Scientific journal
Modern high technologies
ISSN 1812-7320
"Перечень" ВАК
ИФ РИНЦ = 0,940

MODEL OF ELIMINATION OF HARMFUL INFLUENCES IN CORPORATE NETWORKS OF DATA TRANSMISSION

Gruzdeva L.M. 1
1 Russian University of transport (MIIT)
The spread of malware, through which cybercriminals implement threats to the information resources of computer networks, should be considered as a harmful effect. With the help of malicious software, attackers receive personal data of users and commercial secrets of organizations, credentials from various services and systems, which allows them to commit cyber attacks to the internal network infrastructure. The reason for successful attacks on information resources should be considered inefficient organization of corporate network protection mechanisms, which does not provide the required level of counteraction to harmful effects. The article proposes a mathematical model based on the use of which it is possible to determine the most important characteristics of the process of eliminating harmful effects, including the mathematical expectation of the time for elimination of impacts, the mathematical expectation of the time for searching for a given number of harmful effects, the dispersion of these quantities, etc. in conditions of limited time (resources), as well as with the consequent elimination of harmful effects in the regime of unlimited time. Using the proposed mathematical model will allow not only to estimate the complexity of the arrangement of harmful effects in the nodes of the network, but to assess the quality of the corporate network at various times, depending on the initial number of harmful effects.
corporate networks of data transmission
information security system
malicious software
harmful effects

Эффективная эксплуатация систем защиты информации (СЗИ) корпоративных сетей передачи данных (КСПД), их проектирование и модернизация невозможны без оценки характеристик процесса по обнаружению вредоносных воздействий, процесса восстановления зараженных узлов сети и планирования работ по профилактике заражения. Проблема защиты цифровой информации от вредоносных программ (ВП), таких как компьютерные вирусы, шпионские и троянские программы, сетевые черви, программы-шантажисты и др., является актуальной и значимой в настоящее время [1, 2] несмотря на то, что первый известный вирус был написан в далеком 1981 г., а современный рынок информационных технологий предлагает множество решений по антивирусной защите. Но ни одна система защиты информации не способна блокировать проникновение вредоносного программного обеспечения (ПО) в корпоративную сеть на 100 %. Современная СЗИ, включающая систему обнаружения и предотвращения атак и вторжений IPS/IDS, не может гарантировать обнаружения 70 % информационных атак, что периодически приводит к значительному возрастанию вредоносного трафика (ВТ) [3, 4].

По данным компании Positive Technologies [5] самым распространенным методом атак стало использование вредоносного программного обеспечения: в I квартале 2018 г. вредоносное ПО применялось в 63 % уникальных кибератак (+27 % по сравнению с аналогичным периодом 2017 г. [6]). Большую популярность получила троянская программа WannaMine, заразившая по всему миру более 500 000 устройств.

Цель исследования: разработать математическую модель процесса устранения вредоносных воздействий, использование которой обеспечит возможность оценки качества работы СЗИ и функционирования КСПД в различные моменты времени в зависимости от начального числа вредоносных воздействий (вредоносных программ), используемых методов обнаружения и противодействия.

Под вредоносным воздействием будем понимать распространение вредоносных программ в КСПД, любые их действия, которые могут привести к нарушению работоспособности как отдельных узлов, так и сети в целом.

Математическая модель. Для моделирования процесса устранения вредоносных воздействий в узлах КСПД возьмем за основу математическую модель процесса отладки программного обеспечения, предложенную в книге [7] исследователями А.Г. Мамиконовым, В.В. Кульба, А.Б. Шелковым и получившую дальнейшее развитие в диссертации А.И. Крапчатова [8].

Пусть КСПД состоит из множества узлов (компьютерных систем, КС – S), в каждом из которых протекает марковский процесс [9, 10] по устранению вредоносных воздействий. Система S может находиться в одном из дискретных состояний: s0, s1,…, sN, где N – количество вредоносных воздействий (как частный случай, N может быть равно числу вредоносных программ в узле сети), а s0 – поглощающее состояние, означающее, что все вредоносные воздействия устранены и процесс сканирования узла окончен.

Под устранением вредоносного воздействия (или вредоносной программы) в узле сети будем понимать его обнаружение и моментальное восстановление КС. Интенсивность устранения вредоносных воздействий будем считать пропорциональным их количеству.

Определим результативность сканирования системы S величиной pij – вероятностью того, что после сканирования в КС, содержащей i gruz01.wmf вредоносных воздействий, останутся необнаруженными j (j ≥ i или j < i), gruz02.wmf, где N – количество вредоносных воздействий до начала сканирования. Зададим распределение pij в виде матрицы:

gruz03.wmf (1)

Модель базируется на предположении, что после устранения вредоносного воздействия (вредоносной программы) в узле сети появиться вновь оно уже не может, то есть КС приобретает к нему иммунитет. Система может иметь несколько поглощающих состояний, означающих, что процесс сканирования может быть остановлен, но не все вредоносные воздействия устранены.

Методы и средства исследований. Анализ предложенной модели позволил сделать вывод, что наиболее важными характеристиками процесса устранения вредоносных воздействий в условиях ограниченности времени (ресурсов) являются [7, 8]:

1) математическое ожидание (МО) времени устранения j вредоносных воздействий (j ≥ i или j < i), gruz04.wmf:

gruz05.wmf

где n – количество циклов обнаружения вредоносных воздействий;

2) МО времени устранения всех вредоносных воздействий в компьютерной системе:

gruz06.wmf

где ε – единичный вектор-столбец;

3) вероятность устранения всех вредоносных воздействий в компьютерной системе:

gruz08.wmf;

4) МО времени, в течение которого в компьютерной системе существует постоянное число вредоносных воздействий:

gruz09.wmf;

5) вероятность того, что в компьютерной системе находится j вредоносных воздействий:

gruz10.wmf,

где gruz11.wmf – элементы матрицы H(n).

При последовательном устранении вредоносных воздействий (или вредоносных программ) в узлах компьютерной сети в режиме неограниченного времени можно определить следующие наиболее важные характеристики трудоемкости процесса [7, 8]:

1) МО времени устранения всех вредоносных воздействий в компьютерной системе:

gruz12.wmf

где gruz13.wmf – вероятность того, что после одного сканирования в КС будет i – 1 вредоносных воздействий;

2) дисперсия времени устранения всех вредоносных воздействий в компьютерной системе:

gruz14.wmf;

3) вероятность устранения всех вредоносных воздействий в компьютерной системе:

gruz15.wmf,

то вероятность устранения всех вредоносных воздействий стремится к единице;

4) МО времени, в течение которого в компьютерной системе существует постоянное число вредоносных воздействий:

gruz16.wmf;

5) дисперсия времени, в течение которого в компьютерной системе существует постоянное число вредоносных воздействий:

gruz17.wmf;

6) вероятность того, что в КС находится j вредоносных воздействий:

gruz18.wmf.

На основе представленной математической модели процесса устранения вредоносных воздействий в узлах компьютерной сети можно получить характеристики процесса распространения вредоносных программ.

Рассмотрим компьютерную сеть передачи данных как сеть массового обслуживания [11, 12], в которой циркулируют пакеты в соответствии с маршрутной матрицей gruz19.wmf, где pij – вероятность пересылки пакета из i-го в j-й узел, причем gruz20.wmf и gruz21.wmf gruz22.wmf.

Пусть в качестве пакета в КСПД попадает вредоносная программа, тогда в сети будет протекать случайный процесс распространения ВП. Сеть может находиться в одном из дискретных состояний: gruz23.wmf, где gruz24.wmf означает, что ВП находится в i-м узле.

Важными с практической точки зрения являются следующие вопросы:

1. Сколько шагов будет совершено до остановки процесса распространения ВП, то есть поглощения в том или ином состоянии?

2. Каково время распространения вредоносной программы в сети?

3. Какой узел будет заражен раньше остальных?

Продемонстрируем ответы на поставленные вопросы на примере сети, состоящей из пяти узлов, пакеты в которой пересылаются в соответствии с матрицей:

gruz25.wmf (2)

С помощью преобразований приведем матрицу (1) к блочной форме:

gruz26.wmf (3)

На основании (3) получена матрица, называемая фундаментальной:

gruz27.wmf (4)

где I – единичная матрица;

Q – квадратная подматрица переходов:

gruz28.wmf.

Каждый элемент матрицы (4) соответствует среднему числу раз попадания системы в то или иное состояние до остановки процесса распространения ВП. Умножение справа матрицы M на единичный вектор e позволяет получить общее среднее количество раз попадания системы в то или иное состояние до поглощения:

gruz29.wmf

Зная время пребывания системы в каждом состоянии, можно вычислить общее время до поглощения gruz30.wmf:

gruz31.wmf

где вектор t – время пребывания системы в каждом невозвратном состоянии.

Матрица (2) описывает переходы сети, имеющей два поглощающих состояния. Обозначим через bij вероятность того, что процесс завершится в некотором поглощающем состоянии sj при условии, что начальным было состояние si gruz32.wmf. Вероятности bij образуют матрицу B, строки которой соответствуют невозвратным состояниям, а столбцы – всем поглощающим состояниям:

gruz33.wmf, (5)

где gruz34.wmf.

Анализ матрицы (5) позволяет оценить и сравнить вероятности заражения восприимчивых узлов и при построении защиты обезопасить наиболее уязвимые.

Для наглядности произведем вычисления для системы, переходы в которой заданы следующей матрицей:

gruz35.wmf

По формуле (5) получим матрицу:

gruz36.wmf

Таким образом, если процесс распространения ВП начался из третьего узла сети, то вероятность заражения первого узла равна 0,608, а второго – 0,392.

Для оценки характеристик процесса устранения вредоносных воздействий в КСПД разработана математическая модель, базирующаяся на теории сетей массового обслуживания. На основе предложенной модели возможна не только оценка характеристик процесса устранения вредоносных воздействий, но и процесса распространения ВП в сети. Применение модели наиболее целесообразно для определения вероятности и времени тотального инфицирования корпоративной сети. Предсказание данных характеристик информационных атак, реализуемых с помощью вредоносного программного обеспечения, и трудоемкости по устранению вредоносных воздействий позволит более эффективно использовать средства противодействия и уменьшать последствия данных воздействий.