21 октября 2018г.
Сетевые черви стали широко распространены с середины прошлого десятилетия в связи с широким распространением глобальной сети Internet. Как и любая другая программа, черви обладают определенным жизненным циклом. Изначально компьютерный червь проникает в систему и активизируется в ней. Затем происходит поиск доступных для заражения устройств и подготовка собственных копий. Последней стадией является распространение своих копий на выбранные устройства. Черви проникают на компьютер двумя способами, отличительной характеристикой которых является степень участия пользователя в проникновении (при пассивном или активном участии пользователя).
В первом случае пользователь сам запускает вредоносную программу, открыв установленный на компьютере или присланный на почту файл. Во втором случае пользователь не открывает никакие файлы, но компьютер становится зараженным из-за ошибок в программном обеспечении (ПО).
Каждая копия червя способна к самовоспроизведению, поэтому распространение эпидемии происходит очень быстро. Наиболее быстрое распространение компьютерного червя возможно в том случае, когда каждый его экземпляр знает адреса незараженных узлов.
Компьютерные черви могут распространяться по глобальной сети Internet, а также по локальным сетям. Большинство червей распространяются по сети Internet. Существуют различные типы червей, которые имеют некоторые особенности распространения.
Почтовые черви используют для своего распространения электронную почту. Они отсылают свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе. Почтовые черви пытаются обнаружить почтовые адреса для рассылки своих копий: адреса, обнаруженные в адресной книге МS Outlook, в адресной базе WАВ, в файлах на диске, в почтовом ящике.
Черви, использующие интернет - пейджеры, отсылают себя только людям, найденным в контакт- листе сообщений.
Черви, основанные на методе копирования себя на сетевые ресурсы, ищут удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (публичные папки), или случайным образом ищут компьютеры в сети Internet и подключаются к ним.
Черви, использующие уязвимые места в операционной системе (ОС) и ПО, ищут в сети компьютеры, на которых используется ПО, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает сетевой пакет или запрос, благодаря которому код червя проникает на компьютер.
Черви, проникающие в сетевые ресурсы публичного использования, применяют для своего распространения веб-сервера и FТР-сервера. Сначала червь проникает в компьютер-сервер и определенным образом модифицирует служебные файлы сервера. После получения запроса пользователю присылается зараженная информация с сервера (примером может быть целенаправленно зараженный прокси-сервер).
Черви для файлообменных сетей копируют себя в каталог обмена файлами, который обычно расположен на локальной машине. При поиске файлов в глобальной сети локальная машина сообщит удаленным пользователям о данном файле и предоставит необходимый сервис для скачивания файла с зараженного компьютера.
В большинстве случаев не рассматриваются варианты активности вируса в изолированных частных секторах сети Internet (локальных сетях). В таких сетях большинство компьютеров, подключенных к сети Internet, используются в обход маршрутизаторов. Поскольку такие компьютеры напрямую не подключены к сети Internet, то заражение происходит посредством зараженных внутренних серверов. Подобная проблема возникает при наличии в организации публичных IP-адресов без корректно настроенной межсетевой защиты.
Так как компьютерные черви представляют достаточно серьезную угрозу для информационной безопасности, прогнозирование динамики заражения сети является актуальной задачей. Для решения задачи прогнозирования используются аналитические, имитационные и натурные модели. В данной статье рассматривается имитационное моделирование распространения сетевых червей.
Существует несколько основных подходов к построению имитационных моделей.
Первый подход - системная динамика. Системная динамика - это совокупность установок моделирования, где для исследуемой системы строятся графические диаграммы причинных связей и глобальных влияний одних параметров на другие во времени, а затем созданная на основе этих диаграмм модель имитируется на компьютере. По сути, такие системы удобнее всего представлять в виде системы дифференциальных уравнений, то есть данный подход ближе к аналитическому моделированию. Поэтому данный подход рассматриваться не будет.
Второй подход - дискретно-событийный подход. Этот подход предполагает абстрагирование от непрерывной природы событий и рассмотрение только основных событий моделируемой системы. При построении модели распространения сетевого червя в сети согласно данному методу и переходу к терминологии дискретно-событийного подхода можно предложить следующую структуру:
1) Экземпляры сетевого червя – сущности;
2) Незараженные компьютеры – ресурсы;
3) К задержкам можно отнести процесс заражения компьютера;
4) События в модели: стадия активного распространения сетевого червя, появление новой версии вируса, обновления антивирусного ПО и другие.
Большинство имитационных моделей основаны на представлении вычислительной сети как динамической системы. По характеру протекания процессов эти модели будут вероятностными. Можно выделить две основные вероятностные модели с дискретно-событийным подходом:
1) Модель на основе цепи Маркова — значения элементов модели определяются по правилам, которые задают вероятность перехода элемента из одного состояния в другое с течением времени;
Достоинство метода: простота реализации. Недостаток метода: недостаточно точный.
2) Модель на основе расчета Гамильтонова пути в вероятностном графе.
Достоинство метода: дает точный прогноз в локальных сетях малого размера (до 30-35 машин). Недостаток метода: неприменим к сетям большого размера
Достоинства подхода в целом:
· Невысокие требования к вычислительным ресурсам и временным затратам. Недостатки подхода:
· Сложность разработки программной реализации системы;
· Проблема параллельной обработки динамики системы.
Третий подход - агентный подход. В данном подходе функционирование системы определяется результатом индивидуальной активности агентов. Агент - сущность, способная самостоятельно принимать решения о дальнейшем поведении в данном окружении или о собственном преобразовании, согласно определенному набору правил. Цель агентных моделей состоит в выявлении глобальных правил системы исходя из действий и взаимодействий агентов.
Согласно агентному подходу можно выделить 4 сущности в модели:
1) Экземпляры сетевого червя;
2) Незараженные компьютеры;
3) Зараженные компьютеры;
4) Незаражаемые компьютеры (ОС не подходит для заражения или установлено антивирусное ПО).
Достоинства подхода:
· Гибкость системы (можно учесть различное количество факторов);
· Децентрализованность системы, что позволяет распределить обработку задач;
· Моделируемые процессы наиболее близки к реальным. Недостатки подхода:
· Моделирование требует больших вычислительных ресурсов и временных затрат;
· Сложность программной реализации при разработке многофакторной системы.
С учетом рассмотренных достоинств и недостатков всех подходов можно сделать вывод, что наиболее перспективными являются агентный подход и подход на основе расчета Гамильтонова пути в вероятностных графах. Агентный подход является перспективным, поскольку этот подход позволяет разработать многофакторную систему достаточно близкую к реальной. Подход на основе расчета Гамильтонова пути дает наиболее точный результат, однако для успешного применения в промышленных масштабах не хватит вычислительной мощности современных компьютеров, поэтому для использования данного подхода необходима предварительная обработка графа, что в некоторых случаях будет давать искаженные результаты.
Список литературы
1. Кельтон В., Лоу А. Имитационное моделирование. Классика CS. 3-е изд. - СПб.: Питер; Киев: Издательская группа BHV, 2004. - 847 с.: ил.
2. Классификация сетевых червей [Электронный ресурс]. - URL: https://studopedia.ru/3_64671_setevie-chervi.html
3. Рыжиков Ю.И. Имитационное моделирование. Теория и технологии. - СПб.: КОРОНА принт; М.: Альтекс-А, 2004 - 384 с, ил.
4. Сравнительный анализ сетевых червей [Электронный ресурс]. - URL: https://www.securitylab.ru/analytics/216325.php
