Модели оценки структурных решений по защите компьютерных сетей от вирусных атак тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Бабанин, Дмитрий Владимирович
- Специальность ВАК РФ05.13.19
- Количество страниц 132
Оглавление диссертации кандидат технических наук Бабанин, Дмитрий Владимирович
Содержание
Введение
1. Распространение вирусов в компьютерных сетях
1.1. Определение и классификация компьютерных вирусов
1.2. Структура и распространение сетевых червей
1.2.1. Свойства сетевых червей
1.2.2. Сетевые эпидемии
1.2.3. Классификация сетевых червей
1.3. Методы защиты сети от компьютерных вирусов
1.3.1. Организационные методы антивирусной защиты
1.3.2. Технические методы антивирусной защиты
Выводы
2. Моделирование сетевых эпидемий
2.1. Модели классической эпидемиологии
2.1.1. Модель MSEIR
2.1.2. Модель SI (Suspected-Infected)
2.1.3. Модель SIS (Suspected-Infected-Suspected)
2.1.4. Модель SIR (Suspected-Infected-Removed)
2.1.5. Модели эпидемиологии для конкретных болезней
2.2. Модели развития эпидемий компьютерных вирусов
2.2.1. Модель RCS (Random Constant Spread)
2.2.2. Двухфакторная модель
2.2.3. Модель PSIDR (Progressive Suspected-Infected-Detected)
2.2.4. Модель AAWP (Analytical Active Worm Propagation)
2.2.5. Модель на основе расчета длины гамильтонова пути
2.2.6. Симулятор Уивера
2.3. Модели, учитывающие структуру сети
2.3.1. Случайный граф
2.3.2. Двумерная решетка и иерархический случайный граф
2.3.3. Модель «тесного мира»
2.3.4. Безмасштабные сети
2.3.5. Пространственные сети
Выводы
3. Модели распространения компьютерных вирусов для произвольной структуры сети
3.1. Представление сети
3.1.1. Представление сети на основе информации о физических связях узлов
3.1.2. Топологические черви
3.1.3. Особенности составления графа для многовекторных червей
3.2. Модель на основе цепи Маркова для всей сети
3.2.1. Пример сети
3.2.2. Построение матрицы переходов
3.2.3. Вероятность изменения состояния узла
3.2.4. Вероятность заражения узла
3.2.5. Пример составления матрицы переходов в модели для всей сети
3.2.6. Использование модели для всей сети
3.2.7. Пример использования модели для всей сети
3.3. Модель на основе цепи Маркова для отдельных узлов
3.3.1. Пример составления матрицы переходов в модели для отдельных узлов
3.3.2. Использование модели для отдельных узлов
3.3.3. Пример использования модели для отдельных узлов
3.4. Расширение модели для учета лечения
Выводы
4. Применение моделей распространения компьютерных вирусов для оценки защищенности сети
4.1. Описание методов использования моделей
4.1.1. Использование моделей при проектировании сети
4.1.2. Использование моделей для улучшения безопасности существующей сети
4.1.3. Критерии защищенности структуры
4.1.4. Применение моделей для сравнения различных структур сети со сходными характеристиками
4.2. Программное решение для моделирования распространения вирусов в компьютерных сетях
4.2.1. Подсистема ввода данных
4.2.2. Подсистема моделирования
4.2.3. Подсистема вывода результатов
4.3. Применение моделей для оценки защищенности сети университета
4.3.1. Описание задачи и основные допущения
4.3.2. Рассматриваемые структуры
4.3.3. Исходные данные и результаты моделирования
Выводы
Заключение. Общие выводы
Литература
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Исследование способов выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты2009 год, кандидат технических наук Рудик, Кирилл Петрович
Модели и методы защиты от вредоносных программ на основе контроля доступа к файлам2014 год, кандидат наук Маркина, Татьяна Анатольевна
Построение эффективных методов криптографической защиты программ от компьютерных вирусов2006 год, кандидат технических наук Булыгин, Юрий Сергеевич
Системный анализ дестабилизирующих программных воздействий на вычислительно-управляющие комплексы промышленных предприятий и методы их распознавания2007 год, кандидат технических наук Дорфман, Антон Владимирович
Математическая модель обеспечения контроля над исполнением образца и маскировки аналитических инструментов при инвазивном динамическом анализе вредоносного ПО2023 год, кандидат наук Переберина Анастасия Александровна
Введение диссертации (часть автореферата) на тему «Модели оценки структурных решений по защите компьютерных сетей от вирусных атак»
ВВЕДЕНИЕ
Актуальность проблемы. Развитие компьютерных сетей позволяет осуществлять интеграцию распределенных вычислительных и информационных ресурсов и предоставлять доступ к ним большому числу пользователей, все это обусловило широкое применение сетевых технологий во многих системах обработки информации различного уровня и назначения.
Однако сетевая интеграция приводит к увеличению рисков пользователей связанных с возможностью распространения по сети вредоносного программного обеспечения и одной из его разновидностей -компьютерных вирусов.
Накопленный опыт в борьбе с компьютерными вирусами позволяет сделать вывод, что необходимо сочетание разнообразных средств и методов защиты при их атаках на компьютерные сети. Одним из подходов к организации защиты, по мнению ряда авторов, является применение структурных решений, которые позволяют снизить скорость распространения вирусов по сети, обеспечивая «структурную защищенность» сети, что позволит администратору иметь определенный запас времени для организации эффективного противодействия вирусной атаке.
Проведенные различными авторами исследования показали, что механизм распространения вирусов (вирусная атака) в конкретной сетевой структуре во многом схож с механизмами распространения инфекций в человеческих популяциях - эпидемиями.
На данный момент разработано большое количество моделей распространения компьютерных вирусов в компьютерных сетях. Среди них есть модели, базирующиеся на исследованиях в области эпидемиологии - SI, SIR, RCS (J. О. Kephart, S. R. White, N. Weaver), а также модели, специально разработанные для исследования эпидемий в компьютерных сетях AAWP, LAAWP, PSIDR (M.M.Williamson, J. Leveille, L. Gao, Z.Chen, К. Kwiat). Однако известные модели либо не позволяют оценить структурную защищенность компьютерной сети, либо не имеют возможности моделирования распространения компьютерных вирусов.
Попытки использования моделей для анализа компьютерной сети также не приводят к успеху, поскольку не учитывают специфики распространения вирусов.
Следовательно, актуальной является задача разработки математических и программных моделей, которые позволяла ли бы оценить структурную защищенность компьютерной сети от вирусной эпидемии.
Создание такой системы позволит проектировать компьютерные сети максимально защищенной структуры.
Целью работы является создание математического и программного обеспечения для анализа влияния структурных решений при создании компьютерной сети на распространение вирусов, позволяющего формировать структур сети, максимально защищенную от вирусных атак, что дает возможность повысить эффективность защиты компьютерной сети.
Объект и предмет исследования
Объектом исследования является структура компьютерной сети и ее влияние на распространение вирусной эпидемии.
Предметом исследования является механизм распространения вирусных эпидемий в компьютерной сети с заданной структурой.
Для достижения указанной цели были проведены исследования по следующим направлениям:
1. Проведен анализ известных вирусов и механизмов их распространения в компьютерной сети.
2. Проведен анализ известнйх моделей распространения вирусов в сетевой среде и их возможностей по учету особенностей структуры сети.
3. Разработана система характеристик развития вирусных атак в компьютерной сети.
4. Разработаны математические модели, позволяющие проводить исследование развития вирусной эпидемии в зависимости от структуры сети.
5. Разработано программное обеспечение для моделирования распространения вирусных эпидемий в компьютерной сети, дополняющее возможности математических моделей.
На защиту выносятся
1. Результаты анализа механизмов распространения вирусов в компьютерной сети и известных математических моделей, позволяющих вычислять характеристики развития атак.
2. Метод уменьшения размерности задач анализа процесса распространения вирусной атаки в компьютерной сети с заданной структурой, позволяющий определять характеристики развития вирусной атаки между узлами сети.
3. Комплекс математических моделей для расчета характеристик распространения вирусных атак в компьютерной сети с заданной структурой.
4. Комплекс программных моделей, позволяющий моделировать развитие вирусной атаки в компьютерной сети.
Методы исследований определялись спецификой решаемых задач и поставленными целями. В качестве основных методов исследования применялись методы теории систем, теории вероятностей и математической статистики, теории графов.
Научная новизна результатов диссертации заключается в выборе объекта исследования, структуры компьютерной сети и установлении связей между параметрами объекта и характеристиками развития вирусных атак. Разработке комплекса математических и программных моделей для расчета характеристик развития вирусных атак в сетях с заданной структурой, позволяющих определять структурную защищенность сети и выбирать параметры структуры, обеспечивающие максимальную защиту.
Практическая значимость результатов заключается в создании математического и программного обеспечения, дающего возможность администраторам и разработчикам сетей оценивать различные структуры сети с точки зрения их защищенности от вирусных атак и выбирать наиболее защищенные варианты структуры.
Достоверность и обоснованность результатов и выводов диссертации обусловлены соответствием разработанных моделей реальным механизмам распространения вирусов в компьютерной сети, обобщением известных результатов других авторов и подтверждаются данными о внедрении результатов для анализа конкретных компьютерных сетей.
Реализация результатов работы
Результаты работы применялись для оценки структурной защищенности компьютерных сетей и выбора структуры сети
Апробация полученных результатов
Основные положения диссертационной работы, теоретические и практические результаты докладывались и обсуждались на научно-технических конференциях: Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ (2008, 2009, 2010), Москва, МИЭМ, II Международной научно-практической конференции «Современные информационные компьютерные технологии - шс1Т-2010», Гродно, 2010, а также на научно-технических семинарах кафедры ВСиС МИЭМ.
Публикации
Результаты проведенных в диссертации исследований опубликованы в 10 работах, в том числе 2 статьи в рецензируемых изданиях, рекомендованных ВАК для публикации основных материалов диссертаций, представляемых на соискание ученой степени кандидата наук.
1. РАСПРОСТРАНЕНИЕ ВИРУСОВ В КОМПЬЮТЕРНЫХ СЕТЯХ
В настоящее время информационные технологии интегрированы практически во все сферы человеческой деятельности. Возможности автоматизированной и автоматической обработки информации позволяют человеку перейти на качественно новый уровень жизни. Но широкое использование информационных технологий принесло современному обществу и новые типы угроз. Одна из таких угроз - вредоносное программное обеспечение (вредоносные программы). Согласно ст. 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ» вредоносным программам дано определение программ для ЭВМ, «заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети» [1]. В работах [2, 3, 4] вредоносная программа определена как программа, специально созданная для выполнения несанкционированных действий и нарушению нормального функционирования компьютерной системы (сети). В [5] отмечается недостаточная точность формулировок в УК и комментариях к нему и предлагается следующее определение: «Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия - без участия и без предварительного уведомления вышеуказанных субъектов». В книге [6] Е. Касперский
определяет вредоносное ПО как множество следующих программ: «компьютерные вирусы, троянские кони, конструкторы вирусов и полиморфик-генераторы». В работе [7] вирус определен через его математическую модель.
Среди перечисленных типов вредоносных программ наиболее многочисленным и наиболее опасным типом являются компьютерные вирусы: ежегодно они наносят ущерб на десятки миллиардов долларов [8, 9].
В данной главе дано определение и приведена классификация компьютерных вирусов. Представлено описание и классификация наиболее опасного на сегодняшний день вида компьютерных вирусов - сетевых червей. Описано явление сетевых эпидемий и их характеристики. Результаты, изложенные в этой главе, были опубликованы в работах [10, 11].
1.1. Определение и классификация компьютерных вирусов
Наиболее точное определение компьютерного вируса было приведено Ф. Коэном [12]: «Определим вирус как программу, которая может «заражать» другие программы, модифицируя их так, что они содержат в себе копию вируса, возможно, измененную». Подобное определение содержится и в ГОСТ Р 51188-98: «компьютерный вирус - программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам» [13].
Различные попытки классификации компьютерных вирусов предпринимались неоднократно [14, 15]. Многие антивирусные компании имеют свои собственные способы классификации вирусов. Крис Касперски указывает на сложность классификации вирусов из-за наличия
многочисленных межвидовых гибридов, из-за чего один и тот же вирус приходится относить к нескольким категориям сразу, «в результате чего классификация сразу теряет стройность, привлекательность и смысл» [16]. Кроме того, из-за быстрого развития технологий появляются новые типы вирусов, что делает классификацию быстро устаревающей.
Классическая, во многом до сих пор актуальная классификация компьютерных вирусов приведена Е. Касперским [17]. Согласно данной классификации вирусы можно разделить по следующим признакам:
• среда обитания;
• операционная система;
• особенности алгоритма работы;
• деструктивные возможности.
По среде обитания вирусы можно разделить на следующие группы [18, 19, 20,21].
Файловые вирусы обязательно заражают некоторый файл: либо внедряясь в исполнимый файл [22], либо подменяет его, храня оригинал отдельно (компаньон-вирусы), либо используют особенности файловой системы (Нпк-вирусы) [23].
Загрузочные вирусы заражают загрузочные сектора дисков, активируясь при попытке загрузиться с диска.
Макровирусы заражают документы различных прикладных программ, которые позволяют внедрять в документ программный код макросов.
Сетевые вирусы для своего распространения используют различные сетевые протоколы, либо другие возможности, предоставляемые вычислительными сетями. Данный вид вирусов также называют сетевыми червями. [24]
Существуют также вирусы, сочетающие в себе возможность распространения в различных средах обитания, например, файлово-загрузочные вирусы, способные заражать и файлы, и загрузочные сектора дисков [17].
Операционная система, объекты которой подвергаются заражению, также может быть использована для классификации. Файловые и сетевые вирусы ориентированы на определенные операционные системы (DOS, Windows, Unix), а также на конкретные их версии. Для макровирусов вместо операционной системы логичней рассматривать конкретные версии программ, в которых при открытии зараженного документа будет активизирован вирусный код (Word, Excel и т.д.). Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. [21]
Можно также выделить следующие особенности алгоритма работы вирусов [18, 19,20,21].
Резидентные вирусы после запуска частично остаются в оперативной памяти, благодаря чему могут работать всё время работы компьютера, заражая объекты, к которым обращается операционная система. Нерезидентные вирусы сохраняют свою активность лишь некоторое время, как прикладные программы [23].
Стелс-вирусы имеют возможность скрывать свое присутствие в системе. Для этого чаще всего вирусы перехватывают обращения операционной системы к зараженным объектам, подменяя зараженный объект незараженной копией. Это значительно затрудняет обнаружение вируса, как пользователями, так и антивирусами [23].
Шифрование и полиморфность позволяет затруднить обнаружение вируса. Полиморфные вирусы при заражении создают свою копию, которая, будучи идентичной по функционалу, имеет совершенно другую
последовательность инструкций. В результате чего поиск данного вируса по сигнатуре теряет смысл. Часто само тело вируса шифруется, а дешифровщик делается полиморфным, что позволяет сделать труднообнаружимым практически любой вредоносный код [25, 26].
Многие вирусы используют различные нестандартные приемы, позволяющие скрыть присутствие вируса, либо усложнить его излечение. Это может быть внедрение в ядро операционной системы, запись копии вируса в Flash-BIOS и другие приемы, не учтенные данной классификацией [17].
По деструктивным возможностям вирусы делятся на следующие категории:
• безвредные вирусы запрограммированы только на распространение и не несут заранее заложенных деструктивных инструкций;
• неопасные вирусы могут уменьшать количество свободной памяти, а также воспроизводить какие-либо звуковые или графические эффекты.
• опасные вирусы способны вызвать серьезные сбои в работе компьютера;
• очень опасные, которые заранее запрограммированы на уничтожение пользовательских либо системных данных или даже на создание опасной нагрузки на аппаратное обеспечение.
Стоит отметить, что даже те вирусы, в которые заранее не заложены деструктивные действия, способны только своим размножением привести к большой нагрузке на оборудование (например, сетевое), что может повлечь за собой нарушение нормальной работы компьютеров и сетей [27].
В связи со стремительным ростом телекоммуникационных технологий увеличивается доля компьютеров, подключенных к вычислительным сетям, в том числе к глобальной сети Интернет. Вследствие этого последние десять
лет наибольшее распространение, и, соответственно, наибольший ущерб приносят именно сетевые вирусы, также называемые сетевыми червями.
1.2. Структура и распространение сетевых червей
1.2.1. Свойства сетевых червей
Наиболее часто используемым способом распространения червя является эксплуатация различных уязвимостей [24, 28, 29]. Чаще всего это ошибки переполнения буфера либо фильтрации входных данных. В этом случае размер кода, исполняемого на атакуемой машине с помощью такой уязвимости, будет очень невелик: это десятки или сотни байт. Поэтому, используя уязвимость, на заражаемую машину проникает небольшая часть червя, называемая головой или загрузчиком. Эта часть, выполняясь на заражаемом компьютере, загружает на него основной код червя. Большинство современных червей имеют одну «голову», использующую какую-то одну уязвимость. Но наиболее интересные экземпляры червей имеют несколько «голов», рассчитанных на различные уязвимости. Такой подход позволяет очень сильно увеличить долю компьютеров, которые могут быть подвержены заражению. Хорошей иллюстрацией такого подхода является червь Nimda (эпидемия которого разразилась в 2001 году) [30]. Данный червь имел пять «голов», которые атаковали:
• Клиенты электронной почты.
• Открытые сетевые ресурсы.
• Браузеры.
• Веб-сервера IIS.
Загрузчик («голова» червя) выполняет следующие задачи [24].
• Приспособление к условиям среды, в которую попал червь: определение различных системных адресов, необходимых для работы и т.д.
• Установка соединения с компьютером, с которого будет производиться загрузка основной части червя. Для загрузки червя используются самые различные протоколы, начиная от чистых TCP/IP соединений и заканчивая FTP и РОРЗ. Использование стандартных почтовых или файловых протоколов иногда позволяет червю успешно обойти межсетевые экраны, т.к. данные протоколы обычно разрешены.
• Последними действиями загрузчика являются непосредственно загрузка и запуск основного кода вируса.
После того, как основная часть червя загружена и начала выполнение, червь может принять меры для сохранения своего присутствия в системе. Это происходит через заражение системных файлов или прикладных программ. Некоторые виды червей не делают этого, вследствие чего после перезагрузки системы в ней не остается работоспособной копии вируса.
Само присутствие червя в системе может быть организовано через создание нового процесса (что делает вредоносную программу легко заметной для антивирусов и системных администраторов), либо через внедрение в адресное пространство других программ [16].
Размножение червя является самым главным процессом в его жизненном цикле. Размножение происходит следующим образом.
Если данный вирус является полиморфным, то создается копия вируса, отличная от оригинала по сигнатуре. Полиморфность позволяет червю легко преодолевать сигнатурную защиту антивирусов и пакетных фильтров [24].
Далее происходит выбор целей для последующего заражения. Черви, распространяющиеся с помощью электронной почты, сканируют адресные книги популярных почтовых клиентов, либо осуществляют поиск электронных адресов по всем файлам на компьютере. Черви, распространяющиеся по протоколам TCP или UDP, выбирают жертву, руководствуясь какой-либо стратегией выбора IP-адресов: полностью
случайное сканирование всего диапазона адресов, сканирование с разделением адресов, сканирование компьютеров только в локальной подсети, а также сочетание локального и глобального сканирования [24].
Выбрав цель, червь проверяет её на наличие в системе другого экземпляра червя. Часто это происходит через отсылку каких-то определенных запросов, и в случае получение соответствующих ответов цель считается уже зараженной и повторное заражение не производится. Если выбранный в качестве цели компьютер не является инфицированным, то червь (иногда заранее проверяя наличие соответствующей уязвимости) направляет жертве одну или несколько из своих «голов», которая производит заражение цели. Вне зависимости от успешности попытки червь выбирает следующий адрес и циклически продолжает попытки заражения новых компьютеров [24].
1.2.2. Сетевые эпидемии
Эпидемия - медицинский термин, обозначающий «нарастание или появление большого количества заболеваний, ранее не встречавшихся на данной территории» [31]. Поскольку компьютерные вирусы во многом схожи с биологическими, то возможно определить эпидемию компьютерных вирусов как заражение большого количества компьютеров. Сетевой эпидемией можно назвать эпидемию компьютерных вирусов, вызванную деятельностью сетевых червей. Обычно эпидемия связана с конкретным видом или версией вируса. В качестве примера сетевых эпидемий можно привести следующие: эпидемия почтового червя Love Letter (2000 г.), эпидемия червя Code Red (июль 2001 г.) [32], эпидемия червя Code Red II (август 2001 г.) [33].
1.2.2.1. Характеристики сетевых эпидемий
Сетевые эпидемии могут иметь различный масштаб и последствия. Для оценки эпидемии используют различные характеристики эпидемий.
Количество зараженных компьютеров - наиболее часто встречающаяся характеристика эпидемии. Эту информацию легко получить, она позволяет весьма точно судить о масштабах распространения вируса. В работе [34] используется схожая характеристика - максимальное количество зараженных компьютеров в конкретный момент времени.
Скорость распространения вируса также является важной характеристикой эпидемии. Высокая скорость распространения обеспечивает заражение большого числа компьютеров в течение небольшого промежутка времени - до того, как будут приняты меры системными администраторами, будут выпущены заплатки, закрывающие уязвимости, а сигнатуры будут добавлены в базы антивирусов. С другой стороны, существуют вирусы, которые жертвуют скоростью распространения ради скрытности, в результате чего в ходе более длительной эпидемии способны заразить большее число компьютеров и нанести больший ущерб [35].
Экономическая оценка ущерба, нанесенного вирусом, часто встречается в качестве характеристики эпидемии. Данная оценка может включать следующие экономические критерии: стоимость излечения зараженных компьютеров, стоимость простоя, стоимость иммунизации и другие [34].
Сетевые эпидемии как массовое событие способны принести значительно больше вреда, нежели отдельные разрозненные случаи заражения. Во-первых, трафик, порождаемый компьютерными вирусами во время эпидемии, может значительно превышать допустимый для зараженных сетей, в результате чего происходит перегрузка и выход из строя коммуникационного оборудования. Во-вторых, полученная в результате
эпидемии возможность контролировать одновременно большое количество зараженных компьютеров дает злоумышленникам возможность организовывать масштабные БоБ-атаки, кражу персональных данных и прочие преступления в компьютерной сфере.
1.2.3. Классификация сетевых червей
Благодаря способности независимо распространяться с высокой скоростью, а также благодаря тому, что заражаемые сетевыми червями компьютеры подключены к сети, сетевые черви имеют достаточно много отличий от классических вирусов. Классификация сетевых червей также имеет определенные особенности. Классифицировать данный вид вредоносных программ можно по следующим параметрам: способ поиска цели, способ переноса, способ активации, боевая часть [36].
1.2.3.1. Способ поиска цели
Для успешного распространения сетевой червь должен найти и заразить некоторое количество компьютеров. Для успешного заражения узел должен соответствовать следующим требованиям:
• наличие узла в сети;
• доступность с зараженного узла;
• наличие используемой червем уязвимости;
Для нахождения таких узлов черви используют различные способы поиска [36].
Сканирование представляет собой проверку набора сетевых адресов для обнаружения уязвимых компьютеров. Наиболее простые формы сканирования - это последовательный перебор (прямое прохождение по упорядоченному списку адресов) и случайный перебор (выбор адресов из списка в псевдослучайной последовательности). Благодаря своей простоте эти способы используются наиболее часто как в полностью автономных
червях, так и в тех, которые требуют участия человека [37]. Сканирующие черви могут быть медленнее использующих другие способы выбора цели, но в сочетании с автоматической активацией способны распространяться достаточно быстро, чтобы исключить возможность своевременной реакции человека.
Существует несколько способов оптимизации сканирования. Очень эффективной оптимизацией является предпочтение локальных адресов при сканировании. Несмотря на то, что этот способ может слегка замедлить распространение червя в глобальном масштабе [38], он дает возможность червю, найдя единственную уязвимую машину, эффективно заражать сеть целиком, даже если остальные узлы защищены от внешних атак брандмауэром.
Перестановочное сканирование позволяет различным экземплярам червя координировать усилия по сканированию различных диапазонов адресов, исключая попытки повторного сканирования одних и тех же адресов, пока не будет проверено всё адресное пространство [35].
Наиболее эффективным вариантом оптимизации сканирования является сканирование, ограниченное лишь пропускной способностью сети. Большинство сетевых червей, как, например, Code Red, использовал процедуры сканирования, ограниченные не только пропускной способностью канала, но и временем задержки передачи данных [33, 32]. Необходимость ждать ответа от сканируемого узла приводит к тому, что сканирование идет намного медленнее, чем это позволяет пропускная способность сети. Альтернативные способы сканирования гораздо более эффективны. Червь Sapphire/Slammer, используя протокол UDP, мог отправлять зараженные пакеты, не дожидаясь ответа, что позволило во много раз ускорить сканирование [37, 39]. Создание червя, действующего аналогичным
способом, возможно и с использованием протокола TCP, если червь будет иметь возможность полностью самостоятельно формировать ТСР-пакет.
В общем случае, скорость распространения сканирующих червей зависит от совокупности таких факторов, как плотность уязвимых узлов, особенности сканирования и особенности работы маршрутизаторов сети в условиях эпидемии.
Для таких червей скорость распространения пропорциональна количеству уязвимых компьютеров. Червю Code Red I потребовалось около 12 часов для развития эпидемии, но при использовании более сложных способов сканирования или использования более распространенных уязвимостей для этого потребовалось бы 2 часа, а при использовании сканирования, ограниченного лишь пропускной способностью - 15 минут.
Сканирование является очень нетипичным поведением для сети, поэтому есть возможность эффективно обнаруживать сканирующих червей по характеру трафика. В сочетании со стратегией «удушения вирусов» [40] возможность обнаружения сканирующих червей позволяет блокировать трафик, связанный со сканированием сети червями, за счет чего возможно остановить любых червей, использующих данный метод поиска цели.
Заранее сформированный список целей (хитлист) позволяет ускорить развитие эпидемии. Небольшой список целей может быть использован для ускорения начальной фазы распространения обычного сканирующего червя, а полный список позволяет создать «мгновенного» червя, способного заразить все цели за очень короткий промежуток времени.
Наибольшую трудность у данного метода представляет непосредственно составление хитлиста. Для небольшого списка можно использовать публично доступные источники, либо произвести предварительное сканирование небольших диапазонов адресов. Составление полного списка сопряжено с гораздо большими усилиями: либо
распределенное сканирование, либо получение скомпрометированной базы данных с полным списком целей. В настоящее время червей с использованием полного хитлиста в сетях обнаружено не было. Одним из червей, использующих неполный хитлист в начальном этапе распространения является почтовый червь Witty [41].
Внешние списки целей хранятся на отдельных серверах, называемых метасерверами. Примером метасервера может быть сервер, хранящий списки активных серверов многопользовательских компьютерных игр. Данный подход также применим для червей, атакующих веб-сервера, используя поисковый сервер (например, Google) для поиска уязвимых веб-серверов.
Внутренние списки целей могут быть получены червем непосредственно на каждом зараженном узле. Черви, использующие такую технику, называются топологическими, т.к. ведя поиск информации о возможных целях на локальной машине, червь раскрывает топологию коммуникации между узлами [36].
Известный червь Морриса использовал данную технику, просматривая список узлов в /etc/hosts и других файлах [42, 43, 44, 45]. Поскольку во время создания этого вируса в Интернете было очень мало узлов, техника простого сканирования была бы крайне неэффективна. Скорость распространения червей при топологическом сканировании может быть очень высока. Вместе с тем трафик, порождаемый такими червями трудно отличить от обычного: коммуникация в сети идет между теми же узлами, что и при нормальном функционировании сети [36].
Пассивные черви не ищут уязвимые компьютеры самостоятельно. Вместо этого они ожидают, пока другой узел попытается тем или иным способом связаться с зараженным узлом. В случае установления связи, червь пытается заразить инициатора соединения. Обладая достаточно низкой скоростью распространения, черви данного типа не производят аномального
трафика, благодаря чему являются малозаметными для систем обнаружения сетевых атак. Черви данного типа распространены в Р2Р-сетях (например, червь Gnuman [46]). Анти-червь CRClean, призванный бороться с червем Code Red ожидает, пока некоторый узел, зараженный вирусом Code Red, попытается заразить узел с CRClean. При этом заражения вирусом Code Red не происходит, но CRClean использует ресурсы, открытые червем на зараженном компьютере, чтобы получить управление, удалить Code Red, закрыть уязвимости и установить собственный экземпляр на новом компьютере [32].
1.2.3.2. Способы передачи сетевого червя
Помимо непосредственно использования уязвимости и активации кода червя на заражаемом компьютере для заражения необходимо передать код червя на заражаемую машину. Способ, которым это будет сделано, во многом определяет скрытность червя и влияет на скорость его распространения.
Самораспространяемые черви передают все данные, необходимые для нормального функционирования, в процессе инфицирования. Данный способ широко применяется в активных сканирующих или топологических червях. Некоторые пассивные черви, как например, CRClean, также используют этот способ передачи [47].
Второй канал передачи данных используется теми червями, процесс инфицирования которых не позволяет передать все данные во время инфицирования. Примером может служить червь Blaster, использующий уязвимость в RPC, который активизируясь на заражаемой машине, открывает дополнительный канал связи по протоколу TFTP с исходной машиной для передачи кода и данных, необходимых для дальнейшего распространения [48].
Встраивающиеся черви пересылают необходимые для работы червя данные по обычным каналам связи, дополняя или заменяя сообщения, используемые и при нормальной работе узлов. В результате при анализе трафика распространение червя сложно выявить, т.к. характер трафика при развитии эпидемии практически не отличается от трафика при обычной работе сети.
Такая скрытная встраиваемая стратегия имеет смысл только в том случае, когда способ поиска целей также является скрытным. Иначе, если способ поиска цели является легкообнаружимым для систем мониторинга трафика, использовать столь сложный способ передачи данных не имеет смысла [49]. Встраивание данных может быть наиболее выгодным для червей, использующих пассивный способ распространения.
Скорость распространения встраивающихся червей сильно зависит от того, какие протоколы выбраны в качестве носителя для данных червя. При этом количество сообщений и их объем при передаче червя не должен сильно отличаться от шаблонов нормальной работы системы, чтобы оставаться незаметным для систем анализа трафика.
Также способ распространения червя можно разделить на три типа по степени централизации.
Централизованный способ заключается в том, что основной код червя хранится на некотором центральном узле, с которого он загружается при инфицировании. Этот способ хорош тем, что обеспечивает возможность быстрого обновления и модификации кода червя злоумышленником. Недостатком, безусловно, является слабое место централизации: если центральный сервер будет обнаружен и каким-либо образом отключен от сети (ББоЗ-атака, блокировка с помощью брандмауэров, либо блокировка со стороны провайдера), это фактически остановит развитие эпидемии [36].
Распределенный способ хранения копии червя заключается в том, что червь копируется с каждой зараженной машины. Это исключает возможность заблокировать узел с кодом червя из-за их огромного количества. Недостатком этого способа является отсутствие возможности централизованного контроля над распространением червя [36].
Гибридный способ заключается в том, что червь распространяется с помощью распределенного способа, а обновления получает централизованно. Данный метод сочетает в себе достоинства двух других методов [36].
1.2.3.3. Способы активации червя
То, каким образом код червя получает управление на заражаемой машине, в значительной степени влияет как на динамику развития эпидемии, так и на способы противодействия распространению червя.
Активация человеком. Данный способ активации - наиболее медленный, т.к. время, необходимое для запуска вредоносной программы человеком значительно больше времени, требуемого на автоматический запуск. Для того чтобы убедить человека запустить код червя, создатели вирусов используют различные приемы социальной инженерии. Червь Melissa пытается убедить человека запустить вложение, говоря о срочности сообщения («Attached is an important message for you») [50], Iloveyou использует любопытство («Open this message to see who loves you») [51], Benjamin использует жадность людей («Download this file to get copyrighted material for free»).
Червь Melissa был макровирусом, более поздние черви, требующие активацию человеком, являлись исполнимыми файлами. Некоторые из них требуют явного запуска человеком, некоторые используют уязвимости в программах, поэтому даже попытка просмотра данных может привести к заражению (например, Kiez [52]).
Активация на основе деятельности человека. Некоторые черви активизируются, когда пользователь производит определенные действия, напрямую не связанные с заражением. Это может быть перезагрузка, выполнение сценариев входа в систему, открытие удаленно зараженного файла. К данному виду активации относятся черви, распространяющиеся через общие ресурсы Windows (например, червь Nimda). Такие черви записываются на диск заражаемого компьютера, но не имеют прямой возможности получить управление [30].
Активация с помощью периодических задач. Данный вид активации использует такие программы, как службы обновления. Эти программы загружают, производят установку и запуск обновленных версий ПО. Ранние версии таких служб не использовали процедуры проверки подлинности, из-за чего злоумышленнику было необходимо лишь подменить файлы обновления на зараженные. Другие системы осуществляют периодическую архивацию или подобные задачи, и, имея различные уязвимости, могут быть использованы червем для заражения. Для систем без проверки подлинности иногда достаточно подменить записи DNS, в противном случае - атакующий должен получить криптографические ключи, используемые для авторизации или цифровой подписи кода [36].
Автоматическая активация. Данный вид червей наиболее быстр. При использовании уязвимостей сервисов, которые доступны всё время, код червя сразу получает управление на заражаемой машине [28]. В качестве контрмер для данного типа вирусов можно предложить использование программного обеспечения, не содержащего уязвимости, а также ограничение доступа к сервисам, которые доступны всё время.
1.2.3.4. Полезная нагрузка
Полезной нагрузкой называется код, переносимый червем и не связанный непосредственно с распространением червя.
Отсутствует. Наиболее частый случай - отсутствие или неработоспособность полезной нагрузки. Червь, имеющий ошибки в коде распространения, никогда не сможет распространиться достаточно хорошо, но ошибка в полезной нагрузке никак не повлияет на ход эпидемии, поэтому черви, содержащие неработоспособную программу в качестве полезной нагрузки, достаточно часто встречаются в сетях. Несмотря на отсутствие каких-то отдельных вредоносных подпрограмм, данный тип червей способен привести к значительному ущербу только за счет своего распространения. Известными примерами являются червь Морриса и Slammer, которые, не имея никаких задач, кроме размножения, принесли многомиллионные убытки [37, 42, 43].
Удаленное управление. Оставленная червем в системе программная закладка позволяет злоумышленнику получить управление над огромным количеством компьютеров. Ярким примером является червь Code Red II [33].
Рассылка спама. Червь Sobig устанавливает на зараженном компьютере открытый почтовый релей, который в дальнейшем используется злоумышленниками для рассылки нежелательной корреспонденции. Благодаря такой стратегии злоумышленники получают возможность проводить массовые рассылки, не боясь попадания в «черные списки» провайдеров и почтовых серверов [53].
Прокси-сервера. Установка на зараженном компьютере прокси-сервера позволяет злоумышленникам создавать огромные сети прокси-серверов, что позволяет злоумышленникам скрывать свои действия, а также эффективно противостоять попыткам блокировать их деятельность [54].
DoS-атаки. Другой часто используемой полезной нагрузкой является инструментарий для организации DoS-атаки. Такие модули содержали сетевые черви Code Red, Yaha и другие [32].
Сбор данных. Компьютеры всё больше и больше используются для хранения и обработки важных данных. Некоторые черви используются злоумышленниками для похищения конфиденциальных данных, таких как пароли, номера кредитных карт и т.п. Данные ищутся различными способами на компьютере жертвы, после чего, возможно, в зашифрованном виде, отправляются создателю вируса.
Продажа доступа. Продолжением идеи удаленного контроля или сбора данных является заражение компьютера с целью продажи доступа к нему [55]. После получения контроля над целью, возможность управления ими продается заинтересованным лицам.
Уничтожение данных. Большое число компьютерных вирусов и червей содержало в себе процедуры отложенного удаления данных. Поскольку черви распространяются значительно быстрее, чем традиционные вирусы, они могут начать уничтожать данные практически сразу после заражения. Вместо уничтожения данные могут быть зашифрованы [36].
Воздействие на объекты реального мира. Поскольку компьютеры широко используются для контроля реальных физических объектов с помощью SCADA-систем, то в результате вирусной атаки злоумышленники могут получить доступ к управлению оборудованием и технологическими процессами. Также черви могут содержать в себе программы, разрушающие какие-либо объекты физического мира, начиная от повреждения микросхем BIOS материнской платы, заканчивая выведением из строя промышленного оборудования. Также связь зараженных компьютеров с внешним миром открывает злоумышленникам возможность устроить DoS-атаку на объекты реального мира, как например, при наличии у зараженных компьютеров
модемов, организовать массированные звонки на определенные телефонные номера. Недавнее проникновение червя Эйга^ на иранские атомные электростанции показало, насколько может быть опасен такой тип вирусов [56, 57].
Обслуживание червя. В качестве полезной нагрузки червь может содержать программы по его обслуживанию. Такие черви, как \¥32/зошс, включали в себя механизмы обновления кода. Черви, имеющие возможность обновления, способны переключаться на использование для распространения новых уязвимостей в случае обнаружения и исправления старых. Также немаловажной особенностью обновляемых червей является возможность исправления ошибок в коде уже распространившегося червя [36].
1.3. Методы защиты сети от компьютерных вирусов
В данном разделе проведен анализ существующих методов защиты от компьютерных вирусов, перечислены основные подходы к построению защищенных сетей. Описаны способы применения межсетевых экранов и антивирусов. Обоснована необходимость создания методов для проектирования сетей защищенной структуры.
Опасности, которые несет с собой возможность заражения вирусом, диктуют необходимость защищать сеть от вирусов.
Защита сети от компьютерных вирусов является частью комплексной системы защиты информации. Проникновение компьютерного вируса в сеть и его дальнейшая деятельность - это частный случай несанкционированного доступа. Способы и методы защиты от несанкционированного доступа достаточно полно описаны в различной литературе по защите информации, причем в этих методах редко выделяют методы защиты именно от вирусов, поскольку такая защита строится от любых угроз [58, 59].
Выделяя среди методов защиты информации лишь методы защиты от компьютерных вирусов, их можно разделить прежде всего на организационные и технические [60].
1.3.1. Организационные методы антивирусной защиты
Организационные методы регулируют прежде всего поведение пользователей при эксплуатации системы. Данные методы по уровню формализации можно разделить на две категории: правила работы за компьютером и политика безопасности.
Правила работы за компьютером включают в себя общие инструкции по обеспечению антивирусной безопасности, такие, как:
• Не открывать вложения в электронных письмах, полученные от незнакомых отправителей
• Не давать согласия на автоматически инициированную загрузку файлов и документов
• Проводить антивирусную проверку внешних носителей информации (дискеты, диски, флеш-накопители)
• Использовать актуальные версии программ с установленными пакетами обновлений, последние антивирусные базы
• Не прерывать работу программ, обеспечивающих безопасность и следить за их работоспособностью
• Другие правила, которыми может руководствоваться пользователь при работе за компьютером в вопросах антивирусной безопасности [59].
Правила работы за компьютером могут сильно различаться в зависимости от организации, где они используются, компьютерной грамотности пользователей и других факторов. В крупной компании для обеспечения высокой надежности защиты требуются единые хорошо
формализованные правила. Поэтому в крупных компаниях в качестве организационных методов борьбы с компьютерными вирусами используется политика информационной безопасности.
Политика информационной безопасности организации - это, согласно ГОСТ Р 53114-2008 [61], «формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности». В документах политики информационной безопасности обычно четко описано, какие применяются антивирусные средства и на каких компьютерах, какие действия необходимо производить при обнаружении вирусов, какие действия производить для предотвращения заражения.
1.3.2. Технические методы антивирусной защиты
Технические методы защиты от компьютерных вирусов включают в себя методы защиты, связанные с использованием некоторых программных или аппаратных средств [58].
1.3.2.1. Регулярная установка обновлений
Поскольку многие компьютерные вирусы (особенно сетевые черви) используют для своего распространения различные уязвимости, то необходимо иметь наиболее свежие версии программных продуктов с установленными последними обновлениями безопасности. Для поддержания актуальности версий программ используются службы автоматического обновления [58].
1.3.2.2. Правильная настройка системы
Операционная система и программы, используемые на компьютере, должны быть настроены таким образом, чтобы минимизировать возможность
заражения вирусом. Например, отключен автоматический запуск программ со сменных носителей, соответствующим образом настроена безопасность макросов в офисных пакетах, работа на компьютере ведется от имени пользователя с ограниченными привилегиями и т.д. К этой же группе можно отнести и аппаратные способы блокирования подключения внешних носителей [59].
1.3.2.3. Защита с помощью межсетевых экранов
При создании локальной сети, имеющей доступ к другим сетям, являющимися потенциальным источником опасности (чаще всего такой сетью является Интернет) необходимо защитить локальную сеть от внешних угроз, в частности, вирусов. Это делается с помощью правильной настройки межсетевого экрана (МСЭ) на границе локальной сети и внешней сети [62].
Существует несколько стратегий применения МСЭ, которые различаются по сложности реализации и масштабам локальной сети [63, 54].
1. Пакетный фильтр - это наиболее простой и исторически самый первый вариант. Маршрутизатор (выполненный в виде специализированного устройства или компьютера с необходимым ПО) имеет два сетевых интерфейса, а также набор правил, по которым он может пропускать или не пропускать пакеты из одной сети в другую (рис. 1.3.1).
2. Двухканальный узел организован аналогичным образом, что и экранирующий маршрутизатор, за исключением того, что обладает функциональностью шлюза приложений (прокси-сервера). Шлюз приложений - это программа, перехватывающая трафик приложений определенного типа. Благодаря использованию шлюза приложений, внутренние узлы никогда не подсоединяются напрямую к удаленным серверам (рис. 1.3.2). В настоящее время
широко распространенной формой прокси-сервера являются трансляторы сетевых адресов. Такие сервера повышают безопасность локальной сети, позволяя скрыть настоящие 1Р-адреса машин в локальной сети. Это позволяет закрыть возможность доступа к компьютерам локальной сети извне.
3. Экранированный узел - это межсетевой экран, обладающий защитными возможностями и пакетного фильтра, и прокси-сервера. Прокси-сервер подключен к локальной сети, а пакетный фильтр расположен между прокси-сервером и каналом с внешней сетью. Пакетный фильтр настроен таким образом, чтобы разрешать доступ во внешнюю сеть только прокси-серверу, и закрывать доступ к сети извне. Все компьютеры локальной сети в данной схеме обращаются к прокси-серверу, который работает с внешней сетью (рис. 1.3.3).
4. Экранированная подсеть, называемая также демилитаризованной зоной является расширением концепции экранированного узла. Экранированная подсеть - это участок сети, в которой находятся сервера, отгороженные от внешней и от внутренней сети межсетевым экраном. Существуют несколько вариантов организации DMZ, в зависимости от количества используемых межсетевых экранов: конфигурации с одним, двумя или тремя МСЭ (рис. 1.3.4, рис. 1.3.4).
1.3.2.4. Защита с помощью антивируса
Использование антивирусных средств является важнейшим элементом в системе защиты от компьютерных вирусов. Антивирусные средства служат для обнаружения вирусов, блокированию их работы и удаления вирусов из системы. Для защиты от различных видов вирусов на различных уровнях используются следующие средства: средства защиты шлюзов, средства
защиты почтовых серверов и средства защиты пользовательских компьютеров.
Антивирусная защита шлюзов является первым препятствием на пути проникновения вирусов в сеть. Данный вид антивирусов проверяет поток данных из внешней среды (из Интернета), не позволяя вирусам проникнуть внутрь сети [11].
Поскольку антивирус для шлюзов должен перехватывать данные, поступающие извне, то, помимо непосредственно антивирусной составляющей, в нем необходимо реализовать систему обработки сетевых потоков, и анализа входящих пакетов. Это достаточно сложная задача, и, поскольку такую же функциональность предоставляют межсетевые экраны и прокси-серверы, то заметно снизить стоимость антивируса для шлюза можно интегрировав антивирус с существующими МСЭ и прокси-серверами. Таким образом, существует два пути: использование универсального антивируса для шлюзов и использование интегрируемого антивируса. На сегодняшний момент универсальные антивирусы для шлюзов проверять данные, поступающие по следующим протоколам: HTTP, FTP, SMTP. Эти протоколы являются наиболее часто используемыми при работе в Интернете, другие же протоколы используются намного реже и создание антивируса для их проверки является экономически необоснованным. Антивирусы, способные интегрироваться с МСЭ ориентированы на наиболее популярные продукты: Microsoft Internet Security and Acceleration Server (Microsoft ISA Server) и Checkpoint Firewall-1 (VPN-1). Антивирусы реализуются в виде дополнений (плагинов) к указанным МСЭ [62].
Антивирусная защита серверов осуществляется для предотвращения заражения серверов, повышения общей антивирусной безопасности сети. Обычно антивирусами защищают почтовые и файловые сервера. При использовании средств групповой работы (Microsoft Exchange или Lotus
Notes/Domino) возможна установка антивируса на внутренний почтовый сервер. В этом случае будет происходить проверка всей корреспонденции, как входящей и исходящей, так и внутренней. Важным моментом является способ подключения антивируса к почтовому серверу: это либо интеграция антивируса с почтовым сервером, либо установка антивируса между элементами сети. Второй случай в основном используется при невозможности интеграции антивируса (например, при использовании не очень распространенного почтового сервера). Для защиты файловых серверов используются специализированные антивирусы. Существуют антивирусы для файловых серверов на различных операционных системах, таких как Windows, Linux, Novell NetWare и Free BSD [54].
Защита рабочих станций является самым низким уровнем в иерархии защиты сети. Антивирусы для рабочих станций позволяют отлавливать те вирусы, которые по тем или иным причинам не были обнаружены защитой
на других уровнях [24].
Поскольку антивирус работает на том же компьютере, на котором будет выполняться код вируса, многими антивирусами используется поведенческий анализ работы программ, который позволяет выявлять зашифрованные, полиморфные вирусы, а также бестелесные вирусы. Также антивирус на рабочей станции - единственное программное решение, которое позволяет предотвратить попадание в сеть вирусов «изнутри» - со сменных носителей [64].
1.3.2.5. Защита с помощью выбора оптимальной структуры сети
Современное противостояние создателей компьютерных вирусов и создателей систем защиты приводит к тому, что и вирусы, и системы защиты усложняются с каждым годом. Ответами на постоянно увеличивающееся
количество вирусов и их возрастающую способность к распространению могут являться:
• совершенствование существующих методов защиты;
• разработка новых подходов к защите от компьютерных вирусов. Для улучшения эффективности защиты необходимо задумываться о
ней уже с момента проектирования сети.
Важной характеристикой любой локальной сети является её структура: связи между компьютерами и другими узлами сети.
В данной работе предпринята попытка определить влияние структуры сети на распространение в ней компьютерных вирусов и разработать метод построения сети, наиболее безопасной с точки зрения антивирусной защиты.
Рис. 1.3.1. Пакетный фильтр
Рис. 1.3.2. Двухканальный узел
Рис. 1.3.3. Экранированный узел
( Локальная; сеть
Прокси-сервер
Рис. 1.3.4. Экранированная подсеть с одним МСЭ
( Локальная сеть
Прокси-сервер
Рис. 1.3.5. Экранированная подсеть с двумя МСЭ
Выводы
1) Компьютерные вирусы представляют значительную опасность для пользователей ПК. Среди компьютерных вирусов наиболее опасными являются сетевые черви за счет их незаметности, самостоятельного и быстрого распространения.
2) Компьютерные (в частности, сетевые) эпидемии способны принести значительный ущерб функционированию компьютеров и сетей.
3) Существующие системы защиты сетей являются сложными многоуровневыми системами, но даже их защита не является гарантией невозможности заражения компьютерными вирусами.
4) Поскольку структура сети влияет на распространение вирусов в сети, необходимо разработать методы, позволяющие проектировать сети, имеющие наиболее защищенную структуру.
2. МОДЕЛИРОВАНИЕ СЕТЕВЫХ ЭПИДЕМИЙ
В данной главе дан обзор различных моделей, используемых для моделирования эпидемий. Представлены как модели классической эпидемиологии, используемые для моделирования биологических эпидемий, так и современные модели, предназначенные для моделирования распространения компьютерных вирусов. Произведено сравнение данных моделей, отмечены их достоинства и недостатки. Результаты, изложенные в этой главе, были опубликованы в работах [10, 65, 66, 67].
Моделирование распространение эпидемий компьютерных вирусов (сетевые эпидемии описаны в разделе 1.2.2) берет начало из эпидемиологии -общемедицинской науки, изучающей закономерности возникновения и распространения заболеваний. Поскольку распространение вредоносного кода среди компьютеров во многом схоже с распространением заболеваний в популяции людей, то для моделирования эпидемий компьютерных вирусов можно использовать математический аппарат эпидемиологии. В эпидемиологии при исследовании эпидемий используются следующие понятия.
Особь (индивид) - это отдельно существующий организм. С точки зрения эпидемиологии особь может находиться в двух основных состояниях: зараженном и незараженном. В различных эпидемиологических моделях существуют дополнительные состояния, учитывающие различные свойства живых организмов.
Популяция - совокупность индивидуумов, из которой отбирается выборка, и на которую могут быть распространены результаты, полученные для этой выборки [68]. При моделировании эпидемий под популяцией
обычно понимают множество особей, на котором может происходить распространение заболевания.
С течением времени особи в популяции контактируют друг с другом, в результате чего осуществляется передача заболевания. Обычно для эпидемий популяция считается гомогенной смесью: все особи в популяции имеют равную вероятность контакта, но существуют и отдельные модели, учитывающие неравномерность контакта [69]. Также со временем могут происходить и другие процессы, такие как излечение, смерть, приобретение иммунитета.
2.1. Модели классической эпидемиологии
2.1.1. Модель МБЕШ
Наиболее общей моделью эпидемии в математической эпидемиологии, а также основой для большинства моделей, является модель МБЕШ. [70, 71].
Суть модели заключается в следующем.
Имеется популяция из N особей. Каждая особь находится в одном из пяти состояний. Состояния обозначаются буквами М, 8, Е, I, Я. Иногда для обозначения состояния особи говорят о принадлежности особи к одноименной группе. Состояния, их обозначения и особенности перечислены в таблице 2.1
Функция зависимости количества особей, находящихся в определенном состоянии, от времени обозначается соответствующей буквой, например 8(1), ВД,Я(1) и т.д.
Переход особей из одной группы в другую (т.е. изменение состояния особи) происходит по схеме, указанной на рис. 2.1.1.
Таблица 2.1. Возможные состояния узлов в модели М8ЕЮ
Обозначение Расшифровка Состояние Особенности
М Maternally derived immunity Пассивный иммунитет Не заражен, не подвержен заражению.
S Suspected Уязвим Не заражен, подвержен заражению
Е Exposed Латентная стадия Заражен, не заражает других
I Infected/Infectio us Стадия распространения Заражен, заражает других
R Recovered/Rem oved Излечен Не заражен, не подвержен заражению, не заражает других.
Рис. 2.1.1. Возможные переходы между состояниями в модели
МБЕШ
Изначально часть особей может находиться в состоянии М, т.е. обладают пассивным иммунитетом. Обычно таким иммунитетом обладают новорожденные, в крови у которых находятся антитела, доставшиеся от матери. Через некоторое время материнские антитела выводятся из организма, и особь становится уязвима для инфекции, т.е. переходит в состояние «уязвима» (8). Также в этом состоянии изначально находятся особи, родившиеся без пассивного иммунитета. При контакте уязвимой особи (Б) с особью, распространяющей заболевание (в состоянии I)
происходит заражение, и особь переходит в латентную стадию заражения (группа Е). Особи на этой стадии считаются зараженными, но при контакте с ними передачи инфекции не происходит. После истечения латентного периода особи переходят в состояние распространения инфекции (I). Это единственное состояние данной модели, находясь в котором особи заражают других. По истечению периода болезни особь излечивается и получает активный иммунитет, осуществляется переход из состояния I в состояние R. Особи, обладающие активным иммунитетом, не подвержены заражению и переходу в какие-либо другие состояния. В некоторых моделях предусматривается возможность потери иммунитета, т.е. перехода из состояния R в состояние S [70].
Некоторые модели для тех болезней, для которых длительность протекания сравнима со временем жизни особи, учитывают изменение численности популяции: рождение и смерть особей. Для таких моделей предусматривается появление новых особей в состояниях M или S, а также смерть особей, находящихся в любых состояниях.
Выбор состояний для конкретной модели обычно зависит от особенности моделируемого заболевания, а также из цели модели. Состояния пассивного иммунитета M и латентной стадии Е часто не используются, т.к. не имеют большого значения для взаимодействия уязвимых и зараженных. Название конкретной модели составляется из букв, символизирующих состояния в той последовательности, в которой изменяются состояния членов популяции: MSEIR, MSEIRS, SEIR, SEIRS, SIR, SIRS, SEI, SEIS, SI, и SIS. Наличие S в конце последовательности говорит о том, что в данных моделях зараженная или излеченная особь может вернуться в состояние уязвимой (S) [71].
Модель MSEIR редко непосредственно используется для исследований, обычно на её основе получают более простые модели. Достоинства модели:
большое количество состояний, возможность учитывать наличие двух видов иммунитета и латентную стадию распространения заболевания. Большое количество состояний является также и недостатком модели: модель является слишком общей для её применения при моделировании конкретных заболеваний.
2.1.2. Модель 81 (Зшре^есМ^е^ес!)
Простейшей моделью распространения эпидемий является модель 81. Численность популяции постоянна и равна N. Особи могут находиться в одном из двух состояний - Б и I [72].
Переход между состояниями осуществляется следующим образом: из состояния S возможен переход только в состояние I. Из состояния I переход невозможен (рис. 2.1.2).
Вероятность перехода особи из состояния S в I при контакте с инфицированной особью в единицу времени равно (3. Вероятность контакта всех особей считается равной.
Зараженная особь имеет вероятность передачи инфекции, равную ¡3N в единицу времени.
Также в единицу времени зараженная особь контактирует с S/N уязвимых особей популяции. В таком случае количество зараженных в единицу времени равно (0N)(S/N), что дает прирост количества зараженных узлов в единицу времени равный (¡jN)(S/N)I = psi.
Следовательно, динамика эпидемии описывается следующим дифференциальным уравнением:
Р
Рис. 2.1.2. Переходы между состояниями в модели SI
(И сИ
= /Ш
Поскольку численность популяции постоянна, то 5" + / = И, а значит
сИ
Тг = №- О'
Данное уравнение имеет аналитическое решение [72].
N
/(0 =
-рж
Где /о - это количество зараженных узлов в начальный момент времени 1 = 0. В данной модели эпидемия возникает в любом случае, имея предел Нш^оо/СО = N.
Вид данной функции при различных значениях параметров приведен на рис. 2.1.3
Рис. 2.1.3. Зависимость количества зараженных узлов от времени для модели 81. По оси х отложено время в периодах размножения, по оси у - доля зараженных узлов в сети. График взят из работы [72].
Модель 81 является наиболее простой моделью классической эпидемиологии. Достоинства модели: простота, наличие аналитического решения. Недостатки: модель не учитывает ни возможность лечения, ни
наличие или приобретение иммунитета, во всех случаях предсказывает полное заражение популяции.
2.1.3. Модель SIS (Suspected-Infected-Suspected)
Ещё одной простой моделью с двумя состояниями является модель SIS. В ней используются те же состояния S и I, отличие от SI заключается в том, что из состояния I особи могут переходить обратно в состояние S. Диаграмма перехода между состояниями в этом случае имеет вид, указанный на рис.
Рис. 2.1.4. Переходы между состояниями в модели SIS
Система уравнений математической модели выглядит следующим образом [72]:
Где (3 - скорость распространения инфекции, которая характеризует вероятность передачи инфекции от зараженной особи к незараженной в единицу времени, а у - скорость излечения, т.е. вероятность излечения зараженной особи в единицу времени.
Поскольку количество особей в популяции считается постоянным, т.е.
2.1.4
(2.1.1)
(II
О ** S(t) + щ = я
ей dl
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Математические модели инфекционной динамики на основе предфрактальных графов2011 год, кандидат физико-математических наук Утакаева, Ирина Хайрлыевна
Методы и средства противодействия атакам на компьютерные системы, основанным на использовании уязвимостей программного кода2012 год, кандидат технических наук Гуров, Дмитрий Валерьевич
Развитие принципов функционирования систем обнаружения сетевых вторжений на основе модели защищенной распределенной системы2005 год, кандидат технических наук Ушаков, Дмитрий Вячеславович
Разработка методов и программных средств выявления аномальных состояний компьютерной сети2005 год, кандидат технических наук Дружинин, Евгений Леонидович
Модель и метод анализа схожести и определения авторства вредоносного кода2013 год, кандидат технических наук Стремоухов, Всеволод Дмитриевич
Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Бабанин, Дмитрий Владимирович
ЗАКЛЮЧЕНИЕ. ОБЩИЕ ВЫВОДЫ
1. Проведен анализ различных видов компьютерных вирусов и исследованы механизмы миграции червей и их связь со структурой сети, что позволило сформулировать требования к математическим моделям распространения вирусов, установить связь между характеристиками развития вирусной атаки и параметрами структуры.
2. Исследованы существующие математические модели, используемые для моделирования развития вирусных эпидемий в компьютерных сетях, что позволило определить их достоинства и недостатки и установить, что в них отсутствует явное представление структуры компьютерной сети. Это не позволяет сравнивать различные варианты структур с помощью моделей.
3. Разработан комплекс характеристик развития процесса вирусной атаки, позволяющих исследовать процесс в зависимости от особенностей структуры сети и механизмов распространения вирусов. Данный комплекс может быть использован для разработки критериев структурной защищенности компьютерных сетей от вирусных эпидемий.
4. Разработан комплекс математических моделей, позволяющих вычислять характеристики процесса развития вирусных атак для заданных параметров структуры компьютерной сети.
5. Разработано специализированное моделирующее программное обеспечение для оценки защищенности сетей от вирусных эпидемий, расширяющее и дополняющее возможности математических моделей.
Результаты диссертации могут быть полезны разработчикам и администраторам компьютерных сетей при формировании сетевой структуры, максимально защищенной от вирусных атак.
Список литературы диссертационного исследования кандидат технических наук Бабанин, Дмитрий Владимирович, 2011 год
ЛИТЕРАТУРА
1. Уголовный кодекс Российской Федерации. — Москва: Омега-Л,
2011.
2. Голуб, В .А. Проблема корректного определения термина «вредоносная программа» // В.А. Голуб, М.В. Овчинникова. Вестник Воронежского государственного университета. 2008, № 1. С. 138-141.
3. Разумов, С.А. Комментарий к УК РФ / С.А. Разумов [и др.]; отв. ред. Лебедев В.М. — 3-е изд., доп. и испр. — М. : Юрайт-Издат, 2004. 288 е..
4. Крылов, В.В. Информационные компьютерные преступления / В.В. Крылов. — М. : Издательская группа Инфра-М; Норма, 1997.
5. Середа, С.А. Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ» / Середа С.А., Федотов Н.Н. // Закон. — 2007. — июль.
6. Касперский, Е.В. Компьютерные вирусы: что это такое и как с ними боросться / Е.В. Касперский. — М. : Юрайт-Издат, 2004. 223 е..
7. Зегжда, Дмитрий. Векторно-операторная модель компьютерных вирусов. Компьютер Пресс. Октябрь 1993, стр. 47-48.
8. Savage, Marcia. Cost of Computer Viruses Top $10 Billion Already This Year [Electronic resource] / Marcia Savage, CRN. — Mode of access:
http://www.crn.com/news/security/18836552/cost-of-computer-viruses-top-10-billion-already-this-year.htm.
9. Evers, Joris. Computer crime costs $67 billion, FBI says / Joris Evers // CNET News. — Mode of access: http://news.cnet.com/Computer-crime-costs-67-billion,-FBI-says/2100-7349_3-6028946.html.
10. Бабанин, Д.В. Параметры математической модели для различных типов компьютерных вирусов / Д.В. Бабанин // Научно-техническая конференция студентов, аспирантов и молодых специалистов МИЭМ: тезисы докладов. — М. : МИЭМ, 2008. — 495 с. — С. 103—104.
11. Бабанин, Д.В. Стратегии защиты локальной сети от компьютерных вирусов / Д.В. Бабанин // Информационные, сетевые и телекоммуникационные технологии: сборник научных трудов / под ред. проф. д.т.н. Жданова B.C. — М. : МИЭМ, 2009 — 311 с. — С. 299—311.
12. Cohen, F. Computer viruses: Theory and experiments. Computers &
security. 1987, T. 6, 1, стр. 22-35.
13. ГОСТ P 51188—98. Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. — Введ. 14.07.1998. — М.: Изд-во стандартов, 1998. — 18 с.
14. Карасик, И. Типология вирусов / И. Карасик // Интеркомпьютер. — 1989. — №2.
15. Безруков, Н. Классификация вирусов; Попытка стандартизации // Интеркомпьютер. — 1990. — № 2.
16. Касперски, Крис. Записки исследователя компьютерных вирусов. — СПб : Питер, 2006. стр. 316. ISBN 5-469-00331-0.
17. Касперский, Е. Компьютерные вирусы в MS DOS. — М. : Эдель, 1992. стр. 176 . ISBN 5-85308-001-6.
18. Собейкис, В. Азбука хакера 3. Компьютерная вирусология / Варфоломей Собейкис. — М. : Майор, 2006. — 512 е., ил. — (Серия книг «Популярный компьютер»). — ISBN 5-98551-013-1.
19. Гордон, Я. Компьютерные вирусы без секретов / Ян Гордон. — М. : Новый издательский дом, 2004. — 320 с. — ISBN 5-9643-0044-8.
20. Козлов, Д. А. Энциклопедия компьютерных вирусов / Козлов Д. А., Парандовский А. А., Парандовскиий А. К.— М. : Солон-Р, 2010. — 457 с.
ISBN: 5-93455-091-8.
21. Гульев, И. Компьютерные вирусы. Взгляд изнутри. — Москва:
ДМК, 1998.
22. Хижняк, П.Л. Пишем вирус... и антивирус / Хижняк П.Л.; под общ. ред. И.М. Овсянниковой. — М. : ИНТО, 1991. — 90 с.
23. Ludwig, Mark. The Giant Black Book of Computer Viruses, б.м. :
American Eagle Publications, Inc, 1995.
24. Касперски, Крис. Компьютерные вирусы изнутри и снаружи. — СПб : Питер, 2007. стр. 527. ISBN 5-469-00982-3.
25. Solomon, Alan. Viruses & Polymorphism / Solomon, Alan // Proceedings of the International Virus Protection and Information Security
Conference. — Mar. 31, 1994.
26. Карасик, Игорь. Математические аспекты компьютерных вирусов / Игорь Карасик // Компьютер Пресс. Октябрь 1992. С. 51-56.
27. Cohen, F. В. A short course on computer viruses / F. В. Cohen. — New
York : John Wiley & Sons, 1994.
28. Касперски, Крис. Техника сетевых атак. Приемы противодействия /Крис Касперски. — М. : Солон-Р, 2001. 397 е.. ISBN 5-93455-078-0.
29. Проблемы безопасности программного обеспечения / Елисеев Е.М., Зегжда Д.П., Зегжда П.Д. [и др.]; под редакцией проф. Зегжды П.Д. — СПб.: Издание СПбГТУ, 1995. — 201 с.
30. Mackie, A. Nimda worm analysis / A. Mackie, J. Roculan, R. Russel, M. Van Velzen // Security Focus, Incident Analysis Report, Version. — 2002. — vol. 2.
31. Ющук, H. Д. Эпидемиология: Учеб. пособие / H. Д Ющук, Ю. В. Мартынов. — 2-е изд., перераб. и доп. — М. : Медицина, 2003. 448 е.: ил..
32. David Moore, Colleen Shannon, Jeffery Brown. Code-Red: a case study on the spread and victims of an Internet worm. Proceedings of the Second the ACM Internet Measurement Workshop. 2002.
33. Moore, David. The Spread of the Code-Red Worm (CRv2) [Electronic resource] / David Moore, Colleen Shannon // The Cooperative Association for Internet Data Analysis. — Publication date: 18.11.2008. — Mode of access: http://www.caida.org/research/security/code-red/coderedv2_analysis.xml. — Date of access: 16.07.2011.
34. Leveille, Jasmin. Epidemic Spreading in Technological Networks. — New York : Sciences, 2002.
35. Staniford, S. How to own the internet in your spare time [Electronic resource] / S. Staniford, V. Paxson, N. Weaver // Proceedings of the 11th USENIX Security Symposium. — 2002. — Mode of access: http://www.icir.org/vern/papers/cdc-usenix-sec02/.
36. Weaver, N. A taxonomy of computer worms / Weaver N., Paxson V., Staniford S., Cunningham R. // Proceedings of the 2003 ACM workshop on Rapid Malcode. — Washington: ACM, 2003. стр. 11-18.
37. Inside the slammer worm / David Moore, Vern Paxson, Stefan Savage [et al.] // IEEE Magazine of Security and Privacy. — July/August 2003. — pp. 3339.
38. Chen, Z. Modeling the spread of active worms / Z. Chen, L. Gao, K. Kwiat // IEEE INFOCOM 2003. Twenty-Second Annual Joint Conference of the IEEE Computer and Communications Societies. — 2003. — pp. 332-383.
39. Staniford, Stuart. The top speed of flash worms / Stuart Staniford, David Moore, Vern Paxson, Nicholas Weaver // Proceedings of the 2004 ACM workshop on Rapid malcode (WORM '04) / Ed. Vern Paxson. — Washington : ACM Press, 2004. 2004.
40. Williamson, M.M. Throttling viruses: Restricting propagation to defeat malicious mobile code / M.M. Williamson. // 18th Annual Computer Security Applications Conference: proceedings. — Las Vegas : IEEE Computer Society, 2002.
41. Shannon, Colleen. The Spread of the Witty Worm / Colleen Shannon, David Moore // The Cooperative Association for Internet Data Analysis. — Publication date: 27.07.2010. — Mode of access:
http ://www. caida. org/research/security/witty/.
42. Spafford, Eugene H. The internet worm program: an analysis. ACM SIGCOMM Computer Communication Review. 19, 1 (January 1989), pp. 17-57. 1989.
43. Eichin, Mark W. With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988 / Mark W. Eichin, John A. Rochlis. // IEEE Symposium on Security and Privacy, p. 326. 1989.
44. Моисеенко, И. Суета вокруг Роберта или Моррис-сын и все, все, все / Моисеенко И. // КомпьютерПресс, 1991, № 8-9.
45. Spafford, Eugene. An Analysis of the Internet Worm / Eugene Spafford // Proc. European Software Engineering Conference. — Sep. 1989. — pp. 446468.
46. Edwards, J. Next-generation viruses present new challenges / J. Edwards// Computer. — 2001. —vol. 34. — pp. 16-18.
47. Moore, David. The Nyxem Email Virus: Analysis and Inferences [Electronic resource] / David Moore, Colleen Shannon // The Cooperative Association for Internet Data Analysis. — Publication date: 18.11.2008. — Mode of access: http://www.caida.org/research/security/blackworm/.
48. The Blaster Worm: Then and Now / M. Bailey, E. Cooke, F. Jahanian et al. // IEEE Security and Privacy Magazine, 2005. — vol. 3. — pp. 26-31.
49. Чирилло, Дж. Обнаружение хакерских атак. Для профессионалов (+CD). — СПб. : Питер, 2002. 864 е.: илл.. ISBN 5-318-00533-0.
50. Garber, L. Melissa virus creates a new type of threat. IEEE Computer, vol. 32, Jun. 1999, pp. 16-19.
51. Bishop, M. Analysis of the ILOVEYOU Worm. Computer Fraud, Oct. 2000, pp. 4-5.
52. Email-Worm.Win32.Klez.h [Электронный ресурс] // SECURELIST. — Режим доступа: http://www.securelist.com/ru/descriptions/6882810/Email-Worm.Win32.Klez.h.
53. Levy, E. The making of a spam zombie army. IEEE Security & Privacy Magazine, vol. 1, Jul. 2003, pp. 58-59.
54. Биячуев, T.A. Безопасность корпоративных сетей / Т.А. Биячуев, под ред. Л.Г. Осовецкого. - СПб: СПб ГУ ИТМО, 2004.- 161 с.
55. Access for sale: a new class of worm. Schechter, Stuart и Smith, Michael. 2003. Proceedings of the 2003 ACM workshop on Rapid malcode. стр. 19-23.
56. Farwell, J. Stuxnet and the Future of Cyber War / J. Farwell; R. Rohozinski // Survival, vol. 53, Feb. 2011, pp. 23-40.
57. Kerr, Paul K. The Stuxnet Computer Worm: Harbinger of an Emerging Warfare Capability / Paul K. Kerr, John Rollins, Catherine A. Theohary // CRS Report for Congress R41524. — Washington DC: Congressional Research Service, 2010.
58. Малкж, А.А. Информационная безопасность. Концептуальные и методологический основы защиты информации / А.А. Малкж. — М. : Новое издание, 2003. —386 с.
59. Мельников, В.П. Информационная безопасность и защита информации: учеб. пособие для студ. высш. учеб. заведений / В.П.
Мельников, С.А. Клейменов, A.M. Петраков; под ред. С.А. Клейменова — 3-е изд., стер. — М.: Издательский центр "Академия", 2008. — 336 с.
60. Галатенко, В.А. Основы информационной безопасности / В.А. Галатенко — М.: Изд-во "Интернет-университет информационных
технологий - ИНТУИТ.ру", 2003. - 280 е.: ил.
61. ГОСТ Р 53114—2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. — Введ. 01.10.2009. — М. : Стандартинформ, 2009. — 20 с.
62. Оглтри, Т. Firewalls. Практическое применение межсетевых экранов : [пер. с англ.] / Т. Оглтри. — М.: ДМК Пресс, 2001. — 400 е.: ил. — (Серия «Защита и администрирование»).
63. Безопасность сети на основе Windows 2000. Учебный курс MCSE / Пер. с англ. — М.: Издательско-торговый дом «Русская Редакция», 2001. — 912 стр.: ил.
64. Зима, В.М. Безопасность глобальных сетевых технологий / Зима В.М., Молдовян А.А., Молдовян Н.А. — СПб.: БХВ-Петербург, 2000. — 320 е.: ил.
65. Бабанин, Д.В. Результаты моделирования защищенности сети от вирусов / Д.В. Бабанин // Научно-техническая конференция студентов, аспирантов и молодых специалистов МИЭМ: тезисы докладов. — М. : МИЭМ, 2010. — 457 с. — С. 88—89.
66. Бабанин, Д.В. Связь антивирусной защищенности компьютерной сети с её структурой / Д.В. Бабанин // Математическое и программное обеспечение вычислительных систем: межвуз. сб. науч. тр. / Под ред. А.Н. Пылькина — Рязань : РГРТУ, 2011. 224 с. — С. 104—109.
67. Бабанин, Д.В. Влияние структуры сети на защищенность от компьютерных вирусов / Д.В. Бабанин // Качество. Инновации. Образование. — № 11,2011. —С. 69-74.
68. Флетчер, Р. Клиническая эпидемиология. Основы доказательной медицины / Р. Флетчер, С. Флетчер, Э. Вагнер. — М.: Медиа Сфера, 1998. —
ISBN 5-89084-011-8.
69. Eames, K.T.D. Contact tracing and disease control / K.T.D. Eames, M.J. Keeling. // Proceedings. Biological sciences / The Royal Society 270, no. 1533. 2003.
70. Hethcote, Herbert W. The Mathematics of Infectious. SIAM Review. T. 42, 4, стр. 599-653. http://www.math.rutgers.edu/4eenheer/hethcote.pdf.
71. Bailey, N. T. J. The mathematical theory of infectious diseases and its applications. 2nd edition. —New York : Hafner Press, 1975.
72. Захарченко, A.A. Черводинамика: причины и следствия. Защита информации. Конфидент. 2004, № 2, стр. 50-55.
73. Serazzi, G. Computer virus propagation models / Giuseppe Serazzi, Stefano Zanero // Performance Tools and Applications to Networked Systems / Eds.: Calzarossa, Maria Carla; Gelenbe, Erol. — Springer Berlin Heidelberg, 2004. — pp. 26-50.
74. Lloyd, A. L. How Viruses Spread among Computers and People / Alun L. Lloyd and Robert M. May // Science, New Series. — Vol. 292 . — № 5520 (May 18,2001). —pp. 1316-1317.
75. Абрамов, H.A. Выбор моделей распространения ВПО при разработке модели глобальной сети / Н.А. Абрамов, А.И. Качалин // Методы и средства обработки информации. Труды третьей Всероссийской научной конференции / под ред. Л.Н. Королева. — М.: МГУ, 2009. — С. 433-438.
76. Таненбаум, Э. Компьютерные сети / Э. Таненбаум. — 4-е изд. — СПб : Питер, 2008. — 992 е.: ил..
77. Zou, С. Code RedWorm Propagation Modeling and Analysis / Cliff Changchun Zou, Weibo Gong, Don Towsley // Proceedings of the 9th ACM
conference on Computer and communications security. — Washington, 2002. стр. 138_147. http://portal.acm.org/citation.cfm?id=586130.
78. Williamson, Matthew M. An epidemiological model of virus spread and cleanup [Electronic resource]/ Matthew M. Williamson, Jasmin Leveille // Information Infrastructure Laboratory, HP Laboratories Bristol. — 2003. — vol. 27. _ Mode of access: http://citeseerx.ist.psu.edu/viewdoc/download?
doi=10.1.1.58.6087.
79. Новиков, C.B. Модель распространения вирусных атак в сетях
передачи данных общего пользования на основе расчета длины гамильтонова пути : дис. ... канд. тех. наук : 05.13.19 : защищена 19.02.2008 / Новиков Сергей Валерьевич. — М., 2008. — 98 с. — Библиогр.: с. 95—98. — 04200809272..
80. Weaver, N. Potential strategies for high speed active worms: A worst case analysis. Whitepaper, UC Berkeley. 2002, стр. 1-9. http://borax.polux-
hosting.com/madchat/vxdevl/papers/avers/worms.pdf.
81. Kephart, J. O. How Topology Affects Population Dynamics. Artificial Life III. 1994.
82. Garetto, M. Modeling malware spreading dynamics / Garetto, M., W. Gong, D. Towsley // IEEE INFOCOM 2003. Twenty-second Annual Joint Conference of the IEEE Computer and Communications Societies. — 2003.
83. Yook, S.-H. Modeling the Internet's large-scale topology / Yook S.-H., Jeong H., Barabasi A.-L. // Proceedings of the National Academy of Sciences of the United States of America. — 2002. — vol 99; issue 21.
84. May, R. M. Infection Dynamics on Scale-free Networks / R. M. May, A. L. Lloyd // Physical Review E. — 2001. — vol. 64.
85. Moreno, Y. Epidemic Outbreaks in Complex Heterogeneous Networks / Y. Moreno, R. Pastor-Satorras, A. Vespignani // The European Physical Journal B. — 2002. —pp. 521-529.
86. Nikoloski, Z. Correlation Model of Worm Propagation on Scale-Free Networks / Z. Nikoloski, N. Deo, L. Kucera // Complexus. — 2006. — vol. 3, №
1-3.—pp. 169-182.
87. Pastor-Satorras, R. Epidemics and Immunization in Scale-free Networks / R. Pastor-Satorras, A. Vespignani // Handbook of Graphs and Networks: From the Genome to the Internet / Stefan Bornholdt, Heintz Georg Schuster (Eds.) — Weinheim: Wiley-VCH, 2003.
88. Keeling, M.J. Networks and epidemic models / M.J. Keeling, K.T.D. Eames // Journal of the Royal Society Interface. — vol. 2. — Sep. 2005. стр. 295307.
89. Бабанин, Д.В. Модели распространения компьютерных вирусов на основе цепей Маркова / Д.В. Бабанин // Математическое и программное обеспечение вычислительных систем: Межвуз. сб. науч. тр. / Под ред. А.Н. Пылькина - М.:Горячая линия - Телеком, 2009. 156 с. — С. 89—93.
90. Бабанин, Д.В. Сравнение моделей распространения компьютерных вирусов, основанных на цепях Маркова / Д.В. Бабанин // Математическое и программное обеспечение вычислительных систем: межвуз. сб. науч. тр. / под ред. А.Н. Пылькина — М. : Горячая линия - Телеком, 2009. 148 .
91. Бабанин, Д.В. Оценка структурной защищенности компьютерной сети от вирусных атак / Д.В. Бабанин // Математическое и программное обеспечение вычислительных систем: межвуз. сб. науч. тр. / Под ред. А.Н. Пылькина — Рязань : РГРТУ, 2011. 224 с. — С. 133—138.
92. Бабанин, Д.В. Использование цепей Маркова для моделирования распространения вирусов в компьютерных сетях / Д.В. Бабанин // Стохастическое и компьютерное моделирование систем и процессов : сб. науч. ст. / ГрГУ им. Я. Купалы ; редкол: JI.B. Рудикова (гл. ред.) [и др.]. — Гродно :ГрГУ, 2011. —С. 206-209.
93. Бабанин, Д.В. Математические модели распространения вирусов в компьютерных сетях различной структуры / Д.В. Бабанин, С.М. Бурков, Я.М. Далингер // Информатика и системы управления. - № 4 (30), 2011. - С. 3 - 11.
94. Ope, О. Теория графов / О. Ope. — M : Наука, 1968.
95. Уилсон, Р. Введение в теорию графов : [пер. с англ.] / Р. Уилсон; пер. с англ. И. Г. Никитиной; под ред. Г. П. Гаврилова. — М. : Мир, 1977.
96. Харари, Ф. Теория графов: [пер. с англ.] / Ф. Харари. — M : Мир, 1973. 300 е..
97. Татт, Уильям. Теория графов [пер. с англ.] / У.Татт; пер. Г. П.Гаврилов. — М. : Мир, 1988. — 424 с. : ил. — Пер. изд. : Graph Theory / W. T. Tutte. — Cambridge , 1984. — ISBN 5-03-001001-7.
98. Харари, Френк. Теория графов: [пер. с англ.] / Ф. Харари; ред. Г. П.Гаврилов; пер. В. П.Козырев. — M : Мир, 1973. — 300 с. : ил. — Пер. изд. : Graph Theory / F. Harary. — Reading, 1969.
99. Самарский, A.A. Математическое моделирование. Идеи. Методы. Примеры / A.A. Самарский, А.П. Михайлов. — М.: Физматлит, 2005. — 320 с.
100. Свами, М. Графы, сети и алгоритмы / М. Свами, К. Тхуласираман.
— М.:Мир, 1984. —455 с.
101. Паркер, Т. TCP/IP. Для профессионалов. / Паркер Т., Сиян К. —
3-е изд. — СПб : Питер, 2004. стр. 57-65.
102. Столлингс, В. Компьютерные сети, протоколы и технологии Интернета / Вильям Столлингс. — СПб.: БХВ-Петербург, 2005. — 832 с.
103. Суворов, А.Б. Телекоммуникационные системы, компьютерные сети и Интернет / А.Б. Суворов. — М.: Феникс, 2001. — 384 с.
104. Ревюз, Д. Цепи Маркова / Ревюз, Д. — М. : РФФИ, 1997. — 432 с.
— ISBN 5-88929-036-3.
105. Кемени, Дж. Конечные цепи Маркова / Кемени Дж., Снелл Дж. — М.: Наука, 1970.
106. Гмурман, В.Е. Теория вероятностей и математическая статистика / В.Е. Гмурман. — М.: Высшая школа, 1977. — 479 с.
107. Новиков, Ю.В. Локальные сети: архитектура, алгоритмы, проектирование / Ю.В. Новиков, C.B. Кондратенко. — М. : ЭКОМ, 2000. — 312 е.: илл.
108. Вишневский, В.М. Теоретически основы проектирования компьютерных сетей / В.М. Вишневский — М.: Техносфера, 2003. — 512 с.
109. Зегжда, Д.П. Защита информации в компьютерных системах. Теоретические аспекты защиты от вирусов / Зегжда Д.П., Матвеев В.А., Молотков C.B. [и др.]; под редакцией проф. Э.М. Шмакова. — СПб.:
СПбГТУ, 1993. 101 с.
110. Зегжда, Д.П. Как противостоять вирусной атаке / Зегжда Д.П., Мешков A.B., Семьянов П.В. [и др.] — СПб.: BHV Санкт-Петербург, 1995. — 320 с.
111. Зегжда, П.Д. Современные аспекты обеспечения безопасности информационно-телекоммуникационных систем / П.Д. Зегжда, В.К. Новиков, В.П. Просихин, И.П. Харченко. // Проблемы информационной безопасности.
Компьютерные системы. 2002.
112. Хорстманн, Кей С. Java 2. Библиотека профессионала, том 1. Основы / Кей С. Хорстманн, Гари Корнелл — 8-е изд. — М.: Вильяме, 2008. — 816 с. — ISBN 978-5-8459-1378-4, ISBN 978-0-13-235476-9.
113. Портянкин, И. A. Swing: Эффектные пользовательские интерфейсы / И.А. Портянкин. — 2-е изд. — СПб : «Лори», 2011. — 600 с. — ISBN 978-5-85582-305-9.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.