Научный журнал
Фундаментальные исследования
ISSN 1812-7339
"Перечень" ВАК
ИФ РИНЦ = 1,074

ОПТИМАЛЬНОЕ УПРАВЛЕНИЕ ЗАЩИТОЙ КОМПЬЮТЕРНОЙ СЕТИ ОТ ВРЕДОНОСНОГО КОДА

Семыкина Н.А. 1
1 ФГБОУ ВПО «Тверской государственный университет»
Математическое моделирование распространения вируса в компьютерной сети является одним из подходов к исследованию, анализу и созданию систем защиты и сдерживания эпидемии вредоносного кода. Для оценки и прогноза распространения компьютерного вируса в сети разработана математическая модель, представленная в виде задачи оптимального управления. Применен биологический подход для описания процесса развития вирусной атаки. Динамика численности узлов описывается с помощью разрывной нелинейной системы дифференциальных уравнений с запаздыванием. Для построения задачи оптимального управления сделан выбор целевого функционала, определяющего общую стоимость нанесенного ущерба от эпидемии. Выписана функция запаздывания. Рассмотрен один из вариантов поведения траектории – однократное протыкание. Для данного случая сформулированы необходимые условия оптимальности в виде принципа максимума Понтрягина. Найден вид оптимального управления.
компьютерный вирус
математическая модель
оптимальное управление
разрывные задачи с запаздыванием
1. Андреева Е.А. Оптимальное управление системами с запаздывающим аргументом // Автоматика и телемеханика. – 1987. – № 11. – С. 30–39.
2. Андреева Е.А., Колмановский В.Б., Шайхет Л.Е. Управление системами с последствием. – М.: Наука, 1992. – 336 с.
3. Воронцов В.В., Котенко И.В. Аналитические модели распространения сетевых червей // Труды СПИИРАН. – Вып. 4. – СПб.: Наука, 2007. – С. 208–224.
4. Захарченко А. Черводинамика: причины и следствия // Защита информации. Конфидент. – 2004. – № 2. – С. 50–55.
5. Семыкина Н.А. Математическое моделирование распространения вирусов с учетом влияния временных параметров // Перспективы развития информационных технологий: XIV Международная научно-практическая конференция. – Новосибирск: ЦРНС, 2013. – С. 139–144.
6. Kephart J.O., White S.R.. Directed-Graph Epidemiological Models of Computer Viruses. Proceedings of the 1991 IEEE Computer Society Symposium on Research in Security and Privacy. – Oakland, California, 1991. – Р. 343–359.
7. Leveille J. Epidemic spreading in technological networks/ Technical Report HPL-2002-287, HP Laboratories Bristol, 2002. Available at: http://www.hpl.hp.com/techreports/2002/HPL-2002-287.pdf.
8. Wang Y., Wang C. Modeling the effects of timing parameters on virus propagation. Proceedings of the ACM CCS Workshop on Rapid Malcode – WORM, Washington DC, 2003. – Р. 61–66.
9. Zhang Ch., Zhao Y., Wu Y. An impulse model for computer viruses. Discrete Dynamics in Nature and Society. 2012. Available at: http://dx.doi.org/10.1155/2013/286209.
10. Zou C.C., Gao L., Gong W., Towsley D. Monitoring and early warning for internet worms // Proceedings of the 10th ACM conference on Computer and communication security, ACM Press, 2003. – Р. 190–199.
11. Zou C.C., Gong W., Towsley D. Code Red Worm Propagation Modeling and Analysis. In Proceedings of the 9th ACM Conference on Computer and Communications Security, 2002. – Р. 138–147. Available at: http://citeseer.ist.psu.edu/article/zou02code.html.

Анализируя современные работы по описанию процесса пресечения вирусных атак, можно заметить, что многие авторы используют принципы моделирования распространения эпидемии инфекционных заболеваний [3, 4, 6–11]. Основоположниками данного подхода стали Д.O. Кепхарт и С.Р. Уайт [6].

Рассмотрим n локальных вычислительных сетей (групп), объединенных в одну глобальную сеть. Такая ситуация может возникнуть, если предприятие (или отрасль) занимает обширную территорию. В этом случае локальные сети связывают между собой с помощью любых традиционных каналов связи. Процесс распространения вредоносного кода в j группе, semykina01.wmf, на промежутке времени [0, Т], описывается с помощью эпидемиологической модели в следующих предположениях [3, 4, 8, 9]:

1) Nj(t) – общее количество машин в j группе, semykina02.wmf;

2) произвольный узел сети может находиться в трех состояниях: уязвимом Sj(t), инфицированном Ij(t) и невосприимчивом Rj(t);

3) распространение копии вредоносной программы описывается с помощью функции роста fj(t, S(t), I(t), B), semykina03.wmf, которая может учитывать характеристики вирусной атаки и самой сети с помощью вектора параметров B = (β1(t), ..., βm(t));

4) вредоносная программа имеет некий латентный период h1(t), во время которого компьютер считается зараженным, но вирус не наносит какого-либо вреда инфицированному узлу;

5) количество компьютеров в сети является переменным числом, и функция b(t) характеризует скорость прироста новых уязвимых узлов;

6) в реальных условиях «лечение» происходит за счет установки антивирусного программного обеспечения или межсетевых экранов. При этом иммунитет приобретают не только инфицированные компьютеры, но и уязвимые со скоростью иммунизации в единицу времени semykina04.wmf, i = 1, 2, semykina05.wmf соответственно;

7) с постоянной скоростью μ компьютеры отключаются от сети, при этом отключение не связано с вирусной атакой;

8) на практике антивирусная защита работает для определенного вредоносного ПО. При появлении нового вида вируса узел опять становится уязвимым с частотой заражения σ и с временем задержки h2(t).

В соответствии с этими предположениями получаем следующую систему дифференциальных уравнений с запаздыванием в аргументе

semykina06.wmf (1)

semykina07.wmf (2)

semykina08.wmf (3)

Предполагаем, что на начальном множестве E0 = {t ∈ [θ, 0], θ < 0} количество компьютеров разных классов известно:

semykina09.wmf semykina10.wmf

semykina11.wmf semykina12.wmf t ∈ E0. (4)

Здесь hi(t), i = 1, 2, – неотрицательная, непрерывно дифференцируемая функция. h1(t) характеризует время «инкубационного периода», в течение которого узел считается зараженным, но не распространяет вирус. h2(t) характеризует время появления нового вредоносного кода. Причем semykina13.wmf, i = 1, 2. Это значит, что функция t – hi(t) монотонно возрастает. В случае, когда hi(t) = 0, i = 1, 2, мы получаем систему обыкновенных дифференциальных уравнений без запаздывания.

В построенной задаче функции Sj(t), Ij(t) и Rj(t), semykina14.wmf, будем считать фазовыми переменными, а управлением – скорость иммунизации semykina15.wmf, i = 1, 2, semykina16.wmf, с соответствующими ограничениями

semykina17.wmf i = 1, 2,

semykina18.wmf semykina19.wmf. (5)

Здесь semykina20.wmf – максимальная норма управления в j-й группе, которая ограничена техническими и материальными возможностями.

Данная модель (1)–(5) предполагает естественный способ расчета затрат на эпидемию. Целью управления процессом защиты от вредоносного кода является минимизация цены нанесенного ущерба и расходов на установку «иммунитета» системы.

semykina21.wmf (6)

где с – относительная стоимость урона, нанесенного одной единицей инфицированного компьютера Ij(t), ω – средняя стоимость установки антивирусного программного обеспечения или межсетевых экранов.

Формализованная задача модели (1)–(6) представляет собой задачу оптимального управления системой дифференциальных уравнений с переменным запаздыванием.

Построение функции запаздывания

Рассмотрим построенную модель (1)–(6) в предположении, что антивирусное программное обеспечение обновляется через каждый промежуток времени, равный Т. Тогда получаем модель с одним временем задержки h1(t). При этом h2(t) = 0. Далее будем считать, что при t ∈ [0, Т] не осуществляется прирост новых узлов, то есть b(t) = 0 и Nj(t) = Nj = const, semykina22.wmf.

В [5] было показано, что время запаздывания является важным фактором при построении адекватной математической модели, описывающей распространение компьютерного вируса в сети.

Для построения функции запаздывания h1(t) исследуем динамику процесса. Весь период развития эпидемии можно разбить на три этапа [4, 7, 9]:

1-й этап – начало нарастания числа инфицированных компьютеров до порогового уровня.

2-й этап – эпидемия. Массовое поражение узлов и широкое распространение вируса.

3-й этап – стадия максимального подъема эпидемии, характеризуется достижением порога насыщения. В этот период зараженные узлы контактируют преимущественно друг с другом, поэтому уцелевшие узлы могут оставаться неинфицированными неопределенно продолжительное время.

Используя данную динамику эпидемии, получаем вид функции запаздывания

semykina23.wmf (7)

Здесь τl является величиной постоянного запаздывания, l = 1, 2, 3.

Исходя из полученной формулы (7), систему дифференциальных уравнений (1)–(3) можно представить в виде разрывной задачи в правой части с постоянным запаздыванием. Она будет иметь вид (8)

semykina24.wmf semykina25.wmf

semykina26.wmf

semykina27.wmf semykina28.wmf.

Здесь через semykina29.wmf semykina30.wmf semykina31.wmf semykina32.wmf, обозначены поверхности переключения.

Необходимые условия оптимальности

Решение задачи оптимального управления с разрывной правой частью предусматривает рассмотрение следующих вариантов поведения траектории [1], [2]:

1) протыкание траектории поверхности переключения semykina33.wmf в точке semykina34.wmf, i = 1, 2, если в любой достаточно малой окрестности точки semykina35.wmf функция semykina36.wmf, i = 1, 2, semykina37.wmf, меняет знак;

2) левостороннее или правостороннее касание траекторией поверхности переключения semykina38.wmf точке semykina39.wmf, i = 1, 2, если semykina40.wmf и semykina41.wmf или semykina42.wmf;

3) скольжение траектории по поверхности переключения, если на некотором отрезке [t1, t2], semykina43.wmf i = 1, 2, semykina44.wmf;

Рассмотрим первый случай поведения траектории, а именно однократное протыкание траекторией поверхностей переключения semykina45.wmf, i = 1, 2, semykina46.wmf. Обозначим через semykina47.wmf и semykina48.wmf, semykina49.wmf, точки переключения фазовых траекторий при пересечении поверхностей переключения semykina50.wmf semykina51.wmf соответственно.

Сформулируем необходимые условия оптимальности для разрывной задачи оптимального управления с постоянным запаздыванием (рассматриваем регулярный случай) [10]. Для этого выпишем функцию Понтрягина построенной модели.

semykina52.wmf

Здесь

semykina53.wmf

где semykina54.wmf

Сопряженные вектор-функции (Q(t), Pl(t), G(t)), l = 1, 2, 3, определены на промежутках semykina55.wmf, semykina56.wmf, semykina57.wmf соответственно, непрерывны и почти всюду непрерывно дифференцируемы на этих отрезках.

Теорема. Пусть semykina58.wmf – оптимальный управляемый процесс в задаче (4) – (6), (8). Тогда оптимальное управление semykina59.wmf, t ∈ [0, T], semykina60.wmf, во всех точках непрерывности доставляет максимум функции Понтрягина:

semykina61.wmf l = 1, 2, 3, где сопряженные функции являются решением системы дифференциальных уравнений

semykina62.wmf

semykina63.wmf (9)

semykina64.wmf

где semykina65.wmf, semykina66.wmf

с граничными условиями на правом конце траектории

qj(T) = 0, pj(T) = 0, gj(T) = 0, semykina67.wmf. (10)

В точках пересечения траекторией поверхностей переключения выполняются условия скачка сопряженных функций

semykina68.wmf semykina69.wmf semykina70.wmf

semykina71.wmf semykina72.wmf semykina73.wmf.

При этом величина скачка определяется по формуле

semykina74.wmf

semykina75.wmf

Введем функции переключения:

semykina76.wmf semykina77.wmf semykina78.wmf, l = 1, 2, 3.

Из условия максимума функции Понтрягина получаем множество задач максимизации

semykina79.wmf semykina80.wmf (11)

Анализ задач (11) и компактного множества ограничений для функций управления (5) позволяет найти оптимальное управление semykina81.wmf, semykina82.wmf.

semykina83.wmf

semykina84.wmf (12)

Если semykina85.wmf semykina86.wmf, или с учетом их определения, когда semykina87.wmf semykina88.wmf l = 1, 2, 3, то оптимальное управление будет иметь вид

semykina89.wmf

В результате получаем краевую задачу принципа максимума, состоящую из системы дифференциальных уравнений (8), (9) и краевых условий (4), (10), где оптимальное управление определяется соотношениями (12).

Выводы

В результате проведенного исследования была разработана математическая модель распространения компьютерных вирусов в локальных сетях, которая позволяет учесть «инкубационное» время заражения узла вредоносным кодом. Впервые данная модель формализована как задача оптимального управления системой дифференциальных уравнений с разрывной правой частью и с запаздывающим аргументом. Сформулированы необходимые условия оптимальности и найден вид оптимального управления, это позволит в дальнейшем объяснить и изучить различные факторы, влияющие на динамику эпидемии.

Рецензенты:

Болодурина И.П., д.т.н., профессор, заведующий кафедрой прикладной математики, Оренбургский государственный университет, г. Оренбург;

Зиятдинов Н.Н., д.т.н., профессор, заведующий кафедрой системотехники, Казанский национальный исследовательский технологический университет, г. Казань.


Библиографическая ссылка

Семыкина Н.А. ОПТИМАЛЬНОЕ УПРАВЛЕНИЕ ЗАЩИТОЙ КОМПЬЮТЕРНОЙ СЕТИ ОТ ВРЕДОНОСНОГО КОДА // Фундаментальные исследования. – 2015. – № 7-3. – С. 562-567;
URL: http://www.fundamental-research.ru/ru/article/view?id=38779 (дата обращения: 23.01.2020).

Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
(Высокий импакт-фактор РИНЦ, тематика журналов охватывает все научные направления)

«Фундаментальные исследования» список ВАК ИФ РИНЦ = 1.074