научная статья по теме МОДЕЛИРОВАНИЕ ВРЕДОНОСНОЙ АКТИВНОСТИ В ГЛОБАЛЬНОЙ КОМПЬЮТЕРНОЙ СЕТИ Математика

Текст научной статьи на тему «МОДЕЛИРОВАНИЕ ВРЕДОНОСНОЙ АКТИВНОСТИ В ГЛОБАЛЬНОЙ КОМПЬЮТЕРНОЙ СЕТИ»

ПРОГРАММИРОВАНИЕ, 2013, No 1, с. 60-72

ТЕСТИРОВАНИЕ, ВЕРИФИКАЦИЯ И ВАЛИДАЦИЯ ПРОГРАММ

У v :

МОДЕЛИРОВАНИЕ ВРЕДОНОСНОЙ АКТИВНОСТИ В ГЛОБАЛЬНОЙ КОМПЬЮТЕРНОЙ СЕТИ

© 2013 г. В.А. Антоненко, Р.Л. Смелянский МГУ им. М.В. Ломоносова, факультет вычислительной математики и кибернетики 119991 Москва, Ленинские Горы мкр., 1, корп.2, стр. 52 E-mail: anvial@lvk.cs.msu.su, smel@cs.msu.su Поступила в редакцию 08.09.2012

В данной статье предложен подход к моделированию Wide Area Network сетей для изучения динамики распространения вредоносного программного обеспечения и его влияния на загрузку сетевой инфраструктуры.

1. ВВЕДЕНИЕ

В современных Wide Area Network сетях, далее Глобальная компьютерная сеть (ГКС), актуально уметь оперативно прогнозировать динамику вредоносной активности - развитие сетевых атак и распространение вредоносного программного обеспечения (ВПО), оценивать ущерб, наносимый такой активностью. В данной статье под словами «прогнозировать и оценивать» понимается прогноз и оценка числа хостов в сети, зараженных ВПО, и доли вредоносного трафика в общем трафике ГКС.

Под ГКС мы будем понимать объединение автономных систем. Под автономной системой (АС), в соответствии с RFC1930 [1], будем понимать сеть с четко определенным периметром и единой политикой маршрутизации. Предполагается, что ГКС обладает следующими свойствами:

• Размер. Порядок числа хостов в сети может быть 107 и более. Хост - это компьютер с интерфейсом к ГКС;

что вся ГКС разбита на домены. Домен -это множество связанных между собой хостов. Далее считается, что множества хостов различных доменов не пересекаются. Стоит отметить, что свойство мобильности хоста пока не рассматривается, то есть

при переходе хоста из одного домена в другой первоначальные свойства домена не изменяются. Поэтому мобильность узлов в данной версии модели не учитывается. Для передачи данных между доменами используется транспортная среда ГКС [2];

• Каналы. Предполагается, что домены связаны между собой каналами типа «точка-точка» [2].

В данной статье будем считать, что внутренняя структура домена неизвестна. О каждом домене известны лишь определенные количественные характеристики - например, число хостов, набор источников и потребителей сетевого трафика. Методика разбиения АС на домены в данной работе рассмотрена не будет.

Для оценки качества сервиса в ГКС будем использовать два основных параметра:

ся транспортной среде [2] для передачи данных между взаимодействующими приложениями;

ных при передаче между доменами через транспортную среду ГКС. Существует множество причин, из-за которых данные могут не дойти до получателя (отказ оборудования, неправильная конфигурация оборудования, загрузка каналов, ошибки передачи и

т.д.). В данной работе будут рассматриваться потери связанные с загрузкой каналов и перегрузкой ресурсов доменов.

Данные, образующие трафик ГКС, будем различать по типам генерирующих их приложений:

• легитимные - данные, генерируемые сетевыми приложениями и служебными сетевыми протоколами (К'MP. DNS, DHCP и др.);

передаче экземпляра ВПО, и трафик, генерируемый этим ВПО.

В отсутствие теории компьютерных сетей основным методом для получения упомянутых выше оценок является имитационное моделирование. На сегодня существует ряд работ, посвященных исследованию влияния изменений структуры сети или изменений интенсивности трафика на качество сервиса в сети [3, 4, 5].

Существует несколько программных продуктов, позволяющих моделировать сети [6, 7, 8]. Однако все они предназначены для исследования сетей меньшего масштаба, чем ГКС. В некоторых работах [9, 10] моделируемая сеть описывается на уровне отдельных хостов и маршрутизаторов, что делает такой подход непригодным для моделирования ГКС по следующим причинам:

гласно исследованиям, проведенным в работе [11], максимальный размер сети, при котором возможно применение имитационного моделирования, составляет 106 узлов. Размер ГКС может быть существенно больше -107 и более узлов, вследствие чего существующие вычислительные мощности не позволяют получить решение имитационной модели за приемлемое время;

структуры сети и определения потоков трафика. Для того чтобы провести моделирование сети на уровне хостов, необходимо определить топологию сети, а также для каждого хоста указать его основные свойства, в частности набор установленных сетевых приложений, их сетевую активность и т.д. Настолько подробные сведения

обо всех хостах в масштабах ГКС на практике получить очень сложно. Более того, описать корректно подобную сеть невозможно из-за трудоемкости и высокой вероятности ошибки.

В данной статье предложен подход к моделированию ГКС, свободный от отмеченных недостатков.

Основу любой имитационной модели составляет математическая модель рассматриваемого явления или процесса. В данной статье представлена математическая модель функционирования ГКС, которая может быть положена в основу соответствующей имитационной модели. Основная идея предлагаемого подхода к построению модели заключается в рассмотрении сети, как совокупности ее фрагментов, агрегированных в, так называемые, домены. ГКС представляет собой совокупность доменов, соединенных каналами. Как уже было сказано, о каждом домене известна общая информация (например, число хостов, набор источников и потребителей сетевого трафика, степень защищенности хостов от ВПО разного типа и др.) и множество каналов, по которым трафик поступает в домен и исходит из домена.

Каждый домен имеет определенный набор истоков и стоков. Исток - это точка подключения канала к домену, через которую трафик поступает в домен. Сток - это точка подключения канала к домену, через которую трафик уходит из домена. У домена может быть несколько истоков и стоков. Канал может быть подключен только к одному стоку и одному истоку соответствующего домена. Другими словами, канал не может соединять один и тот же сток с несколькими истоками как другого, так и разных доменов. И, наоборот, несколько стоков не может быть соединено с одним и тем же истоком. В модели каждый канал, соединяющий домены, однонаправленный и ориентирован от стока одного домена к истоку другого домена (такие домены мы будем называть смежными). Если в моделируемой ГКС канал дуплексный, то в модели он будет представлен двумя разнонаправленными каналами. В этих предположениях сеть доменов может быть описана в терминах конечно порожденной частичной алгебры [30].

Трафик в сети рассматривается в виде сово-

купности потоков [12], где каждый поток характеризует обмен данными между сетевыми приложениями. Совокупность потоков, проходящих через один и тот же канал, будем называть трафиком канала. Под интенсивностью трафика канала (потока) будем понимать количество данных (байтов), прошедших по каналу (потоку) в единицу времени.

Правомерность использования понятия потока основана на том, что в современных сетях преобладает использование виртуальных соединений между взаимодействующими сетевыми объектами. Маршрутизация на уровне пакета в настоящее время на практике применяется редко. Говоря о потоке, мы фокусируем внимание на взаимодействии двух сетевых объектов, а не пытаемся охватить все взаимодействия, проходящие через определенный канал. Такой подход к моделированию поведения ГКС хорошо соответствует активно развиваемому новому подходу к архитектуре компьютерных сетей - Программно-Конфигурируемые Сети (ПКС) [12].

Рассматривая сеть на уровне доменов, мы пренебрегаем локальным трафиком внутри домена, который для оценки динамики распространения ВПО и влияния трафика ВПО на уровне потоков не важен. В рамках поставленной задачи необходимо оценить динамику заражения ВПО хостов внутри домена, что достаточно точно описывается эпидемиологическими моделями [22], которые будут рассмотрены ниже.

Заметим, что домен в предлагаемом подходе играет двоякую роль. С одной стороны, в нем сконцентрированы ресурсы (хосты, приложения, средства передачи данных и т.п.), с другой - он выполняет функции коммутатора.

2. СВЯЗАННЫЕ РАБОТЫ

Описание сети включает в себя три основных компонента: описание структуры сети, описание сетевой активности, задание рабочей нагрузки. При описании структуры сети обычно используют теорию графов. Основной вопрос заключается в том, что понимать под вершиной графа - хост или подсеть. Абстрагирование вершины графа, когда вершина поднимается с уровня хоста до уровня подсети (набора хостов), позволяет моделировать сети большего масштаба при

более низких требованиях к ресурсам для вычисления модели.

Существуют системы имитационного моделирования, реализующие подходы к пакетному моделированию трафика (ns3, OPNET [13, 14]). Как уже было отмечено, системы, описывающие сетевую активность на уровне пакетов, ресурсоемки и не применимы для моделирования сетей больших масштабов. Для моделирования функционирования сетей, исходя из обзора [15], можно выделить несколько основных подходов: •

Перспективным подходом для моделирования сетей больших масштабов представляется последний подход. Данный подход менее требователен к ресурсам за счет более общего, по сравнению с пакетным подходом, представления трафика.

Одной из основных проблем при использовании потокового моделирования является генерация рабочей нагрузки. В существующих системах [13, 14, 19, 20] присутствуют генераторы нагрузки, однако они генерируют исключительно фоновый трафик, причем без возможности изменений его характеристик в ходе эксперимента. Необходимо учитывать, что для разных типов трафика необходимы разные генераторы рабочей нагрузки [29]. Создание точных генераторов рабочей нагрузки является актуальной задачей, однако ее рассмотрение выходит за рамки данной статьи.

На сегодня известно около 20 эпидемиологических моделей, позволяющих моделировать динамику распространения ВПО, например: •

Detected-Removed model (PSIDR) [23]; (AAWP) [24].

Перечисленные модели являются модификациями моделей, используемых в эпидемиологии, адаптированными к компьютерным сетям. Данные модели можно использовать для описания распространения ВПО, однако для решения поставленн

Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.

Показать целиком