Scientific journal
Fundamental research
ISSN 1812-7339
"Перечень" ВАК
ИФ РИНЦ = 1,674

OPTIMAL CONTROL OF NETWORK SECURITY ON MALWARE PROPAGATION

Semykina N.A. 1
1 Tver State University
1317 KB
Mathematical modeling of computer virus propagation in a network is an approach to investigate, analyze and create a protection system, as well as to control an epidemic of a malicious code. To evaluate and forecast the spread of a computer virus into the network developed a mathematical model presented by an optimal control problem. The method of virus attack modeling is based on the biological epidemiology. The dynamics of number of hosts presented by discontinuous system of nonlinear differential equations with delay in the phase variables. To build the problem of optimal control made the choice of target functions, determining the total cost of the damage from the epidemic. Function of delay was issued. One of the variants of behaviour trajectories of a single piercing considered. The necessary conditions of optimality formulated in the form of the Pontryagin maximum principle for this case. The view of optimal control found.
computer virus
mathematical model
optimal control
discontinuous problems with delay
1. Andreeva E.A. Optimalnoe upravlenie sistemami s zapazdyvayushchim argumentom// Avtomatika i telemehanika. 1987, no. 11. рр. 30–39.
2. Andreeva E.A., Kolmanovskij V.B., Shajhet L.E. Upravlenie sistemami s posledstviem. Moskow, 1992. 336 p.
3. Voroncov V.V., Kotenko I.V. Analiticheskie modeli rasprostraneniya setevyh chervej// Trudy SPIIRAN. Issue 4. SPb.: Nauka, 2007. рр. 208–224.
4. Zaharchenko A. Chervodinamika: prichiny i sledstviya // Zashhita informacii. Konfident, 2004. no. 2, рр. 50–55.
5. Semykina N.A. Matematicheskoe modelirovanie rasprostraneniya virusov s uchetom vliyaniya vremennyh parametrov // XIV Mezhdunarodnaja nauchno-prakticheskaja konferencija «Perspektivy razvitija informacionnyh tehnologij». Novosibirsk: CRNS, 2013. рр. 139–144.
6. Kephart J.O., White S.R.. Directed-Graph Epidemiological Models of Computer Viruses. Proceedings of the 1991 IEEE Computer Society Symposium on Research in Security and Privacy; Oakland, California, 1991. рр. 343–359.
7. Leveille J. Epidemic spreading in technological networks/ Technical Report HPL-2002-287, HP Laboratories Bristol, 2002. Available at: http://www.hpl.hp.com/techreports/2002/HPL-2002-287.pdf.
8. Wang, Y., Wang, C. Modeling the effects of timing parameters on virus propagation. Proceedings of the ACM CCS Workshop on Rapid Malcode – WORM, Washington DC, 2003, pp. 61-66.
9. Zhang Ch., Zhao Y., Wu Y. An impulse model for computer viruses. Discrete Dynamics in Nature and Society. 2012. Available at: http://dx.doi.org/10.1155/2013/286209.
10. Zou C.C., Gao L., Gong W., Towsley D. Monitoring and early warning for internet worms // Proceedings of the 10th ACM conference on Computer and communication security, ACM Press, 2003. рр. 190–199.
11. Zou C.C., Gong W., Towsley D. Code Red Worm Propagation Modeling and Analysis. In Proceedings of the 9th ACM Conference on Computer and Communications Security, 2002. рр. 138–147. Available at: http://citeseer.ist.psu.edu/article/zou02code.html.

Анализируя современные работы по описанию процесса пресечения вирусных атак, можно заметить, что многие авторы используют принципы моделирования распространения эпидемии инфекционных заболеваний [3, 4, 6–11]. Основоположниками данного подхода стали Д.O. Кепхарт и С.Р. Уайт [6].

Рассмотрим n локальных вычислительных сетей (групп), объединенных в одну глобальную сеть. Такая ситуация может возникнуть, если предприятие (или отрасль) занимает обширную территорию. В этом случае локальные сети связывают между собой с помощью любых традиционных каналов связи. Процесс распространения вредоносного кода в j группе, semykina01.wmf, на промежутке времени [0, Т], описывается с помощью эпидемиологической модели в следующих предположениях [3, 4, 8, 9]:

1) Nj(t) – общее количество машин в j группе, semykina02.wmf;

2) произвольный узел сети может находиться в трех состояниях: уязвимом Sj(t), инфицированном Ij(t) и невосприимчивом Rj(t);

3) распространение копии вредоносной программы описывается с помощью функции роста fj(t, S(t), I(t), B), semykina03.wmf, которая может учитывать характеристики вирусной атаки и самой сети с помощью вектора параметров B = (β1(t), ..., βm(t));

4) вредоносная программа имеет некий латентный период h1(t), во время которого компьютер считается зараженным, но вирус не наносит какого-либо вреда инфицированному узлу;

5) количество компьютеров в сети является переменным числом, и функция b(t) характеризует скорость прироста новых уязвимых узлов;

6) в реальных условиях «лечение» происходит за счет установки антивирусного программного обеспечения или межсетевых экранов. При этом иммунитет приобретают не только инфицированные компьютеры, но и уязвимые со скоростью иммунизации в единицу времени semykina04.wmf, i = 1, 2, semykina05.wmf соответственно;

7) с постоянной скоростью μ компьютеры отключаются от сети, при этом отключение не связано с вирусной атакой;

8) на практике антивирусная защита работает для определенного вредоносного ПО. При появлении нового вида вируса узел опять становится уязвимым с частотой заражения σ и с временем задержки h2(t).

В соответствии с этими предположениями получаем следующую систему дифференциальных уравнений с запаздыванием в аргументе

semykina06.wmf (1)

semykina07.wmf (2)

semykina08.wmf (3)

Предполагаем, что на начальном множестве E0 = {t ∈ [θ, 0], θ < 0} количество компьютеров разных классов известно:

semykina09.wmf semykina10.wmf

semykina11.wmf semykina12.wmf t ∈ E0. (4)

Здесь hi(t), i = 1, 2, – неотрицательная, непрерывно дифференцируемая функция. h1(t) характеризует время «инкубационного периода», в течение которого узел считается зараженным, но не распространяет вирус. h2(t) характеризует время появления нового вредоносного кода. Причем semykina13.wmf, i = 1, 2. Это значит, что функция t – hi(t) монотонно возрастает. В случае, когда hi(t) = 0, i = 1, 2, мы получаем систему обыкновенных дифференциальных уравнений без запаздывания.

В построенной задаче функции Sj(t), Ij(t) и Rj(t), semykina14.wmf, будем считать фазовыми переменными, а управлением – скорость иммунизации semykina15.wmf, i = 1, 2, semykina16.wmf, с соответствующими ограничениями

semykina17.wmf i = 1, 2,

semykina18.wmf semykina19.wmf. (5)

Здесь semykina20.wmf – максимальная норма управления в j-й группе, которая ограничена техническими и материальными возможностями.

Данная модель (1)–(5) предполагает естественный способ расчета затрат на эпидемию. Целью управления процессом защиты от вредоносного кода является минимизация цены нанесенного ущерба и расходов на установку «иммунитета» системы.

semykina21.wmf (6)

где с – относительная стоимость урона, нанесенного одной единицей инфицированного компьютера Ij(t), ω – средняя стоимость установки антивирусного программного обеспечения или межсетевых экранов.

Формализованная задача модели (1)–(6) представляет собой задачу оптимального управления системой дифференциальных уравнений с переменным запаздыванием.

Построение функции запаздывания

Рассмотрим построенную модель (1)–(6) в предположении, что антивирусное программное обеспечение обновляется через каждый промежуток времени, равный Т. Тогда получаем модель с одним временем задержки h1(t). При этом h2(t) = 0. Далее будем считать, что при t ∈ [0, Т] не осуществляется прирост новых узлов, то есть b(t) = 0 и Nj(t) = Nj = const, semykina22.wmf.

В [5] было показано, что время запаздывания является важным фактором при построении адекватной математической модели, описывающей распространение компьютерного вируса в сети.

Для построения функции запаздывания h1(t) исследуем динамику процесса. Весь период развития эпидемии можно разбить на три этапа [4, 7, 9]:

1-й этап – начало нарастания числа инфицированных компьютеров до порогового уровня.

2-й этап – эпидемия. Массовое поражение узлов и широкое распространение вируса.

3-й этап – стадия максимального подъема эпидемии, характеризуется достижением порога насыщения. В этот период зараженные узлы контактируют преимущественно друг с другом, поэтому уцелевшие узлы могут оставаться неинфицированными неопределенно продолжительное время.

Используя данную динамику эпидемии, получаем вид функции запаздывания

semykina23.wmf (7)

Здесь τl является величиной постоянного запаздывания, l = 1, 2, 3.

Исходя из полученной формулы (7), систему дифференциальных уравнений (1)–(3) можно представить в виде разрывной задачи в правой части с постоянным запаздыванием. Она будет иметь вид (8)

semykina24.wmf semykina25.wmf

semykina26.wmf

semykina27.wmf semykina28.wmf.

Здесь через semykina29.wmf semykina30.wmf semykina31.wmf semykina32.wmf, обозначены поверхности переключения.

Необходимые условия оптимальности

Решение задачи оптимального управления с разрывной правой частью предусматривает рассмотрение следующих вариантов поведения траектории [1], [2]:

1) протыкание траектории поверхности переключения semykina33.wmf в точке semykina34.wmf, i = 1, 2, если в любой достаточно малой окрестности точки semykina35.wmf функция semykina36.wmf, i = 1, 2, semykina37.wmf, меняет знак;

2) левостороннее или правостороннее касание траекторией поверхности переключения semykina38.wmf точке semykina39.wmf, i = 1, 2, если semykina40.wmf и semykina41.wmf или semykina42.wmf;

3) скольжение траектории по поверхности переключения, если на некотором отрезке [t1, t2], semykina43.wmf i = 1, 2, semykina44.wmf;

Рассмотрим первый случай поведения траектории, а именно однократное протыкание траекторией поверхностей переключения semykina45.wmf, i = 1, 2, semykina46.wmf. Обозначим через semykina47.wmf и semykina48.wmf, semykina49.wmf, точки переключения фазовых траекторий при пересечении поверхностей переключения semykina50.wmf semykina51.wmf соответственно.

Сформулируем необходимые условия оптимальности для разрывной задачи оптимального управления с постоянным запаздыванием (рассматриваем регулярный случай) [10]. Для этого выпишем функцию Понтрягина построенной модели.

semykina52.wmf

Здесь

semykina53.wmf

где semykina54.wmf

Сопряженные вектор-функции (Q(t), Pl(t), G(t)), l = 1, 2, 3, определены на промежутках semykina55.wmf, semykina56.wmf, semykina57.wmf соответственно, непрерывны и почти всюду непрерывно дифференцируемы на этих отрезках.

Теорема. Пусть semykina58.wmf – оптимальный управляемый процесс в задаче (4) – (6), (8). Тогда оптимальное управление semykina59.wmf, t ∈ [0, T], semykina60.wmf, во всех точках непрерывности доставляет максимум функции Понтрягина:

semykina61.wmf l = 1, 2, 3, где сопряженные функции являются решением системы дифференциальных уравнений

semykina62.wmf

semykina63.wmf (9)

semykina64.wmf

где semykina65.wmf, semykina66.wmf

с граничными условиями на правом конце траектории

qj(T) = 0, pj(T) = 0, gj(T) = 0, semykina67.wmf. (10)

В точках пересечения траекторией поверхностей переключения выполняются условия скачка сопряженных функций

semykina68.wmf semykina69.wmf semykina70.wmf

semykina71.wmf semykina72.wmf semykina73.wmf.

При этом величина скачка определяется по формуле

semykina74.wmf

semykina75.wmf

Введем функции переключения:

semykina76.wmf semykina77.wmf semykina78.wmf, l = 1, 2, 3.

Из условия максимума функции Понтрягина получаем множество задач максимизации

semykina79.wmf semykina80.wmf (11)

Анализ задач (11) и компактного множества ограничений для функций управления (5) позволяет найти оптимальное управление semykina81.wmf, semykina82.wmf.

semykina83.wmf

semykina84.wmf (12)

Если semykina85.wmf semykina86.wmf, или с учетом их определения, когда semykina87.wmf semykina88.wmf l = 1, 2, 3, то оптимальное управление будет иметь вид

semykina89.wmf

В результате получаем краевую задачу принципа максимума, состоящую из системы дифференциальных уравнений (8), (9) и краевых условий (4), (10), где оптимальное управление определяется соотношениями (12).

Выводы

В результате проведенного исследования была разработана математическая модель распространения компьютерных вирусов в локальных сетях, которая позволяет учесть «инкубационное» время заражения узла вредоносным кодом. Впервые данная модель формализована как задача оптимального управления системой дифференциальных уравнений с разрывной правой частью и с запаздывающим аргументом. Сформулированы необходимые условия оптимальности и найден вид оптимального управления, это позволит в дальнейшем объяснить и изучить различные факторы, влияющие на динамику эпидемии.

Рецензенты:

Болодурина И.П., д.т.н., профессор, заведующий кафедрой прикладной математики, Оренбургский государственный университет, г. Оренбург;

Зиятдинов Н.Н., д.т.н., профессор, заведующий кафедрой системотехники, Казанский национальный исследовательский технологический университет, г. Казань.