автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модели оценки структурных решений по защите компьютерных сетей от вирусных атак

На правах рукописи

Бабанин Дмитрий Владимирович

МОДЕЛИ ОЦЕНКИ СТРУКТУРНЫХ РЕШЕНИЙ ПО ЗАЩИТЕ КОМПЬЮТЕРНЫХ СЕТЕЙ ОТ ВИРУСНЫХ АТАК

Специальность 05.13.19 -Методы и системы защиты информации, информационная безопасность

1 Г.]А? ш

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

00501513'

Москва - 2012

005015137

Работа выполнена на кафедре «Вычислительные системы и сети» ФГБОУ ВПО Московский государственный институт электроники и математики (технический университет)

доктор технических наук, профессор Саксонов Евгений Александрович

доктор технических наук, профессор Кечиев Леонид Николаевич

кандидат технических наук Чемин Александр Александрович

ФГУП Межотраслевой научно-исследовательский институт «Интеграл»

Защита состоится «20» марта 2012 г. в 1 с-СО часов на заседании диссертационного совета Д 212,133.03 при Московском государственном институте электроники и математики (МИЭМ) по адресу: 109028, г. Москва, Б. Трехсвятительский пер., дом 3.

С диссертацией можно ознакомиться в библиотеке МИЭМ.

Автореферат разослан «/£_» д&ЦрсгЛ 2012г.

Ученый секретарь диссертационного совета д.т.н., доцент

Научный руководитель:

Официальные оппоненты:

Ведущая организация:

-- Леохин Ю.Л.

•/".....

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы

Развитие компьютерных сетей позволяет осуществлять интеграцию распределенных вычислительных и информационных ресурсов и предоставлять доступ к ним большому числу пользователей. Все это обусловило широкое применение сетевых технологий во многих системах обработки информации различного уровня и назначения.

Однако сетевая интеграция приводит к увеличению рисков пользователей, связанных с возможностью распространения по сети вредоносного программного обеспечения и одной из его разновидностей -компьютерных вирусов.

Накопленный опыт в борьбе с компьютерными вирусами позволяет сделать вывод, что необходимо сочетание разнообразных средств и методов защиты при их атаках на компьютерные сети. Одним из подходов к организации защиты, по мнению ряда авторов, является применение структурных решений, которые позволяют снизить скорость распространения вирусов по сети, обеспечивая «структурную защищенность» сети, что позволит администратору иметь определенный запас времени для организации эффективного противодействия вирусной атаке.

Проведенные различными авторами исследования показали, что механизм распространения вирусов (вирусная атака) в конкретной сетевой структуре во многом схож с механизмами распространения инфекций в человеческих популяциях - эпидемиями.

На данный момент разработано большое количество моделей распространения компьютерных вирусов в компьютерных сетях. Среди них есть модели, базирующиеся на исследованиях в области эпидемиологии - SI, SIR, RCS (J. О. Kephart, S. R. White, N. Weaver), а также модели, специально разработанные для исследования эпидемий в компьютерных сетях - AAWP, LAAWP, PSIDR (M.M.Williamson, J. Leveille, L. Gao, Z. Chen, К. Kwiat). Однако известные модели, как правило, не позволяют оценить структурную защищенность компьютерной сети с произвольной структурой.

Попытки использования известных моделей, разработанных для анализа компьютерной сети, также не приводят к успеху, поскольку не учитывают

специфики распространения вирусов.

Следовательно, актуальной является задача разработки системы математических и программных моделей, которые позволяли бы оценить структурную защищенность компьютерной сети от вирусной эпидемии.

Создание такой системы позволит проектировать компьютерные сети максимально защищенной структуры. Цель работы

Целью работы является создание математического и программного обеспечения для анализа влияния структурных решений при создании компьютерной сети на распространение вирусов, позволяющего формировать структуру сети, максимально защищенную от вирусных атак, что дает возможность повысить эффективность защиты компьютерной сети. Объект и предмет исследования

Объектом исследования является структура компьютерной сети и ее влияние на распространение вирусной эпидемии.

Предметом исследования является механизм распространения вирусных эпидемий в компьютерной сети с заданной структурой.

Для достижения указанной цели были проведены исследования по следующим направлениям:

1. Проведен анализ известных вирусов и механизмов их распространения в компьютерной сети.

2. Проведен анализ известных моделей распространения вирусов в сетевой среде и их возможностей по учету особенностей структуры сети.

3. Разработана система характеристик для оценки развития вирусных атак в компьютерной сети.

4. Разработаны математические модели, позволяющие проводить исследование развития вирусной эпидемии в зависимости от структуры сети.

5. Разработано программное обеспечение для моделирования распространения вирусных эпидемий в компьютерной сети, дополняющее возможности математических моделей.

На защиту выносятся

1. Результаты анализа механизмов распространения вирусов в

компьютерной сети и известных математических моделей, позволяющих вычислять характеристики развития атак.

2. Метод уменьшения размерности задач анализа процесса распространения вирусной атаки в компьютерной сети с заданной структурой, позволяющий определять характеристики развития вирусной атаки между узлами сети.

3. Комплекс математических моделей для расчета характеристик распространения вирусных атак в компьютерной сети с заданной структурой.

4. Комплекс программных моделей, позволяющий моделировать развитие вирусной атаки в компьютерной сети.

Методы исследований определялись спецификой решаемых задач и поставленными целями. В качестве основных методов исследования применялись методы теории систем, теории вероятностей и математической статистики, теории графов.

Научная новизна результатов диссертации заключается в выборе объекта исследования, структуры компьютерной сети и установлении связей между параметрами объекта и характеристиками развития вирусных атак; в разработке комплекса математических и программных моделей для расчета характеристик развития вирусных атак в сетях с заданной структурой, позволяющих определять структурную защищенность сети и выбирать параметры структуры, обеспечивающие максимальную защиту.

Практическая значимость результатов заключается в создании математического и программного обеспечения, дающего возможность администраторам и разработчикам сетей оценивать различные варианты структуры сети с точки зрения их защищенности от вирусных атак и выбирать наиболее защищенные варианты структуры.

Достоверность и обоснованность результатов и выводов диссертации обусловлены соответствием разработанных моделей реальным механизмам распространения вирусов в компьютерной сети, обобщением известных результатов других авторов и подтверждаются данными о внедрении результатов для анализа конкретных компьютерных сетей.

Апробация полученных результатов

Основные положения диссертационной работы, теоретические и практические результаты докладывались и обсуждались на научно-технических конференциях: Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ (2008, 2009, 2010), Москва, МИЭМ, II Международной научно-практической конференции «Современные информационные компьютерные технологии - тсГГ-2010», Гродно, 2010, а также на научно-технических семинарах кафедры ВСиС МИЭМ.

Результаты работы применялись для оценки структурной защищенности компьютерных сетей и выбора структуры сети в ряде организаций.

Публикации

Результаты проведенных в диссертации исследований опубликованы в 10 работах, в том числе в 2 статьях в рецензируемых изданиях, рекомендованных ВАК для публикации основных материалов диссертаций, представляемых на соискание ученой степени кандидата наук.

Структура и объем диссертации

Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы из 113 наименований. Общий объем диссертации 132 страницы.

КРАТКОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении дана общая характеристика работы, обоснована актуальность темы, сформулированы задачи диссертационной работы, показаны методы исследования, отмечена научная новизна и практическая ценность работы, сформулированы основные положения, выносимые на защиту, приведены сведения по апробации работы, публикациях.

В первой главе даны определения понятий предметной области исследования: компьютерных вирусов, сетевых червей, сетевых эпидемий. Приведена классификация компьютерных вирусов и сетевых червей.

Компьютерный вирус здесь определен как программа, «которая может заражать другие программы, модифицируя их так, что они содержат в себе копию вируса, возможно, измененную».

Приведена устоявшаяся классификация компьютерных вирусов по среде

обитания, операционной системе, особенностям алгоритма работы вирусов, деструктивным возможностям. Среди перечисленных видов вирусов отмечен наиболее опасный вид - сетевые вирусы (также называемые сетевыми червями).

Отдельно приведена классификация сетевых червей как самостоятельного вида компьютерных вирусов, подробно описаны особенности тех или иных категорий сетевых червей. Черви классифицируются по следующим признакам: способ поиска цели, способы передачи, централизация хранения кода червя, способы активации, полезная нагрузка.

Описана структура сетевого червя и его жизненный цикл.

Также в главе приведено определение компьютерных и сетевых эпидемий и их характеристики. Эпидемия - медицинский термин, обозначающий «нарастание или появление большого количества заболеваний, ранее не встречавшихся на данной территории». Поскольку компьютерные вирусы во многом схожи с биологическими, возможно определить эпидемию компьютерных вирусов как заражение большого количества компьютеров данным типом вирусов. Сетевой эпидемией можно назвать эпидемию компьютерных вирусов, вызванную деятельностью сетевых червей. Обычно эпидемия связана с конкретным видом или версией вируса.

Сетевые эпидемии могут иметь различный масштаб и последствия. Для оценки эпидемии используют различные характеристики эпидемий:

• количество зараженных компьютеров,

• скорость распространения вируса,

• экономическая оценка ущерба.

Рассмотрены существующие на сегодняшний день методы защиты от компьютерных вирусов, а также основные подходы к построению защищенных сетей. Описаны организационные методы защиты, включающие в себя правила работы за компьютером, а также политики информационной безопасности организации. Проведен обзор существующих технических методов антивирусной защиты: установка обновлений, правильная настройка системы, использование межсетевых экранов и антивирусов. Показано, что для защиты сети целесообразно выбирать такую структуру, в которой распространение вирусов будет затруднено. Обоснована необходимость использования

математических моделей распространения компьютерных вирусов.

Во второй главе проведен анализ известных математических моделей, применяемых для исследования эпидемий как биологических, так и компьютерных. Определены основные понятия, используемые при моделировании эпидемий. Особь (индивид) - это отдельно существующий организм. С точки зрения эпидемиологии особь может находиться в двух основных состояниях: зараженном и незараженном. В различных эпидемиологических моделях существуют дополнительные состояния, учитывающие различные свойства живых организмов.

Под популяцией при моделировании эпидемий обычно понимают множество особей, на котором может происходить распространение заболевания.

Модели SIR, SI. SIS являются наиболее распространенными моделями в классической эпидемиологии. Данные модели предполагают, что каждая особь в популяции может находиться в одном из нескольких состояний и с течением времени переходить из одних состояний в другие. Модели базируются на составлении дифференциальных уравнений, описывающих зависимость количества зараженных особей от времени. Модели составлены в предположении о том, что контакты особей в популяции могут быть представлены полносвязным графом.

Описанные модели широко используются в классической эпидемиологии, но не учитывают многие особенности распространения компьютерных вирусов (особенности процесса заражения и антивирусной защиты), поэтому для компьютерных вирусов используются специальные модели.

Модель RCS CRandom Constant Spreadl - наиболее простая модель, не учитывающая лечение, предполагающая постоянное непрерывное распространение вируса. Имеет простое аналитическое решение.

Двухфакторная модель в отличие от RCS учитывает два фактора: участие человека в борьбе с эпидемией с помощью отключения отдельных узлов либо иммунизации и непостоянство скорости распространения вируса.

Модель PSIDR (Progressive Suspected-Infected-Detected) учитывает особенности работы антивирусов: антивирус может обнаруживать и удалять вирусы, только после того, как в вирусной базе появится сигнатура этого

вируса. Добавлено дополнительное состояние D (Detected), в котором находятся узлы, на которых вирус уже обнаружен, но ещё не излечен.

Модель AAWP (Analytical Active Worm Propagation') отличается от других моделей тем, что основана на дискретном времени (что повышает-точность моделирования быстрых червей), учитывает возможность устранения уязвимости, используемой вирусом, учитывает время, требуемое для заражения компьютера и возможность одновременной атаки с различных узлов (что повышает точность моделирования массовых эпидемий).

Модель на основе расчета длины гамильтонова пути является расширением модели SI, но, в отличие от классической эпидемиологической модели, учитывает масштабы компьютерной сети, предсказывая различный характер развития эпидемии в зависимости от размеров сети.

Симулятор Уивера является имитационной моделью, требующей в отличие от аналитических гораздо больше вычислительных ресурсов, но позволяет с высокой точностью оценивать и сравнивать скорости распространения вирусов, использующих различные технологии сканирования (случайное сканирование, сканирование заранее составленного списка, сканирование локальных подсетей и перестановочное сканирование).

Во всех перечисленных моделях использовано предположение о том, что структура сети не влияет на динамику распространения эпидемии. При этом считается, что вероятности контактов всех узлов в каждый момент времени равны между собой. Было показано, что в действительности ни в реальных экосистемах, ни в компьютерных сетях данное предположение не выполняется.

Проведен анализ моделей, учитывающих влияние структуры сети на характер развития эпидемии.

Модель на основе случайного графа изучает распространение вируса в сети, представляемой случайным графом с заданными характеристиками.

Модель на двумерной решетке и иерархическом случайном графе позволяет исследовать распространение вирусов в сетях, имеющих структуру двумерной решетки и иерархического случайного графа, и позволяет оценить влияние структуры сети на скорость развития эпидемии.

Модель «тесного мира» fsmall-world model) описывает развитие эпидемии вирусов в сети, представляемой графом «тесного мира». Многие сети имеют

структуру, которую можно в определенном приближении представить в виде графа «тесного мира» с определенными параметрами.

Безмасштабные сети также могут быть использованы для моделирования распространения вирусов, т.к. было доказано, что многие сети (биологические и компьютерные) могут быть в определенном приближении представлены как безмасштабные.

Поведенный анализ показал, что существует большое количество математических моделей распространения компьютерных вирусов в сетях. Большинство моделей ориентированы на распространение вирусов в полносвязных сетях, что не позволяет учитывать влияние структуры сети на развитие эпидемии. Те модели, которые учитывают структуру сети, ориентированы на некоторые частные виды сетей и не позволяют задавать структуру в явном виде. Поэтому, для проведения исследований на более полном множестве компьютерных сетей необходимо создание моделей, учитывающих влияние произвольной структуры сети на распространение компьютерных вирусов.

В третьей главе представлены разработанные модели, учитывающие структуру сети. Определены способы представления сети для моделирования развития эпидемий компьютерных вирусов. Структура сети описывается графом, при этом вид графа будет сильно зависеть от того, какой уровень стека сетевых протоколов использует моделируемый вирус для распространения: граф, отражающий непосредственное физическое соединение узлов сети, не всегда подходит для моделирования. Для вирусов, работающих на сетевом уровне стека протоколов, граф структуры сети должен описываться исходя из возможности установить соединения между узлами по сетевому протоколу. При составлении графа для вирусов, работающих на прикладном уровне, необходимо учитывать, что граф может быть ориентированным. Для топологических червей конечный узел считается смежным с исходным только в том случае, если на исходном узле вирус может найти адрес конечного. Для многовекторных червей граф вычисляется как декартова сумма графов, составленных для отдельных векторов распространения.

Для сокращения размерности разрабатываемых моделей предложено строить граф, узлами которого являются коммуникационные узлы сети

(маршрутизаторы, коммутаторы), что отличает данный подход от применяемых ранее, где узлами графов являлись рабочие станции сети.

Предложены две модели, базирующиеся на цепях Маркова.

Рассмотрена локальная сеть, состоящая из N компьютеров. Каждый компьютер может находиться в одном из двух состояний - незараженный или зараженный. Сеть представляется в виде графа, узлами которого являются компьютеры, а дугами - каналы связи между ними, по которым могут распространяться вирусы. Вес связи wy означает вероятность перехода вируса по каналу связи между компьютерами i и j за единицу времени.

Для построения модели использован математический аппарат теории марковских цепей.

В модели для всей сети s - множество всех возможных состояний, в которых может находиться сеть. Состояние сети в момент времени t является совокупностью состояний всех узлов сети. Оно может быть описано вектором из N элементов, где значение к-то элемента соответствует состоянию к-то узла: S (suspected), если узел не заражен, и I (infected), если заражен. То есть

j , 5, если не заражен

■■(s(,s{...sJN) где sí =

> [I, если заражен

Вероятности перехода сети между различными состояниями вычисляются следующим образом:

Ру = Р|>' -» S1} = РК s{ nsí-> SÍ О ...njj, 4] = П -> Hl

Jt=]

где s'hs1- состояния всей сети, a sk' и skj - состояния отдельного k-го узла. Вероятность изменения состояния узла вычисляется по формуле:

P3ap{k,s¡), если s\ =S,s¡ -1 sí = S,sí

0, если s[ = I,s{ = S

1, если sí -1,s{ -1

где вероятность заражения вычисляется по следующим формулам:

^передачи ) ~

Для использования модели необходимо задать начальное распределение ¡¿0) - вектор вероятностей нахождения сети в том или ином состоянии в начальный момент времени. Исходя из теории марковских цепей, распределение на шаге / будет равно я(" = я('"°Р. Математическое ожидание количества зараженных компьютеров будет равно:

м

Проводя вычисления для X = 0.../)ШН, получим зависимость математического ожидания количества зараженных компьютеров от номера шага?.

Модель для отдельных узлов не использует совокупное состояние всей сети, а рассматривает лишь состояния узлов в отдельности. Для каждого узла существует отдельный вектор состояния, состоящий из двух элементов: вероятности того, что узел не заражен и вероятности того, что узел заражен:

= (Л), где к - номер узла, Г - номер шага. Поэтому матрицы

переходных вероятностей строятся отдельно для каждого узла.

к Ч о 1 ^

где =

ю=1

Кроме того, матрица переходных вероятностей зависит от состояния узлов сети на предыдущем шаге, следовательно цепь Маркова для каждого узла является неоднородной.

При использовании данной модели задаются начальные распределения для каждого из узлов я1у0> = (Р}0> (Я), Р}ю (/)), где у - номер узла, после чего на их основании вычисляются матрицы переходных вероятностей. С помощью

12

матриц переходов по формуле я(;° = я^'Р)" вычисляются векторы состояния на

следующем шаге и так далее.

Математическое ожидание количества зараженных компьютеров на каждом шаге вычисляется по формуле:

№

Рассмотрены возможности расширения моделей с учетом возможности лечения зараженных компьютеров. При этом в модель добавляется ещё одно состояние - Я, появляется дополнительный параметр - Д характеризующий частоту излечения, а также учитываются возможности перехода между всеми тремя состояниями.

Представленные модели могут быть использованы для моделирования распространения компьютерных вирусов в сетях различной структуры.

В четвертой главе приводится алгоритм выбора наиболее защищенной структуры сети с применением разработанных математических моделей. Алгоритм включает следующие шаги:

1. Выбор параметров вируса

2. Выбор критериев защищенности

3. Ввод варианта структуры сети, выбор точек заражения

4. Моделирование, применение критериев к результатам

5. Если есть другие варианты структур, переход к п. 3

6. Сравнение значений критериев для различных структур и выбор наиболее

защищенной.

Представлены критерии, используемые для оценки защищенности сети от вирусов:

• вероятность заражения узла в ходе распространения эпидемии;

• время для заражения определенной доли сети;

• затраты на простой узла.

Проведен численный эксперимент, в ходе которого рассмотрены сходные структуры сетей, имеющие равные значения таких характеристик, как диаметр графа, описывающего сеть, среднее расстояние между узлами. В результате моделирования и применения критериев показано, что даже в сетях с

одинаковыми значениями данных характеристик вирусная эпидемия имеет различную динамику и критерии защищенности имеют различные значения.

Описан разработанный в рамках подготовки диссертации моделирующий программный комплекс, составляющие его подсистемы, а также его применение при проектировании сети. Комплекс состоит из трех подсистем.

Подсистема ввода предназначена для ввода исходных данных для моделирования: структура исследуемой сети (ввод осуществляется как в графическом виде, так и с помощью задания матрицы смежности, либо из файла); начальные точки заражения; скорость заражения, выбор используемых моделей и критериев защищенности.

Подсистема моделирования производит моделирование на основе исходных данных, предусматривая использование нескольких различных разработанных в диссертации моделей. К результатам моделирования применяются критерии, позволяющие оценить защищенность сети.

Подсистема вывода предназначена для вывода на экран либо в файл результатов моделирования в виде графиков, таблиц и текстовых данных. Программа позволяет в реальном времени изменять структуру сети, наблюдая за изменением значений критериев. Внешний вид пользовательского интерфейса комплекса, а также результаты его работы приведены на рис. 1,2.

Рис. 1. Пользовательский интерфейс программы. Ввод структуры сети

; Матрица | Настройки | Свойстаауала^' График ^"критерий |

! — Значение а 29 Шагов до 0.95 Инте1тшьный Максимум

Марковская модель для в... Марковская модель для... 1.00 15,00 43,33 1,00

1,00 11,00 45,51 1,00

51 (аналитическое) 1,00 7,00 46,80 1,00

раояи 0.37 +« 14,06 0.42

Рис. 2. Результаты моделирования

Разработанные модели применены для анализа структурной защищенности компьютерной сети ряда организаций. Были исследованы различные варианты сетевых структур (радиальная, радиально-последовательная и древовидная). В результате моделирования были получены количественные оценки защищенности сети при различных структурах, позволившие выявить наиболее защищенные варианты структуры и определить характеристики распространения вирусной атаки.

ЗАКЛЮЧЕНИЕ. ОБЩИЕ ВЫВОДЫ

1. Проведен анализ различных видов компьютерных вирусов и исследованы механизмы миграции и их связь со структурой сети, что позволило сформулировать требования к разрабатываемым математическим моделям распространения вирусов, установить связь между характеристиками развития вирусной атаки и параметрами структуры.

2. Исследованы существующие математические модели, используемые для моделирования развития вирусных эпидемий в компьютерных сетях, что дало возможность определить их достоинства и недостатки и установить, что в них отсутствует явное представление структуры компьютерной сети. Это не позволяет сравнивать различные варианты структур с помощью моделей.

3. Разработан комплекс характеристик развития процесса вирусной атаки, позволяющих исследовать процесс в зависимости от особенностей структуры сети и механизмов распространения вирусов. Данный

комплекс может быть использован для разработки критериев структурной защищенности компьютерных сетей от вирусных эпидемий.

4. Разработан комплекс математических моделей, позволяющих вычислять характеристики процесса развития вирусных атак для заданных параметров структуры компьютерной сети.

5. Разработано специализированное моделирующее программное обеспечение в виде программного комплекса для оценки защищенности сетей от вирусных эпидемий, расширяющее и дополняющее возможности математических моделей.

Результаты диссертации могут быть полезны разработчикам и

администраторам компьютерных сетей при формировании сетевой структуры,

максимально защищенной от вирусных атак.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИИ ИЗЛОЖЕНЫ В СЛЕДУЮЩИХ РАБОТАХ

1. Бабанин, Д.В. Влияние структуры сети на защищенность от компьютерных вирусов / Д.В. Бабанин // Качество. Инновации. Образование. — № 11, 2011.— С. 69-74.

2. Бабанин, Д.В. Математические модели распространения вирусов в компьютерных сетях различной структуры / Д.В. Бабанин, С.М. Бурков, Я.М. Далингер // Информатика и системы управления. — № 4 (30), 2011. — С. 3-11.

3. Бабанин, Д.В. Параметры математической модели для различных типов компьютерных вирусов / Д.В. Бабанин // Научно-техническая конференция студентов, аспирантов и молодых специалистов МИЭМ: тезисы докладов. — М.:МИЭМ, 2008. — 495 е. —С. 103-104.

4. Бабанин, Д.В. Стратегии защиты локальной сети от компьютерных вирусов / Д.В. Бабанин // Информационные,. сетевые и телекоммуникационные технологии: сборник научных трудов / под ред. проф. д.т.н. Жданова B.C. — М.: МИЭМ, 2009 — 311 с. — С. 299-311.

5. Бабанин, Д.В. Сравнение моделей распространения компьютерных вирусов, основанных на цепях Маркова / Д.В. Бабанин // Математическое и

16

программное обеспечение вычислительных систем: межвуз. сб. науч. тр. / под ред. А.Н. Пылысина — М.: Горячая линия — Телеком, 2009. 148 с. — С. 7-12.

6. Бабанин, Д.В. Модели распространения компьютерных вирусов на основе цепей Маркова / Д.В. Бабанин // Математическое и программное обеспечение вычислительных систем: межвуз. сб. науч. тр. / под ред. А.Н. Пылькина — М.: Горячая линия - Телеком, 2009. 156 с. — С. 89-93.

7. Бабанин, Д.В. Результаты моделирования защищенности сети от вирусов / Д.В. Бабанин // Научно-техническая конференция студентов, аспирантов и молодых специалистов МИЭМ: тезисы докладов. — М.: МИЭМ, 2010. — 457 с. — С. 88-89.

8. Бабанин, Д.В. Связь антивирусной защищенности компьютерной сети с её структурой / Д.В. Бабанин // Математическое и программное обеспечение вычислительных систем: межвуз. сб. науч. тр. / Под ред. А.Н. Пылькина — Рязань: РГРТУ, 2011. 224 с. — С. 104-109.

9. Бабанин, Д.В. Оценка структурной защищенности компьютерной сети от вирусных атак / Д.В. Бабанин // Математическое и программное обеспечение вычислительных систем: межвуз. сб. науч. тр. / Под ред. А.Н. Пылькина — Рязань: РГРТУ, 2011.224 с. — С. 133-138.

10. Бабанин, Д.В. Использование цепей Маркова для моделирования распространения вирусов в компьютерных сетях / Д.В. Бабанин // Стохастическое и компьютерное моделирование систем и процессов : сб. науч. ст. / ГрГУ им. Я. Купалы ; редкол: Л.В. Рудакова (гл. ред.) [и др.]. — Гродно : ГрГУ, 2011. — С. 206-209.

Подписано в печать 13.02.2012 г. Формат 60x90 1/16 Печать на ризографе. Тираж 100 экз. Заказ № 6867. Объем: 1,1 усл. п.л.

Отпечатано в типографии ООО "Алфавит 2000", ИНН: 7718532212, г. Москва, ул. Маросейка, д. 6/8, стр. 1, т. 623-08-10, www.alfavit2000.ru

61 12-5/1737

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Московский государственный институт электроники и математики

(технический университет)»

На правах рукописи

Бабанин Дмитрий Владимирович

МОДЕЛИ ОЦЕНКИ СТРУКТУРНЫХ РЕШЕНИЙ ПО ЗАЩИТЕ КОМПЬЮТЕРНЫХ СЕТЕЙ ОТ ВИРУСНЫХ АТАК

05.13.19- Методы и системы защиты информации, информационная

безопасность (технические науки)

Диссертация на соискание учёной степени кандидата технических наук

Научный руководитель: д.т.н., проф. Саксонов Евгений Александрович

Москва - 2011

Содержание

Введение.........................................................................................................6

1. Распространение вирусов в компьютерных сетях...............................11

1.1. Определение и классификация компьютерных вирусов.............12

1.2. Структура и распространение сетевых червей.............................16

1.2.1. Свойства сетевых червей.........................................................16

1.2.2. Сетевые эпидемии.....................................................................18

1.2.3. Классификация сетевых червей...............................................20

1.3. Методы защиты сети от компьютерных вирусов.........................30

1.3.1. Организационные методы антивирусной защиты.................31

1.3.2. Технические методы антивирусной защиты..........................32

Выводы.....................................................................................................38

2. Моделирование сетевых эпидемий.......................................................39

2.1. Модели классической эпидемиологии........................................... 40

2.1.1. Модель MSEIR..........................................................................40

2.1.2. Модель SI (Suspected-Infected)................................................43

2.1.3. Модель SIS (Suspected-Infected-Suspected).............................45

2.1.4. Модель SIR (Suspected-Infected-Removed).............................47

2.1.5. Модели эпидемиологии для конкретных болезней...............49

2.2. Модели развития эпидемий компьютерных вирусов...................50

2.2.1. Модель RCS (Random Constant Spread)..................................51

2.2.2. Двухфакторная модель.............................................................53

2.2.3. Модель PSIDR (Progressive Suspected-Infected-Detected).....55

2.2.4. Модель AAWP (Analytical Active Worm Propagation)...........59

2.2.5. Модель на основе расчета длины гамильтонова пути..........62

2.2.6. Симулятор Уивера....................................................................63

2.3. Модели, учитывающие структуру сети.........................................65

2.3.1. Случайный граф........................................................................65

2.3.2. Двумерная решетка и иерархический случайный граф........67

2.3.3. Модель «тесного мира»............................................................67

2.3.4. Безмасштабные сети.................................................................69

2.3.5. Пространственные сети............................................................70

Выводы.....................................................................................................71

3. Модели распространения компьютерных вирусов для произвольной структуры сети.......................................................................................................72

3.1. Представление сети..........................................................................72

3.1.1. Представление сети на основе информации о физических связях узлов....................................................................................................73

3.1.2. Топологические черви..............................................................78

3.1.3. Особенности составления графа для многовекторных червей .........................................................................................................................79

3.2. Модель на основе цепи Маркова для всей сети............................80

3.2.1. Пример сети...............................................................................80

3.2.2. Построение матрицы переходов..............................................81

3.2.3. Вероятность изменения состояния узла.................................82

3.2.4. Вероятность заражения узла....................................................82

3.2.5. Пример составления матрицы переходов в модели для всей сети..................................................................................................................83

3.2.6. Использование модели для всей сети.....................................87

3.2.7. Пример использования модели для всей сети.......................88

3.3. Модель на основе цепи Маркова для отдельных узлов...............89

3.3.1. Пример составления матрицы переходов в модели для отдельных узлов............................................................................................91

3.3.2. Использование модели для отдельных узлов........................92

3.3.3. Пример использования модели для отдельных узлов...........93

3.4. Расширение модели для учета лечения.........................................94

Выводы.....................................................................................................95

4. Применение моделей распространения компьютерных вирусов для оценки защищенности сети..................................................................................96

4.1. Описание методов использования моделей..................................96

4.1.1. Использование моделей при проектировании сети...............96

4.1.2. Использование моделей для улучшения безопасности существующей сети......................................................................................99

4.1.3. Критерии защищенности структуры.....................................101

4.1.4. Применение моделей для сравнения различных структур сети со сходными характеристиками........................................................102

4.2. Программное решение для моделирования распространения вирусов в компьютерных сетях.....................................................................105

4.2.1. Подсистема ввода данных......................................................106

4.2.2. Подсистема моделирования...................................................107

4.2.3. Подсистема вывода результатов...........................................108

4.3. Применение моделей для оценки защищенности сети университета....................................................................................................110

4.3.1. Описание задачи и основные допущения............................. 110

4.3.2. Рассматриваемые структуры.................................................111

4.3.3. Исходные данные и результаты моделирования.................113

Выводы...................................................................................................119

Заключение. Общие выводы....................................................................120

Литература.................................................................................................121

ВВЕДЕНИЕ

Актуальность проблемы. Развитие компьютерных сетей позволяет осуществлять интеграцию распределенных вычислительных и информационных ресурсов и предоставлять доступ к ним большому числу пользователей, все это обусловило широкое применение сетевых технологий во многих системах обработки информации различного уровня и назначения.

Однако сетевая интеграция приводит к увеличению рисков пользователей связанных с возможностью распространения по сети вредоносного программного обеспечения и одной из его разновидностей -компьютерных вирусов.

Накопленный опыт в борьбе с компьютерными вирусами позволяет сделать вывод, что необходимо сочетание разнообразных средств и методов защиты при их атаках на компьютерные сети. Одним из подходов к организации защиты, по мнению ряда авторов, является применение структурных решений, которые позволяют снизить скорость распространения вирусов по сети, обеспечивая «структурную защищенность» сети, что позволит администратору иметь определенный запас времени для организации эффективного противодействия вирусной атаке.

Проведенные различными авторами исследования показали, что механизм распространения вирусов (вирусная атака) в конкретной сетевой структуре во многом схож с механизмами распространения инфекций в человеческих популяциях - эпидемиями.

На данный момент разработано большое количество моделей распространения компьютерных вирусов в компьютерных сетях. Среди них есть модели, базирующиеся на исследованиях в области эпидемиологии - SI, SIR, RCS (J. О. Kephart, S. R. White, N. Weaver), а также модели, специально разработанные для исследования эпидемий в компьютерных сетях AAWP, LAAWP, PSIDR (M.M.Williamson, J. Leveille, L. Gao, Z.Chen, К. Kwiat). Однако известные модели либо не позволяют оценить структурную защищенность компьютерной сети, либо не имеют возможности моделирования распространения компьютерных вирусов.

Попытки использования моделей для анализа компьютерной сети также не приводят к успеху, поскольку не учитывают специфики распространения вирусов.

Следовательно, актуальной является задача разработки математических и программных моделей, которые позволяла ли бы оценить структурную защищенность компьютерной сети от вирусной эпидемии.

Создание такой системы позволит проектировать компьютерные сети максимально защищенной структуры.

Целью работы является создание математического и программного обеспечения для анализа влияния структурных решений при создании компьютерной сети на распространение вирусов, позволяющего формировать структур сети, максимально защищенную от вирусных атак, что дает возможность повысить эффективность защиты компьютерной сети.

Объект и предмет исследования

Объектом исследования является структура компьютерной сети и ее влияние на распространение вирусной эпидемии.

Предметом исследования является механизм распространения вирусных эпидемий в компьютерной сети с заданной структурой.

Для достижения указанной цели были проведены исследования по следующим направлениям:

1. Проведен анализ известных вирусов и механизмов их распространения в компьютерной сети.

2. Проведен анализ известнйх моделей распространения вирусов в сетевой среде и их возможностей по учету особенностей структуры сети.

3. Разработана система характеристик развития вирусных атак в компьютерной сети.

4. Разработаны математические модели, позволяющие проводить исследование развития вирусной эпидемии в зависимости от структуры сети.

5. Разработано программное обеспечение для моделирования распространения вирусных эпидемий в компьютерной сети, дополняющее возможности математических моделей.

На защиту выносятся

1. Результаты анализа механизмов распространения вирусов в компьютерной сети и известных математических моделей, позволяющих вычислять характеристики развития атак.

2. Метод уменьшения размерности задач анализа процесса распространения вирусной атаки в компьютерной сети с заданной структурой, позволяющий определять характеристики развития вирусной атаки между узлами сети.

3. Комплекс математических моделей для расчета характеристик распространения вирусных атак в компьютерной сети с заданной структурой.

4. Комплекс программных моделей, позволяющий моделировать развитие вирусной атаки в компьютерной сети.

Методы исследований определялись спецификой решаемых задач и поставленными целями. В качестве основных методов исследования применялись методы теории систем, теории вероятностей и математической статистики, теории графов.

Научная новизна результатов диссертации заключается в выборе объекта исследования, структуры компьютерной сети и установлении связей между параметрами объекта и характеристиками развития вирусных атак. Разработке комплекса математических и программных моделей для расчета характеристик развития вирусных атак в сетях с заданной структурой, позволяющих определять структурную защищенность сети и выбирать параметры структуры, обеспечивающие максимальную защиту.

Практическая значимость результатов заключается в создании математического и программного обеспечения, дающего возможность администраторам и разработчикам сетей оценивать различные структуры сети с точки зрения их защищенности от вирусных атак и выбирать наиболее защищенные варианты структуры.

Достоверность и обоснованность результатов и выводов диссертации обусловлены соответствием разработанных моделей реальным механизмам распространения вирусов в компьютерной сети, обобщением известных результатов других авторов и подтверждаются данными о внедрении результатов для анализа конкретных компьютерных сетей.

Реализация результатов работы

Результаты работы применялись для оценки структурной защищенности компьютерных сетей и выбора структуры сети

Апробация полученных результатов

Основные положения диссертационной работы, теоретические и практические результаты докладывались и обсуждались на научно-технических конференциях: Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ (2008, 2009, 2010), Москва, МИЭМ, II Международной научно-практической конференции «Современные информационные компьютерные технологии - шс1Т-2010», Гродно, 2010, а также на научно-технических семинарах кафедры ВСиС МИЭМ.

Публикации

Результаты проведенных в диссертации исследований опубликованы в 10 работах, в том числе 2 статьи в рецензируемых изданиях, рекомендованных ВАК для публикации основных материалов диссертаций, представляемых на соискание ученой степени кандидата наук.

1. РАСПРОСТРАНЕНИЕ ВИРУСОВ В КОМПЬЮТЕРНЫХ СЕТЯХ

В настоящее время информационные технологии интегрированы практически во все сферы человеческой деятельности. Возможности автоматизированной и автоматической обработки информации позволяют человеку перейти на качественно новый уровень жизни. Но широкое использование информационных технологий принесло современному обществу и новые типы угроз. Одна из таких угроз - вредоносное программное обеспечение (вредоносные программы). Согласно ст. 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ» вредоносным программам дано определение программ для ЭВМ, «заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети» [1]. В работах [2, 3, 4] вредоносная программа определена как программа, специально созданная для выполнения несанкционированных действий и нарушению нормального функционирования компьютерной системы (сети). В [5] отмечается недостаточная точность формулировок в УК и комментариях к нему и предлагается следующее определение: «Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия - без участия и без предварительного уведомления вышеуказанных субъектов». В книге [6] Е. Касперский

определяет вредоносное ПО как множество следующих программ: «компьютерные вирусы, троянские кони, конструкторы вирусов и полиморфик-генераторы». В работе [7] вирус определен через его математическую модель.

Среди перечисленных типов вредоносных программ наиболее многочисленным и наиболее опасным типом являются компьютерные вирусы: ежегодно они наносят ущерб на десятки миллиардов долларов [8, 9].

В данной главе дано определение и приведена классификация компьютерных вирусов. Представлено описание и классификация наиболее опасного на сегодняшний день вида компьютерных вирусов - сетевых червей. Описано явление сетевых эпидемий и их характеристики. Результаты, изложенные в этой главе, были опубликованы в работах [10, 11].

1.1. Определение и классификация компьютерных вирусов

Наиболее точное определение компьютерного вируса было приведено Ф. Коэном [12]: «Определим вирус как программу, которая может «заражать» другие программы, модифицируя их так, что они содержат в себе копию вируса, возможно, измененную». Подобное определение содержится и в ГОСТ Р 51188-98: «компьютерный вирус - программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам» [13].

Различные попытки классификации компьютерных вирусов предпринимались неоднократно [14, 15]. Многие антивирусные компании имеют свои собственные способы классификации вирусов. Крис Касперски указывает на сложность классификации вирусов из-за наличия

многочисленных межвидовых гибридов, из-за чего один и тот же вирус приходится относить к нескольким категориям сразу, «в результате чего классификация сразу теряет стройность, привлекательность и смысл» [16]. Кроме того, из-за быстрого развития технологий появляются новые типы вирусов, что делает классификацию быстро устаревающей.

Классическая, во многом до сих пор актуальная классификация компьютерных вирусов приведена Е. Касперским [17]. Согласно данной классификации вирусы можно разделить по следующим признакам:

• среда обитания;

• операционная система;

• особенности алгоритма работы;

• деструктивные возможности.

По среде обитания вирусы можно разделить на следующие группы [18, 19, 20,21].

Файловые вирусы обязательно заражают некоторый файл: либо внедряясь в исполнимый файл [22], либо подменяет его, храня оригинал отдельно (компаньон-вирусы), либо используют особенности файловой системы (Нпк-вирусы) [23].

Загрузочные вирусы заражают загрузочные сектора дисков, активируясь при попытке загрузиться с диска.

Макровирусы заражают документы различных прикладных программ, которые позволяют внедрять в документ программный код макросов.

Сетевые вирусы для своего распространения используют различные сетевые протоколы, либо другие возможности, предост�