. tm(~ времена, необходимые соответственно для того, чтобы вредоносная программа записалась, осуществился успешно поиск подлежащего поражению файла и чтобы файл был поражен (выполнено деструктивное действие). а,Ь~ вспомогательные параметры;
Г„ѵ, Гіѵ/, Tmf - средние значения величин соответственно;
PynJj) - вероятность того, что за время t только / файлов из И пораженных относятся к защищаемым;
- обратное преобразование Лапласа с параметров X;
/£Г Г”’ веР0ЯТН0СТИ обнаружения вредоносной
Модель динамики распространения нерезидентной вредоносной программы в случае, когда для ее распространения необходимо запустить на выполнение какой-либо из зараженных файлов и количество восприимчивых к заражению файлов ограничено [104]
Распространение вредоносной программы происходит по мере заражения файлов в текущем каталоге. Интенсивность заражения зависит от интенсивности использования файлов-вирусоноси- телей и от количества файлов, подверженных заражению. В начале процесса поражено некоторое количество файлов
Ptf f,n Г (*-/)! (т * А) - (А- /)! ~к - для п h * Lk t м- /. ГИ-» п «и А >• гг*:; (іи > А-/)! "ѵѴ/ » Ѵ ' («♦АГ МА-/)! 1 £ ' iwW» ѴѴ ПІ* h. J [ —-—j О.ій n m1 h; (n- /)! (m+АГ* /)! Ti dm n h; m + h
программы при ее записи, при поиска подлежащего поражению файла и при попытке выполнения деструктивного действия________________________
- интенсивность инфицирования файлов;
Рм - вероятность того, что вирус обнаруживается антивирусной программой при каждом запуске одного из пораженных файлов, и пресекается его распространение;
И - количество зараженных файлов в каталоге за время /;
т - количество файлов в каталоге, восприимчивых к заражению;
h - количество файлов в каталоге, зараженных к началу рассматриваемого процесса распространения вредоносной программы;
~ вероятность обнаружения вредоносной программы в файловой системе
Наименование модели Условия реализации угрозы Основные соотношения
Модель динамики распространения вируса на множестве компьютеров за счет переноса вредоносных программ на отчуждаемых носителях
От каждого компьютера заражается некоторое количество других компьютеров, количество компьютеров достаточно велико и не ограничивает процесс распространения вредоносной программы
Р{£{1) = и| *р„(гліп=0Х,^ Pti&t.n) о(Лгі п * I; tt ——. 2-Л -pM*)9
Принятые обозначения
£ {t) - количество компьютеров пораженных к моменту /;
£,(/) количество компьютеров, пораженных вредоносной программой, перенесенной с J -го компьютера;
<Р (Лі.п) вероятность того, сто за время А/ от одного компьютера заражается п компьютеров;
Л* - интенсивность заражения п компьютеров; р,л - переходные вероятности Марковского ветвящегося процесса, моделирующего распространение вредоносной программы, соответствующие вероятности того, что от к компьютеров заражаются п дру-
Модель динамики распространения вируса по компьютерной сети [104]
Первоначально в КС заражено некоторое количество узлов. Процесс распространения является ординарным. Любой из незаражен- ных узлов инфицируется с равной вероятностью
(ш-ОЧт* А-л> Пі* *>!«-*- />| П г*+- »1 * » г. яри ) - I и + А і / І гих компьютеров;
г,{< .г) - производящие функции [33] интенсивность инфицирования компьютеров (заражения одного узла сети от другого);
ІИ - количество зараженных компьютеров за время /; т _ количество компьютеров, которые в начальный момент времени не заражены;
h - количество компьютеров, зараженных к началу рассматриваемого процесса распространения вредоносной программы;
- вероятность обнаружения вредоносной программы в КС;
d ,1І*к,гл( -вспомогательные параметры; j _ параметр преобразования Лапласа
