МЕТОДЫ АНАЛИЗА ВИРУСНЫХ ЭПИДЕМИЙ В КОМПЬЮТЕРНЫХ СЕТЯХ

METHODS OF ANALYZING VIRUS EPIDEMICS IN COMPUTER NETWORKS

Alexander Abgaryan

master's student, Institute of Advanced Training, The Center of Distance Learning in Master's degree programs, Moscow Technical University of Communications and Informatics,

Russia, Moscow

АННОТАЦИЯ

В этой статье рассматриваются подходы к математическому моделированию динамики компьютерных вирусных эпидемии и анализируются основные используемые модели, а также стратегии распространения вирусов и методы защиты.

В последние годы вирусные эпидемии в компьютерных сетях представляют серьезную угрозу не только для информационной безопасности и конфиденциальности данных, но и для мировой экономики. Исследование распространения компьютерных эпидемий представляет собой важное направление в области кибербезопастности, позволяющее разрабатывать более эффективные меры защиты и обнаружения вирусов.

ABSTRACT

This article discusses approaches to mathematical modeling of the dynamics of computer virus epidemics and analyzes the main models used, as well as virus propagation strategies and protection methods.

In recent years, viral epidemics in computer networks have posed a serious threat not only to information security and data privacy, but also to the global economy. The study of the spread of computer epidemics is an important area in the field of cybersecurity, which allows us to develop more effective measures of protection and virus detection.

Ключевые слова: методы анализа, развитие вирусных эпидемий, компьютерные сети, компьютерные угрозы, вирусы.

Keywords: analysis methods, development of virus epidemics, computer networks, computer threats, virus.

Введение

 В настоящее время информационные технологии интегрированы практически во все сферы человеческой деятельности. Возможности автоматизированной и автоматической обработки информации позволяют человеку перейти на качественно новый уровень жизни. Однако эпидемии компьютерных вирусов могут вызвать серьёзные сбои в работе информационных систем.

Накопленный опыт в борьбе с компьютерными вирусами позволяет сделать вывод, что необходимо сочетание разнообразных средств и методов защиты при их атаках на компьютерные сети.

Существеный прогресс в этой сфере был достигнут после всвспышек вирусов code Red I и II, Nimda в 2001 году [3-4]. Вирусы смогли быстро захватить сети, используя различные стратегии распространения, включая случайное и бинарное деление адресного пространства.

Несмотря на важность изучения развития компьютерных эпидемий, используемые модели не учитывают множество особенностей компьютерных технологий, вирусов включая топологию сетей [3-4].

Поэтому создание более точных методов анализа и прогнозирования является актуальной задачей.

Разработка методов анализа вирусных эпидемий в компьютерных сетях

Ключевые направления:

1. Математическое моделирование: Наиболее распространенными моделями являются модели, аналогичные эпидемиологическим, такие как SI, SIR и PSIDR, для описания динамики распространения вирусов [2]. Эти модели помогают понять, как вирусы распространяются в зависимости от структуры сети и характеристик зараженных узлов.
2. Анализ механизмов распространения: Исследуются различные виды вирусов и их способы миграции по сети, что позволяет формулировать требования к моделям [1].
3. Программное обеспечение: Разработка программных решений для моделирования и анализа вирусных атак улучшает защитные меры, позволяя администраторам оценивать уязвимость сетей [1]

Эти методы способствуют повышению структурной защищенности компьютерных сетей от вирусных угроз.

Наиболее распространенными моделями являются модели SI и SIR. Модель SI (Susceptible-Infected) описывает развитие эпидемий в незащищеных сетях, тогда как модель SIR учитывает влияние антивирусных средств.

Модели строятся с использованием диффиренциальных уравнений, и основывается на предположении, что каждый член сети может находится текущий момент в одном из определенных состояний, и со временем может переходить из этого состояния в другое.

Модель SI исходит из того, что любой из входящих в атакуемую сеть компьютеров может находится или в уязвимом (S), или в зараженном (I) состоянии.

Общее число узлов сети составляет

N=S+I                                                                                                    (1)

На каждом зараженном узле может быть лишь одна копия червя, которая случайным образом выбирает потенциальную жертву в доступном адресном пространстве со средней постоянной скоростью β в единицу времени.

Динамика данной сети описывается дифференциальным уравнением:

dI/dt=I(t) β(1- I(t)/N)                                                                                    (2)

Из-за отсутствия антивирусного ПО, способного воздействовать на процесс, эпидемия не может быть остановлена. На рисунке 1 представлен граф состояний модели SI.

Рисунок 1. Граф состояний Модели SI

Модель SIR (Susceptible-Infected-Recovered) является более сложной и служит мощным инструментом для анализа вирусных эпидемий в компьютерных сетях. Она делит устройства на три категории: восприимчивые, зараженные и выздоровевшие.

Факторы, оценивающие затухание сетевых эпидемии, оцениваются исходя из того, что сетевые узлы могут находится в трех состояниях: уязвимом (S), зараженном (I), и невосприимчивом (R).

Узлы оказываются невосприимчивыми только после излечения от инфекции, а общее число узлов сети составляет

N=S+I+R                                                                                                 (3)

Также в модель, для более точного описания динамики развития эпидемии, помимо скорости заражения, введена скорость «иммунизации» в единицу времени γ.

Получаем следующую систему обыкновенных диффиренциальных уравнений:

dS/dt=- βIS

dI/dt= βIS- γI

dR/dt= γI                                                                                           (4)

На рисунке 2 показан граф состояний Модели SIR.

Рисунок 2. Граф состояний Модели SIR

Основные аспекты применения модели SIR

1. Прогнозирование распространения вирусов: Модель позволяет оценивать скорость заражения и количество потенциальных жертв, что важно для разработки стратегий защиты [1; 2].
2. Анализ мер противодействия Сравнение различных сценариев (например, введение карантина) помогает определить наиболее эффективные меры по сдерживанию распространения вирусов [4; 5].
3. Модификации модели: Для более сложных сценариев используются модификации SIR, такие как SEIR, которые учитывают инкубационный период [2; 5].

Стратегии распространения вирусов

При распространении эпидемии скорость заражения сети во многом зависит от стратегии, используемой вирусами. Если вирусы рассылают свои копии на случайно выбранные адреса, это снижает скорость распространения по сравнению с ситуацией, когда адресное пространство было изначально делится между вирусами.

Черви обычно распространяются, обнаруживая уязвимые узлы в сети, затем находя и используя уязвимые сервисы на этих узлах, для проникновения и заражения. Например, некоторые черви прнменяют случайное сканирование адресов для выявления уязвимого узла, при котором они генерирует IP-адреса, которые с высокой вероятность могут принадлежать хост-компьютерам. Затем червь пытается запустить уязвимые сервисы на узлах с этими адресами.

Можно выделить несколько ключевых механизмов сканирования сетей, применяемых червями: случайное сканирование адресов, последовательное сканирование адресов, при котором червь проверяет IP адреса в порядке их следования; преимущественное сканирование локальных адресов, когда червь генерирует IP адреса, которые с большой вероятностью могут оказаться адресами хост-компьютеров. Кроме того, используется метод декомпозиции, позволяющий червю анализировать диапазон IP-адресов после того, как он проник в другой компьютер.

Методы обнаружения вторжений:

Системы обнаружения вторжений (IDS)

Эти системы анализирует сетевой трафик для выявления аномалий, таких как увеличение количества SYN пакетов, что может указывать на вирусных активность [2].

Антивирусные решения

Использование антивирусных программ и брэндмауеров для блокировки зараженного трафика является стандартной практикой [2].

Оценка угроз

Мониторинг активности включает в себя контроль за активностью на устройствах и настройку правил для реагирования на инциденты.

Эти методы позволяют эффективно предотвращает вирусные угрозы в компьютерных сетях.

Заключение

Успешное противодействие компьютерным эпидемиям требует интеграции математического моделирования с современными подходили к кибербезопасности. Разработка новых моделей, учитывающих специфику сетевых технологий, и динамику вирусной распространения, позволит более эффективно предсказывать угрозы и разрабатывать меры защиты.

В данной статье мы рассмотрели ключевые аспекты исследования и математического моделирования динамики компьютерных эпидемий, существующие модели SI и SIR, а также механизмы распространения вирусов и методы защиты.

Важно продолжить исследовать механизмы распространения вирусов и совершенствовать существующие методы анализа, чтобы обеспечить надёжную защиту компьютерных систем от вредоносного ПО.

Список литературы:

1. Касперский, Е.В. Компьютерные вирусы: что это такое и как с ними боросться / Е.В. Касперский. — М. : Юрайт-Издат, 2004. 223 е.
2. Бабанин, Д.В. Стратегии защиты локальной сети от компьютерных вирусов / Д.В. Бабанин // Информационные, сетевые и телекоммуникационные технологии: сборник научных трудов / под ред. Проф. Д.т.н. Жданова B.C. — М. : МИЭМ, 2009 — 311 с. — С. 299—311.
3. Z o u C. C., G o n g W., T o w s l e y D. Code red worm propagation modeling and analysis.// In 9th ACM Symposium on Computer and Communication Security. – Washington DC, USA. – 2002. – P. 138–147.
4.  S t a n i f o r d S., P a x s o n V., W e a v e r N. How to own the Internet in your spare time // 11th Usenix Security Symposium. – San Francisco, USA. – August 2002. – P. 149–167. – ISBN 1-931971-00-5
5. Compartmental models in epidemiology https://en.m.wikipedia.org/wiki/Compartmental_models_in_epidemiology