Software & Systems

В настоящее время для обработки информации, общения и обмена данными повсеместно используются компьютерные сети. Однако благодаря Интернету и большой пропускной способности систем связи распространение вирусов превращается в сетевые эпидемии. Поэтому остро встает вопрос о защите компьютерных сетей и информации. По статистическим данным [1], опубликованным на сайте Лаборатории Касперского, 95 % отечественных организаций как минимум один раз подвергались внешней компьютерной атаке. Россия входит в двадцатку стран, подвергшихся наибольшему риску заражения через Интернет, и занимает одиннадцатое место в мире по уровню зараженности компьютеров. С каждым годом положение в IT-сфере ухудшается: появляется большое количество новых вирусов и, как следствие, растут материальные потери. Важной научной задачей в данной ситуации является построение действенной защиты компьютерной сети. Для этого необходимо исследовать причины и механизмы распространения вирусов. Одним из способов исследований является математическое моделирование распространения вредоносных программ.

Исследования многих авторов показали, что наиболее адекватно распространение вируса описывают модели, основанные на математической теории биологических эпидемий. Большинство исследователей используют для описания компьютерной эпидемии модели типа SI, SIR и SEIR [2–5]. В данной статье рассмотрим модель MSEIRS [6], которая достаточно полно описывает развитие эпи- демии для популяции людей. Например, модель MSEIRS предусматривает латентный период заболевания, то есть когда объект заражен, но вирус еще не распространяет. Модифицируем эту биологическую модель для наиболее правильного описания деструктивных воздействий вируса на работу компьютерной сети какой-либо организации при условии, что подключаемые новые узлы изначально обеспечены антивирусной защитой. Согласно этой модели, каждый хост компьютерной сети может находиться в одном из пяти состояний: уязвимом, вновь подключенном с установленным антивирусным ПО, инфицированном, латентном (инфицирован, но не распространяет вирус), невосприимчивом к вирусу. Работа этой модели схематично отображена на рисунке 1.

Для описания модели использованы следующие переменные и постоянные величины: N(t) – общее количество машин в сети в момент времени t; M(t) – количество вновь подключаемых компьютеров в момент времени t; S(t) – количество уязвимых узлов в момент времени t; E(t) – количество инфицированных узлов (при этом вирус не наносит какого-либо вреда зараженному узлу) в момент времени t (латентная стадия); I(t) – количество инфицированных узлов в момент времени t; R(t) – количество невосприимчивых узлов в момент времени t; θ – коэффициент, характеризующий скорость прироста новых уязвимых узлов; β – коэффициент, характеризующий скорость заражения уязвимых узлов; μ – коэффициент, характеризующий скорость отключения узлов от сети и не зависящий от вируса; δ – коэффициент, характеризующий скорость, с которой невосприимчивые хосты вновь становятся уязвимыми; ε – коэффициент, характеризующий средний период, когда компьютер является зараженным, но сам вирус неактивен; γ – параметр, характеризующий скорость обновления антивирусных баз.

В любой момент времени будет выполняться условие M(t)+S(t)+E(t)+I(t)+R(t) = N(t).

Процесс деструктивных воздействий вируса на компьютерную сеть описывается системой дифференциальных уравнений с соответствующими начальными условиями:

 M(0) = M0,

 S(0) = S0,

E(0) = E0,                        (1)

 I(0) = I0,

 R(0) = R0.

Непрерывные функции M(t), S(t), E(t), I(t), R(t) будем считать фазовыми переменными. Коэффициент γ будем рассматривать как кусочно-непрерывную функцию управления, удовлетворяющую ограничению

0£g(t)£Ymax£1, tÎ[0, T],                                     (2)

где Ymax – максимальная норма управлений, характеризующая технические и экономические возможности организации.

Для оценки защищенности компьютерной сети будем исходить из требования, что в конечный момент времени рассматриваемого периода большинство компьютеров (более 80 %) невосприимчивы к заражению. Для построения функционала используем метод штрафных функций [7], тогда задача управления будет заключаться в минимизации функционала

                (3)

где N(T) = M(T)+S(T)+E(T)+I(T)+R(T) – общее количество компьютеров в сети в конечный момент времени; А > 0 – штрафной параметр.

В результате получаем непрерывную задачу оптимального управления (1)–(3). С помощью принципа максимума Понтрягина [8] можно свести исходную задачу (1)–(3) к решению краевой. Однако получение решения краевой задачи в аналитическом виде довольно сложно и поэтому требует применения численных методов.

Для численного решения задачи (1)–(3) построим ее дискретную аппроксимацию, используя явную разностную схему [9, 10]. На отрезке [0, T] введем равномерную сетку {tk = Dtk, 0 £ k £ L} с шагом Dt = T/L. Обозначим значения фазовых функций и функции управления в точках разбиения следующим образом: M(tk) = Mk, S(tk) = Sk, E(tk) = Ek, I(tk) = Ik, R(tk) = Rk, γ(tk) = γk, k=.

Дискретная задача оптимального управления при k=примет вид

                  (4)

Для построения приближенного оптимального решения воспользуемся методом проекции градиента [9]. При этом рекуррентные формулы для определения сопряженных векторов получаем из условий стационарности функции Лагранжа [7, 8].

На основе численных методов решения задач оптимального управления было разработано ПО в среде Lazarus. Пользователь может добавлять, удалять и редактировать параметры сети и антивирусного ПО. Разработанная программа позволяет представлять информацию в удобной для анализа форме в виде таблиц и графиков. Интерфейс главного окна программы (окно ввода данных) и окна «Визуализация решения» представлен по ссылке http://www.swsys.ru/uploaded/image/2016-4/2016-4-dop/5.jpg. В окне «Визуализация решения» отображен график обновления антивирусных баз. В главном окне программы расположены поля для ввода параметров сети и антивирусного ПО.

В данной работе приведено исследование нештатной ситуации работы сети (активное развитие эпидемии компьютерного вируса) в течение 24 часов. Рассматриваемый период был разбит на 50 равных отрезков времени. В таблицах 1 и 2 представлены вводимые экспериментальные данные.

Таблица 1

Типы компьютеров сети

Table 1

Network computer types

Таблица 2

Параметры антивирусного ПО

Table 2

Antivirus software parameters

На рисунках 2 и 3 показаны траектории динамики функций, характеризующие количество компьютеров разных типов, и функции управления.

На приведенных графиках можно заметить, что при большой скорости распространения вредоносного кода за рассматриваемый период удается погасить эпидемию. При этом выполнено требование, что в конечный момент времени рассматриваемого периода количество невосприимчивых компьютеров R(t) составляет более 80 % (а именно 89,9 %).

Из графика (рис. 3) можно видеть, что для оптимальной защиты сети необходимая длина временного интервала между загрузками обновления антивирусных баз должна быть равна 19 ед., что в нашем случае составляет чуть больше 9 часов.

Данная программа может быть полезна системным администраторам при формировании структуры компьютерных сетей, максимально защищенных от вирусных атак. При этом работа адми- нистратора максимально упрощена: программа высчитывает оптимальное значение частоты обновления антивирусных баз, позволяет моделировать различные ситуации.

Литература

1.     Большие угрозы для небольших компаний. URL: http://www.kaspersky.ru/news?id=207734101 (дата обращения: 13.06.2016).

2.     Воронцов В.В., Котенко И.В. Аналитические модели распространения сетевых червей // Тр. СПИИРАН. 2007. Вып. 4. С. 208–224.

3.     Kephart J.O., White S.R. Directed-graph epidemiological models of computer viruses. Proc. 1991 IEEE Comp. Society Symposium on Research in Security and Privacy; Oakland, California, 1991, pp. 343–359.

4.     Leveille J. Epidemic spreading in technological networks. Technical Report HPL-2002-287, HP Laboratories Bristol, 2002. URL: http://www.hpl.hp.com/techreports/2002/HPL-2002-287.pdf (дата обращения: 13.06.2016).

5.     Zhang Ch., Zhao Y., Wu Y. An impulse model for computer viruses. Discrete Dynamics in Nature and Society. 2012. URL: http://dx.doi.org/10.1155/2013/286209 (дата обращения: 13.06.2016).

6.     Hethcote H.W. The basic epidemiology models I & II: models, expressions for R0, parameter estimation, and applications. Master Review, 2005, vol. 9. URL: http://www.ims.nus.edu.sg/Pro- grams/infectiousdiseases/files/hethcote_ln.pdf (дата обращения: 13.06.2016).

7.     Васильев Ф.П. Численные методы решения экстремальных задач. М.: Наука, 1988. 552 с.

8.     Габасов Р., Кириллова Ф.М. Методы оптимизации. Минск: Четыре четверти, 2011. 472 с.

9.     Бахвалов Н.С., Жидков Н.П., Кобельков Г.М. Численные методы. М.: Бином. Лаборатория знаний, 2003. 640 с.

10.   Самарский А.А. Введение в численные методы. СПб: Лань, 2005. 288 с.