ISSN 0236-235X (P)
ISSN 2311-2735 (E)

## Next issue

1
Publication date:
16 March 2021

2021
-->

## A mathematical model of computer network antivirus protection

Date of submission article: 2016-06-14
UDC: 004.942+ 518.6
The article was published in issue no. № 4, 2016 [ pp. 125-128 ]
Abstract:One of the effective approaches to analyzing computer systems in the context of active computer viruses is mathematical modeling. Its advantage is in fast modeling of various scenarios for particular parameters of a computer network. Computational results obtained by these models allow analyzing viruses’ behavior in networks consisting of any number of elements. The article considers a mathematical model of computer network protection from a malicious code based on MSEIRS model. This model is multifaceted and global as it takes into account many factors influencing a network state: timing of infection for specific viruses and network treatment using an antivirus, medium immunization rate and involuntary computer shut down. The selected control criterion characterizes the best state of the system, when most hosts are immune to the impact of network viruses. The paper presents the discrete approximation of the optimal control problem. The result of the research model is a developed program that allows you to competently evaluate the security of the network and to use effective methods of dealing with malicious code if necessary. The authors conducted and analyzed computational experiments. For this they considered two cases: a progressive virus transmission in time and network (epidemic) and the absence of significant numbers of infected computers’ fluctuations.
Аннотация:Одним из эффективных подходов к анализу процессов функционирования компьютерных систем в условиях активного распространения вредоносных программ является математическое моделирование. Его преимущество заключается в большой скорости моделирования различных сценариев для конкретных параметров компьютерной сети. Численные результаты, получаемые посредством таких моделей, позволяют анализировать поведение вирусов в сетях, состоящих из любого числа элементов. В статье рассмотрена математическая модель защиты компьютерной сети от вредоносного кода на основании модели MSEIRS. Данная модель является разносторонней и всеобщей, так как учитывает многие факторы, влияющие на состояние сети: временные параметры заражения для конкретных вирусов и лечения сети с помощью антивируса, средняя скорость иммунизации и непроизвольное отключение компьютеров от сети. Выбран критерий управления, характеризующий наилучшее состояние системы, когда большинство хостов невосприимчивы к воздействию сетевых вирусов. Построена дискретная аппроксимация исходной задачи оптимального управления. Результатом исследования модели является разработанная программа, которая позволяет грамотно оценить защищенность сети и при необходимости применить эффективные методы борьбы с вредоносным кодом. Проведены и проанализированы вычислительные эксперименты. Для этого рассмотрены два случая: прогрессирующее во времени и сети распространение вируса (эпидемия) и отсутствие существенных колебаний численности инфицированных компьютеров.
 Authors: N.A. Semykina (semykina.tversu@yandex.ru) - Tver State University (Associate Professor), Tver, Russia, Ph.D, I.V. Shavykina (inna.shavykina@mail.ru) - R&D Institute Centerprogramsystem (Software Engineer), Tver, Russia Keywords: optimal control, differential equations, nonlinear system, mseirs model, mathematical model, computer virus Page views: 8235 PDF version article Full issue in PDF (16.17Mb)Download the cover in PDF (0.62Мб)

Font size:       Font:

В настоящее время для обработки информации, общения и обмена данными повсеместно используются компьютерные сети. Однако благодаря Интернету и большой пропускной способности систем связи распространение вирусов превращается в сетевые эпидемии. Поэтому остро встает вопрос о защите компьютерных сетей и информации. По статистическим данным [1], опубликованным на сайте Лаборатории Касперского, 95 % отечественных организаций как минимум один раз подвергались внешней компьютерной атаке. Россия входит в двадцатку стран, подвергшихся наибольшему риску заражения через Интернет, и занимает одиннадцатое место в мире по уровню зараженности компьютеров. С каждым годом положение в IT-сфере ухудшается: появляется большое количество новых вирусов и, как следствие, растут материальные потери. Важной научной задачей в данной ситуации является построение действенной защиты компьютерной сети. Для этого необходимо исследовать причины и механизмы распространения вирусов. Одним из способов исследований является математическое моделирование распространения вредоносных программ.

Исследования многих авторов показали, что наиболее адекватно распространение вируса описывают модели, основанные на математической теории биологических эпидемий. Большинство исследователей используют для описания компьютерной эпидемии модели типа SI, SIR и SEIR [2–5]. В данной статье рассмотрим модель MSEIRS [6], которая достаточно полно описывает развитие эпи- демии для популяции людей. Например, модель MSEIRS предусматривает латентный период заболевания, то есть когда объект заражен, но вирус еще не распространяет. Модифицируем эту биологическую модель для наиболее правильного описания деструктивных воздействий вируса на работу компьютерной сети какой-либо организации при условии, что подключаемые новые узлы изначально обеспечены антивирусной защитой. Согласно этой модели, каждый хост компьютерной сети может находиться в одном из пяти состояний: уязвимом, вновь подключенном с установленным антивирусным ПО, инфицированном, латентном (инфицирован, но не распространяет вирус), невосприимчивом к вирусу. Работа этой модели схематично отображена на рисунке 1.

Для описания модели использованы следующие переменные и постоянные величины: N(t) – общее количество машин в сети в момент времени t; M(t) – количество вновь подключаемых компьютеров в момент времени t; S(t) – количество уязвимых узлов в момент времени t; E(t) – количество инфицированных узлов (при этом вирус не наносит какого-либо вреда зараженному узлу) в момент времени t (латентная стадия); I(t) – количество инфицированных узлов в момент времени t; R(t) – количество невосприимчивых узлов в момент времени t; θ – коэффициент, характеризующий скорость прироста новых уязвимых узлов; β – коэффициент, характеризующий скорость заражения уязвимых узлов; μ – коэффициент, характеризующий скорость отключения узлов от сети и не зависящий от вируса; δ – коэффициент, характеризующий скорость, с которой невосприимчивые хосты вновь становятся уязвимыми; ε – коэффициент, характеризующий средний период, когда компьютер является зараженным, но сам вирус неактивен; γ – параметр, характеризующий скорость обновления антивирусных баз.

В любой момент времени будет выполняться условие M(t)+S(t)+E(t)+I(t)+R(t) = N(t).

Процесс деструктивных воздействий вируса на компьютерную сеть описывается системой дифференциальных уравнений с соответствующими начальными условиями:

M(0) = M0,

S(0) = S0,

E(0) = E0,                        (1)

I(0) = I0,

R(0) = R0.

Непрерывные функции M(t), S(t), E(t), I(t), R(t) будем считать фазовыми переменными. Коэффициент γ будем рассматривать как кусочно-непрерывную функцию управления, удовлетворяющую ограничению

0£g(t)£Ymax£1, tÎ[0, T],                                     (2)

где Ymax – максимальная норма управлений, характеризующая технические и экономические возможности организации.

Для оценки защищенности компьютерной сети будем исходить из требования, что в конечный момент времени рассматриваемого периода большинство компьютеров (более 80 %) невосприимчивы к заражению. Для построения функционала используем метод штрафных функций [7], тогда задача управления будет заключаться в минимизации функционала

(3)

где N(T) = M(T)+S(T)+E(T)+I(T)+R(T) – общее количество компьютеров в сети в конечный момент времени; А > 0 – штрафной параметр.

В результате получаем непрерывную задачу оптимального управления (1)–(3). С помощью принципа максимума Понтрягина [8] можно свести исходную задачу (1)–(3) к решению краевой. Однако получение решения краевой задачи в аналитическом виде довольно сложно и поэтому требует применения численных методов.

Для численного решения задачи (1)–(3) построим ее дискретную аппроксимацию, используя явную разностную схему [9, 10]. На отрезке [0, T] введем равномерную сетку {tk = Dtk, 0 £ k £ L} с шагом Dt = T/L. Обозначим значения фазовых функций и функции управления в точках разбиения следующим образом: M(tk) = Mk, S(tk) = Sk, E(tk) = Ek, I(tk) = Ik, R(tk) = Rk, γ(tk) = γk, k=.

Дискретная задача оптимального управления при k=примет вид

(4)

Для построения приближенного оптимального решения воспользуемся методом проекции градиента [9]. При этом рекуррентные формулы для определения сопряженных векторов получаем из условий стационарности функции Лагранжа [7, 8].

На основе численных методов решения задач оптимального управления было разработано ПО в среде Lazarus. Пользователь может добавлять, удалять и редактировать параметры сети и антивирусного ПО. Разработанная программа позволяет представлять информацию в удобной для анализа форме в виде таблиц и графиков. Интерфейс главного окна программы (окно ввода данных) и окна «Визуализация решения» представлен по ссылке http://www.swsys.ru/uploaded/image/2016-4/2016-4-dop/5.jpg. В окне «Визуализация решения» отображен график обновления антивирусных баз. В главном окне программы расположены поля для ввода параметров сети и антивирусного ПО.

В данной работе приведено исследование нештатной ситуации работы сети (активное развитие эпидемии компьютерного вируса) в течение 24 часов. Рассматриваемый период был разбит на 50 равных отрезков времени. В таблицах 1 и 2 представлены вводимые экспериментальные данные.

Таблица 1

Типы компьютеров сети

Table 1

Network computer types

 Состояние компьютеров Количество Всего 75 000 Вновь вводимые в эксплуатацию 0 Подвержены вирусу 74 097 Латентные 302 Зараженные 101 С антивирусом 500

Таблица 2

Параметры антивирусного ПО

Table 2

Antivirus software parameters

 Параметр ПО Значение Коэффициент периода действия антивирусных баз 0,01 Коэффициент распространения вируса 0,06 Коэффициент отключения компьютеров 0,00001 Коэффициент подключения новых компьютеров 0,00001 Коэффициент обновления антивирусных баз (начальное значение) 0,01 Коэффициент обновления антивирусных баз (максимальное значение) 0,4

На рисунках 2 и 3 показаны траектории динамики функций, характеризующие количество компьютеров разных типов, и функции управления.

На приведенных графиках можно заметить, что при большой скорости распространения вредоносного кода за рассматриваемый период удается погасить эпидемию. При этом выполнено требование, что в конечный момент времени рассматриваемого периода количество невосприимчивых компьютеров R(t) составляет более 80 % (а именно 89,9 %).

Из графика (рис. 3) можно видеть, что для оптимальной защиты сети необходимая длина временного интервала между загрузками обновления антивирусных баз должна быть равна 19 ед., что в нашем случае составляет чуть больше 9 часов.

Данная программа может быть полезна системным администраторам при формировании структуры компьютерных сетей, максимально защищенных от вирусных атак. При этом работа адми- нистратора максимально упрощена: программа высчитывает оптимальное значение частоты обновления антивирусных баз, позволяет моделировать различные ситуации.

Литература

1.     Большие угрозы для небольших компаний. URL: http://www.kaspersky.ru/news?id=207734101 (дата обращения: 13.06.2016).

2.     Воронцов В.В., Котенко И.В. Аналитические модели распространения сетевых червей // Тр. СПИИРАН. 2007. Вып. 4. С. 208–224.

3.     Kephart J.O., White S.R. Directed-graph epidemiological models of computer viruses. Proc. 1991 IEEE Comp. Society Symposium on Research in Security and Privacy; Oakland, California, 1991, pp. 343–359.

4.     Leveille J. Epidemic spreading in technological networks. Technical Report HPL-2002-287, HP Laboratories Bristol, 2002. URL: http://www.hpl.hp.com/techreports/2002/HPL-2002-287.pdf (дата обращения: 13.06.2016).

5.     Zhang Ch., Zhao Y., Wu Y. An impulse model for computer viruses. Discrete Dynamics in Nature and Society. 2012. URL: http://dx.doi.org/10.1155/2013/286209 (дата обращения: 13.06.2016).

6.     Hethcote H.W. The basic epidemiology models I & II: models, expressions for R0, parameter estimation, and applications. Master Review, 2005, vol. 9. URL: http://www.ims.nus.edu.sg/Pro- grams/infectiousdiseases/files/hethcote_ln.pdf (дата обращения: 13.06.2016).

7.     Васильев Ф.П. Численные методы решения экстремальных задач. М.: Наука, 1988. 552 с.

8.     Габасов Р., Кириллова Ф.М. Методы оптимизации. Минск: Четыре четверти, 2011. 472 с.

9.     Бахвалов Н.С., Жидков Н.П., Кобельков Г.М. Численные методы. М.: Бином. Лаборатория знаний, 2003. 640 с.

10.   Самарский А.А. Введение в численные методы. СПб: Лань, 2005. 288 с.

 Permanent link:http://swsys.ru/index.php?page=article&id=4228&lang=&lang=en&like=1 PDF version articleFull issue in PDF (16.17Mb)Download the cover in PDF (0.62Мб) The article was published in issue no. № 4, 2016 [ pp. 125-128 ]

Perhaps, you might be interested in the following articles of similar topics: