Описание активности вирусов в защищенных сетях в сравнении

УДК 004(06) Информационные технологии
А.Н. ГУСАРОВ, Д.О. ЖУКОВ
Московский государственный университет приборостроения и информатики
ОПИСАНИЕ АКТИВНОСТИ ВИРУСОВ В ЗАЩИЩЕННЫХ
СЕТЯХ В СРАВНЕНИИ С МОДЕЛЬЮ SIR
В представленной работе излагается новая модель описания развития
вирусных эпидемий в защищённых компьютерных сетях. Проводится сравнение
полученных результатов с известной SIR (S – уязвимости, I – инфицированные, R
– излеченные) моделью.
Рассмотрим сеть, состоящую из L компьютеров, в которой возможен
процесс
распространения
вирусов,
имеющих
коэффициент
распространения ξ.
Процесс распространения вирусов начинается раньше, чем они будут
обнаружены и появится эффективный антивирус способный их
необратимо уничтожить, т.е. антивирусы появляются только на некотором
шаге процесса распространения вирусов отстающим от начала их
распространения на h0 – шагов, т.е. на шаге k=h–h0 (происходит
запаздывание). Число антивирусов появляющихся на (h+1) для вирусов
или для самих себя на (k+1) шаге обозначим как N k+1, а появившихся на kшаге (шаге h для вирусов) как Nk.
Число зараженных на (h+1) шаге компьютеров можно обозначить как
Ph+1, а зараженных на шаге h, как Ph. Изменение числа инфицированных
равно разности числа заражений и числа уничтоженных вирусов
антивирусом на h+1 шаге. Имеются следующие случайные события,
образующие полную систему:
Компьютер заражен вирусом с вероятностью
Ph
(Ph – число вирусов
L
на шаге h, L – число компьютеров в сети). На компьютере с вероятностью
Nk
P N
имеется антивирус и с вероятностью (1 h  k ) нет ни вируса, ни
L
L L
P N
антивируса. Число заражений на (h+1) шаге составит:  Ph (1 h  k ) т.к.
L L
заражение уже зараженного компьютера не происходит, а компьютер, на
котором есть антивирус, заразится не может. Число уничтожений вирусов
N
N
на (h+1) шаге должно составить Ph k , где k – вероятность того, что
L
L
ISBN 978-5-7262-0883-1. НАУЧНАЯ СЕССИЯ МИФИ-2008. Том 11
1
УДК 004(06) Информационные технологии
на (h+1) шаге любой из Ph – вирусов, существовавших на шаге h, может
встретить антивирус. Таким образом:
N
 P N 
Ph1 Ph  Ph 1 h  k  Ph k
L
L
L


(1)
Изменение на (k+1) шаге числа компьютеров, на которых установлен
антивирус, определяется разностью Nk+1–Nk, где Nk+1 – число машин с
антивирусом на (k+1) шаге, Nk – число машин с антивирусом на шаге k.
С другой стороны Nk+1–Nk должно быть равно:
 N 
N k 1 N k  Ph 1 k 
L 

(2)
где ξ∙Ph учитывает, что антивирус устанавливается на (h+1) шаге на тех
N
машинах, на которых на шаге h был обнаружен вирус, а 1 k учитывает,
L
что антивирус устанавливается только там, где его ранее не было.
Учитывая, что длительность каждого шага равна τ, то все время
процесса t=h∙τ, а t0=h0∙τ, (k=h–h0). Переходя от числа шагов h и k ко
времени процесса t, и учитывая, что t-t0=y, разложив (1) и (2) в ряд
Тейлора и ограничившись не более чем первыми производными получим:

dP (t )
 P (t ) N ( y )  P (t ) N ( y )
,
 P (t )1


dt
L
L 
L

(3)
с начальным условием P(t=0)=P0

dN ( y )
 N ( y) 
 P (t )1
,
dy
L 

(4)
с начальным условием N(y=0)=P(t0) где y=t–t0
Уравнения (3) и (4) образуют систему уравнений, которая
существенным образом отличается от системы уравнений, используемой в
модели SIR, но вместе с тем в ряде случаев более адекватно описывает
результаты наблюдений. Основные отличия данной модели от SIR:
1. В уравнении (3) убыль вирусов в правой части определяется
произведением числа вирусов на вероятность их встречи с антивирусом, в
том время, как модель SIR говорит об убыли происходящей с постоянной
средней скоростью, не зависящей от числа антивирусов.
2. В предлагаемой модели скорость изменения числа антивирусов
связана с числом вирусов, имеющихся в данный момент (уравнение (4)). В
модели SIR скорость появления антивируса постоянная и не зависит от
числа вирусов.
ISBN 978-5-7262-0883-1. НАУЧНАЯ СЕССИЯ МИФИ-2008. Том 11
2