文摘

在过去的几十年里,互联网带来了无数的好处几乎是我们日常生活的方方面面。然而,恶意攻击也广泛扩散,主要针对合法的网络用户,造成数百万美元的损失,如果不解决和实施适当的保护和应对措施。手头在这种背景下,本文提出MalSEIRS,一种新颖的动态模型,来预测网络中恶意软件分布基础上西珥流行病学模型。结果,时间的感染,恢复,以及免疫系统使我们的损失来捕获复杂的恶意软件传播行为的活力,这是受到各种外部环境的影响。此外,我们描述两个进攻和防御技术,提出基于MalSEIRS模型,通过大量的实验,以及披露真实的恶意活动,可以更好地理解使用建议模型。

1。介绍

恶意软件攻击是目前一个严重的问题在计算机网络和物联网设备(1,2),虽然他们并不是一个新现象。这个词恶意软件是指任何软件故意破坏电脑设计,服务器或计算机网络。这样的恶意活动是由代理构成威胁,可能个别演员甚至有组织的犯罪集团。一系列的活动由威胁代理商使用特定的技术称为某些特定目的恶意软件运动。当恶意软件如何影响计算机网络进行研究,识别至关重要的类型的恶意软件处理及其行为特征。

存在不同类型的恶意软件在互联网上,如木马、间谍软件、ransomware,病毒,蠕虫,rootkit,各有特色,使其独特的运营方式(3]。例如,病毒和蠕虫(之间的主要区别4]是一种病毒引发和传播通过受害者的干预,而一个蠕虫是一个独立的恶意程序,可以自我复制和传播通过网络不需要任何人工干预。这种情况使蠕虫感染病毒,但不一定更危险。

一些恶意软件活动的例子WannaCry进行攻击,2017年5月,据估计,在150个国家已感染超过200000台电脑(5),爱虫病毒攻击,2000年5月被感染的大约10%的全球联网电脑,导致全球经济损失高达80亿美元(6]。在这种背景下,一个类比可以之间的传播病毒或蠕虫在计算机网络和疾病的传播在人类大流行的一部分。此外,疾病的概念适用于生物可以被看作是一个恶意软件感染的设备连接到互联网,容易受到攻击。因此,各种条款适用于流行病学可以外推到一个恶意软件传播语境。

感染的发生有一定概率出现易感和受感染的个人之间的联系;同样,这种接触可以被理解为通过互联网连接,例如,脆弱和受感染电脑。正如一些疾病并不立即表现出症状,受感染的设备可能在一段时间内没有出现异常行为,称为延迟,因为恶意软件保持隐形被自己的决定或一段时间,因为需要用户干预来完成感染。在疾病的背景下,受感染的设备可以恢复通过各种策略,如补丁、更新,或防病毒策略,并获得一段时间的免疫力的恶意软件将无法攻击一次。然而,随着恶意软件也可以发生变异或混淆,该设备可以又脆弱。因此,疾病流行病学模型规则的动态也可以适用于恶意软件传播的背景下。

最基本的流行病学模型之一先生(7),其字母代表之间的自然过渡以下状态:易感,感染,和恢复。这个模型只考虑感染过程由接触引起易感个体和被感染,和恢复过程,发生在受感染的个人在不确定的时期。这个模型的一个重要特点是,免疫力是无限的,即,一个恢复的人永远无法获得感染。它的一个更复杂的推导西珥(8],它添加了一个名为暴露的新状态,代表之间的潜伏期在感染和传染性。除此之外,这个前模型并识别可能的再感染和可以添加其他动力学如出生、外部死亡,由于疾病和死亡。

因此,本文提出了MalSEIRS,一种新的模式来分析,更好的理解,甚至恶意传播预测基于现有的计算机网络西珥模型,它考虑了感染、恢复和免疫损失率随着时间提供一个更精确的意义在一个真正的上下文。MalSEIRS模型本文中描述的不仅是一个适应西珥模型到一个恶意软件环境也修改其参数和利率。此外,使用MalSEIRS模型的预测能力,防守策略可以提出缓解高度传染性的恶意软件,不仅保证恢复的操作计算机网络也是数据的安全。另一方面,进攻策略也可以提议从MalSEIRS模型,它定义了所需的特征的恶意软件在网络战争的背景(9]。简而言之,本文的主要贡献是提出了下:(1)新模式的建议(MalSEIRS)来分析和预测恶意软件的传播,认为的活力感染,恢复,以及免疫力率的损失。(2)具体的防御和进攻策略的发展通过详尽的实验,以证明MalSEIRS模型的有效性。

本文的其余部分的结构如下:部分2介绍了理论背景,以确保一个良好的理解在我们的研究中使用的关键概念。部分3分析了该领域的主要作品。接下来,节4提出了详细的结构提出MalSEIRS模型,特别是了解时间。然后,部分5显示了实验证明模型的有效性在确定相关防御和进攻的策略。部分6然后证明了函数选择代表恶意软件基于不同的现实世界的恶意软件的传播活动。最后,部分7总结工作,总结主要的成果和突出一些未来的研究方向。

2。背景

就像前面提到的1流行病学模型可以推断在恶意软件传播。流行病学模型主要是由微分方程关联函数与其导数,允许描述人口暴露于传染病的变化。为了恶意传播模型,我们将考虑一个“节点”属于“人口”可能是一台机器连接到互联网,如路由器、主机或服务器。因此,本节将解释的先生和西珥流行病学模型可以应用在计算机网络环境。

2.1。爵士模型

的先生模型由方程(2)只考虑三种状态的易感,感染,和恢复,使它的一个简单的模型来工作。每个单独的研究人口属于只有其中的一个州在给定的时刻。同时,它认为一个静态人口和死亡率没有,这意味着人口是恒定的所有阶段的分析大流行。此订单的想法,先生模型是由总人口 在哪里(1) 人口总数由所有节点被认为是在分析,(2) (敏感)的节点集具有一定的脆弱性,这意味着它们可以被恶意软件感染的,(3) (感染)是一组节点已经感染了恶意软件,和(4) (恢复)是一组节点,必要的安全措施来检测和删除恶意软件。

此外,爵士模型中每个节点可能这些状态之间的转移允许两种可能的变化:(1)容易感染( ):这意味着一个易感节点接触受感染的节点,和恶意软件已经从后者前者。此外,这种状态改变时也认为如此敏感节点已被故意感染来自攻击者的行动,而不是从另一个节点。(2)感染恢复( ):受感染的节点删除恶意软件,例如,通过一个杀毒软件在本地运行,可能会改变从感染到恢复。这种状态改变时也可能出现恶意软件执行self-destroy常规一旦它的生命周期结束。

此外,爵士模型遵循的结构如图1,易感人群变成了被感染的速度 ,和受感染的人口恢复速度 。

总的来说,系统方程方程所示(2), , 和 表示在时间节点的数目在每一集 , ,和 ,分别。

2.2。西珥的模型

反过来,西珥模型给出了方程(4)是一个西珥模型的变化,反过来先生是一个变化的模型。介绍了国家暴露( ),表明一个节点“孵化”的恶意软件,我们将在稍后解释。此外,该模型引入了多个参数如孵化率和死亡率由病毒或其他原因引起的,允许在大流行人口不是常数。最后,西珥模型还考虑了人口的出生。因此,节点的总数西珥的人口模型计算

此外,西珥模型允许转换的状态如下:(1)容易暴露 :从容易暴露在流行病学背景下发生当一个人接触到病毒。在恶意软件环境下,一个易感节点成为暴露当节点的恶意软件已经安装,但它没有充分执行其功能。(2)暴露于感染 :在这种情况下,恶意软件安装在一个节点执行,这意味着节点被感染。(3)恢复到敏感 :这意味着该节点已经失去了免疫力,使随后的再感染。这可能发生,例如,当一个杀毒软件许可证已经过期或当一个操作系统没有及时更新。(4)容易恢复 :新的安全措施在一个节点中启用允许它改变容易恢复,这意味着该节点不能被恶意软件感染的。它的工作原理就像一个疫苗,因此,节点不受恶意软件。

的西珥模型是图中观察到2,易感节点变成暴露节点速度 ,和反恶意软件感染人口消毒率 ,即。,the recovery rate. Moreover, the exposed population might be infected with a latency ,即。,the malware execution rate. As for those nodes recovered, they could actually lose their immunity with a rate 。此外,在每个国家,都有一个死亡率 由于外部原因。最后,受感染的节点也会“死”,因为病毒的速度 ,和易感人群也认为新的“出生”的速度 。表1包含所有的摘要西珥的参数模型。

最后,我们可以代表前图所示的方程组方程(4)。

3所示。国家的艺术

如前所述,恶意软件仍然是计算机网络面临的主要威胁之一。特别是,其内部传播系统资产带来了一些挑战,健壮的解决方案模型,需求可能防止其危险的扩散。

在裁判。10),作者提出了一个动态传播模型来研究传播恶意软件在虚拟环境。具体来说,作者探索了不同的恶意软件传播因素,如在虚拟机安装杀毒构成云生态系统。类似于裁判。16],提出的模型是基于三个州,即保护(P)、易感,感染(I),恶意软件传播与一组微分方程建模,描述美国的时间依赖性。然后,平衡分和稳定性(即。,local and global) are computed, and the system of equations is simulated, showing that the malware cannot be eliminated from the environment if the parameters of the model are not correctly tuned.

此外,作者在文献[11)应用先生模型来捕获恶意软件传播的特点。后彻底讨论病原体和恶意软件传播的相似性,爵士是广义分析恶意软件扩散感染易感人群,有两个方法,即。点对点(P2P)和中央源(CS)。有趣的是,作者在真实数据测试了提出模型,包含恶意软件的数据集的痕迹从2017年4月到2018年4月。预测结果表明,可以获得恶意软件扩散方法从时域剖面模型的适合它。此外,该模型表明,疫苗接种(即。,恶意软件signatures) is more effective in containing the spread of CS malware.

此外,一个数学模型,考虑检疫和疫苗接种抵御蠕虫攻击无线传感器网络(WSN)提出了裁判。12]。具体地说,作者利用SEIQRV模型的功能,增加隔离(Q)和接种疫苗(V)的上述状态。计算系统的平衡与稳定后,执行各种模拟计算:(i)通信半径对蠕虫传播的影响,(2)节点密度的影响,(3)模型的评价在不同条件下(即。、改变参数)和(iv) SEIRV和SEIQRV模型之间的比较。在这个程度上,作者声称,实验结果可以帮助发展的特定轮为杀毒软件。

此外,作者在裁判。13]分析了小说理论模型来模拟网络恶意软件的扩张。尤其是,他们研究了SCIRS模型认为种群动态、载体(C)室,接种疫苗,可能再感染。作为一个扩展的建议参考。17),作者提出了计算模型和稳定状态。然后,介绍了数值模拟与高级安全对策的建议。

此外,移动互联网的另一个恶意软件传播模型提出了裁判。14]。具体来说,作者提出了一个SLBQR模型,它包含了潜在的爆发(左)和(B)州对细节的恶意软件扩散。值得注意的是,他们认为临时免疫接种和隔离策略。讨论之后很现实的假设,作者计算了平衡和数值模拟模型。工作的主要结论有二:(i)地方病平衡不会worm-free因为潜在的蠕虫病毒变异,和(2)可以执行隔离策略停止扩张的威胁。

同时,作者在文献[15]介绍了一种时滞蠕虫传播模型与变量感染率。假设蠕虫感染是一个非线性的过程,临时补丁会失去效率,他们提出了一个SIQVD模型,这增加了延迟(D)国家考虑的时间延迟状态的转换。然后,确定均衡的稳定性。模拟运行,选择的监狱虫实验。结果突显了病毒传播的依赖与引入了时间延迟,即。,传播可以预测与控制的变量。

总的来说,分析作品代表着进步的最先进的蠕虫传播在几个场景的建模。然而,一些有趣的特性是失踪或部分解决的文学。在这个程度上,表2比较这些作品基于本文提出的主要特征。准确地说,他们提供的源代码实现的实验。在这个方向上,我们相信传播的仿真代码共享成果的基础,让其他研究人员比较模型与增加股本。此外,很少考虑内在工作动力方程参数的传播模型。事实上,考虑到现代计算机网络的活力,MalSEIRS模型提出了手头的论文包含方程依赖时间有一个正确的描述。此外,威胁的进攻角度传播在当前state-of-the-art-related通常被忽视的作品。毫无疑问,这些模型的主要目标是封装的威胁的特点以包含/阻止它从防守的角度。然而,我们的研究也传播从攻击者的角度,针对有可能获得额外的知识。最后但并非最不重要,讨论可能的应用提出的模型在现实世界的威胁也缺乏相关的工作。通过这样做,我们在我们的论文,和模拟的数学模型与现有的蠕虫会拥有更紧密的联系,从而证明他们的鲁棒性。

4所示。提出MalSEIRS模型

本节描述的关键方面提出MalSEIRS恶意软件传播模型,解释了原因,支持它的每个主要组件。该模型是一个创新的西珥模型的修改,允许:(i)改编的感染,恢复,和免疫利率以使他们损失时间,(ii)生育纳入计算机网络的背景下,和(3)增加疫苗保护恢复节点的概念。因此,微分方程组提出了建模的恶意软件的分布网络方程所示(5): 在哪里 , 是感染或恶意软件传播率,恢复或恶意软件移除率,和损失的免疫力,将描述的章节4.1- - - - - -4.3,由方程(4)- (6),分别。此外, 是免疫的,出生的磁化率率,和新节点连接到网络,按照章节4.4和4.5,分别。最后, 机器不可用利率是由其他原因引起的,恶意软件执行速度,和机器不可用速度引起的恶意软件如前所述表吗1。

4.1。感染率

恶意软件感染或传播率通常被认为是一个常数在典型的西珥模型。然而,我们相信这种速度变量随时间取决于感染和环境的情况下18),包括不同的反应对策部署包含攻击(19]。特别是恶意软件爆发时,大量的受感染的主机可能达到在短时间内,叫做高峰,导致高感染率 。然而,这样的感染率最终将减少由于不同的反应行为20.]对攻击(我)网络拥塞等恶意软件的传播活动的影响,(2)基于主机的反恶意软件解决方案的更新目前部署在易感节点包括指标检测恶意软件的妥协,(3)打补丁或升级操作系统相关的易感节点来减轻漏洞,(iv)设置防火墙等网络安全解决方案或IPS(入侵预防系统)包含攻击之前到达易感节点,或者(v)只是断开节点使其遥不可及的。

因此,感染率将计算在方程(6),包括最初的感染率和 作为一个积极的常数用来调整速度的降低感染率。这个函数被选中,因为它代表了简单地减少感染率。它还允许调整其衰变速度取决于上下文,它趋于0时感染的数量趋于无穷。

4.2。回收率

经济复苏或恶意软件去除率也可以改变随着时间的推移根据治疗适用于感染节点的可用性。新的恶意软件活动的开始,预计经济复苏速度可能较低,根据年级新奇的攻击,比如,一个恶意软件可以考虑更多的新奇如果利用零日漏洞(21]。然而,随着恶意软件活动的发展,预计新的纠正机制清洁和净化感染节点可用,开车可能提高回收率。这样增加回收率不仅取决于可用性的纠正机制还在他们的及时应用到受感染的节点。

因此,回收率(见方程(7)可能由双曲正切表示,为它提供了利率在0和1之间积极的时间值,它倾向于1恢复节点数量的增加。常数 是一个积极的价值,它是用来确定回收率以多快的速度将接近1,即。,how fast the adequate update and protection measures will be applied by the victim organization.

4.3。失去免疫力率

恶意软件攻击的初始阶段可以混乱的稳定和效率所采用的安全措施的敏感和感染的节点。调优的过程安全措施使其稳定和高效的持续时间取决于:(i)可用的信息恶意软件运动,妥协可能出现的新指标,(ii)的发现恶意软件的一些新功能,睡在恶意软件运动的初始阶段,(3)突变的外观或混淆版本的恶意软件,等等(22,23]。这种情况可能引发的免疫振荡一段时间,即使它也预计,这个利率最终将0,代表一种情况网络中的所有节点成为免疫。

率损失的免疫力可能在方程(计算如上所述8),这是一个阻尼余弦表示先前提到的振荡。绝对值定义为保证率值在0和1之间。的参数 确定阻尼的强度,即。,the higher its value, the faster the loss of immunity rate will stabilize at 0. On the other hand, 决定了余弦函数周期的长度,并允许延长时间的振荡。

4.4。的免疫

免疫的速度将取决于疫苗的存在,在这种情况下表示为预防对策应用于敏感节点使其达到状态恢复先前没有被感染。在计算机网络中,这种疫苗可能被视为反恶意软件的安装解决方案,签名的更新现有的反病毒解决方案,或另一个保护策略,使敏感设备。例如,一个值 表明一个匹配的安全解决方案,如一个更新,部署在一半的设备容易受到威胁在每个时间步,如每一天。

4.5。出生的磁化率率

参数代表的新节点连接到网络,这可能被视为个体的诞生。新节点将进入这些敏感的组织或恢复基于出生的易感性 。

例如,一个价值5意味着在每个时间步,5新设备进入网络。这些可能是也可能不是防止这种威胁。如果 ,这意味着3这些设备容易受到恶意软件的攻击,而其余2保护反对和直接输入的恢复。

5。MalSEIRS的分析模型

几个实验对提出的模型来评估其性能时改变其参数改善进攻和防御策略。初始条件报告部分5.1,而部分5.2分析了基于参数检查的建议。然后,部分5.3比较了模型与接触最先进的建议。最后,在节5.4,某些特定场景探索以建立一些最优值。

5.1。初始条件

我们假设最初组成的一个网络 节点的初始条件定义为下面。这些初始条件可能代表一个小电脑或物联网设备组成的网络,即。,一个很常见的场景在智能家居和SMB(中小企业)。在这样一个背景下,一个单一的设备可能被感染容易被恶意应用程序下载和安装。受感染的设备与其他设备连接的网络,感染的传播将是一个时间问题。(1) (2) (3) (4)

表3实验显示了初始参数考虑,我们选择的特定参数值相关的恶意软件。我们认为恶意软件感染的第一阶段将执行本身的攻击和正确安装后,这是由一个表示和接近上限。同时,我们选择一个减少的价值代表一个恶意软件感染,但不会引起不可用。此外,选择值和表明,节点更容易失去免疫力随着时间的推移,这意味着损失的变化所导致的安全措施恶意软件运动(新的模糊技术,新漏洞被利用,等等)。

同时,避免增加考虑因素在过去的场景中,我们认为死亡率由外部原因并不可观。值的参数(1)代表了网络拥塞和实施控制措施的能力。最后,我们考虑节点将免疫很快通过设置和一个最小值至0.5附近。

提出了模型的仿真结果与前面定义的参数是描绘在图3,仿真时间是30的时间单位。时间单位指的是时间尺度(秒、小时等),这取决于上下文的攻击。图3与典型的观察是一致的行为控制发作,易受影响的数量,暴露,和感染节点最终趋于零,而网络中的所有设备收敛的恢复。组间最大的变化发生在第一个5单位时间:恶意软件攻击一定数量的设备快速(5妥协的感染高峰达到设备),但其有效性明显降低一旦安全团队能够应对攻击。小初始振荡和显示失去免疫力的影响。然而,这样的效果不够显著,并迅速下降为零,所以这些群体稳定快速。

5.2。MalSEIRS分析的参数

除了最初的实验在前面的小节中,几个模拟进行了通过改变每个参数表3同时保持恒定的其他参数的值。这些实验将使我们能够确定趋势的模拟MalSEIRS模型参数变化时。在仿真参数的变化旨在至少包括三个有意义的值在每个参数的规模,例如,低,中,和高值,如数据4和5。模拟中使用的所有代码和数据在本文可供进行开放的咨询项目存储库(https://github.com/BelisaDi/Malware-Propagation-Model)。

当最初的感染率以一个值为小如0.2(见图4(一)),暴露和感染节点的峰值降低相比,获得的图3在哪里是0.8,也就是说,恶意软件的传播规模很小,减少攻击的影响。为 ,我们观察值之间的传播行为一般保持时获得的是0.8和0.2。我们也看到,恢复节点的值是相似的在第一次2单位时间的所有值 ,但获得区别当达到峰值。重要的是要注意,结果什么时候是0.5和0.8之间,更接近与获得的结果相比,什么时候是0.2。这种情况代表了攻击者的管理相当的重要性最初的感染率 ,因为它有助于占有网络,因此做出艰难复苏的攻击。

此外,较低的恶意软件的执行速度 ,作为一个如图4 (b)( 0.2),可以表明,恶意软件是一个病毒,即。,it needs the interaction of a person for the infection, increasing the latency in the propagation of the malware. For a malware execution rate of 超过0.2,暴露节点被感染节点的数量,与图所示3(= 0.8)。恶意软件执行率高,例如,= 0.9,表明该恶意软件是蠕虫,它将整个网络传播得更快。恶意软件可能也有一些执行等特点计划任务/工作(24),允许在特定的时间执行的恶意软件,这可能是由一个表示 。这最后的情况意味着恶意软件具有相同的概率被执行或不是在每一次,代表平均恶意软件。

此外,当增加免疫 ,如图4 (c)( 0.8),恢复节点数量的增加而减少易感节点相比,快一点 ,这意味着可能已经采取一些安全措施(例如,基于主机的防火墙、反恶意软件解决方案或其他)克服攻击和减少损失,因此恶意软件可能不容易通过网络传播(事实上,这将是一个合适的方式完成感染)。然而,网络总是可以有一个易感节点。此外,一个小的价值像0.2可能代表一个脆弱的网络没有控制措施。实际上,我们可以看到在图4 (c),当 易受影响的数量增加和恢复减少由于没有主动免疫的设备。此外,它也表明,恶意软件有防御逃税24),以避免检测,这将使其难以检测。

机器不可用利率引发了其他原因( )并引发恶意软件( ),显示在表3也提交变更。当高价值等 (见图4 (d)),每组稳定接近为零。的情况与此类似 ,节点的不同群体趋向于零,表明大约50%的网络节点已经断开连接或网络节点损坏是由于外部原因,而不是恶意软件。这些情况意味着结束的恶意软件感染传播由于缺少节点,即。以来,总共断开网络的节点没有活着。一个高代表了一种简单的方法来终止感染,即使这意味着离开网络失效。另一方面,当增加的价值 0.8(见图4 (e))暴露和感染节点的数量减少由于恶意软件是破坏性的。事实上,如果恶意软件是如此之高,这意味着没有时间在网络传播,更典型的攻击只专注于一个特定的网络的一部分,或者在一个特定的恶意软件就像一个rootkit。

此外,当增加从0.2到0.8,我们观察到恢复节点的组显著减少,因为没有节点恢复由于死亡率。同时,在这种情况下,受感染的峰值大幅减少,表明没有多少机器被感染的死亡率非常高。

当新节点的数量 率和出生的易感性 0.2(见图4 (f)),我们观察到恢复节点增加很快,它甚至会相对安全,允许新节点进入网络。此外,这意味着新节点在网络带来必要的安全措施来克服感染。另一方面,当 (见图4 (f)),我们观察一个增量的易感节点,这不是理想情况,因为这意味着流感大流行可能需要更长的时间才能完全扑灭。此外,我们可以看到,当恢复节点 或 减少相比, ,这意味着去年以来通过网络恶意软件可以允许脆弱节点的访问。

就像前面提到的4.2的高价值的回收率(见方程(7)意味着复苏将是缓慢的。在这方面,人物5(一个)模型显示了测试的结果 和 。这种情况意味着恶意软件使用防御逃税避免卸载(24),正如我们前面所提到的免疫。如果我们比较这些结果得到的图3和结果图5(一个)与 ,我们观察到的峰值恢复节点减少而感染节点的峰值增加,这意味着节点的恢复更加困难。这种情况最可能发生由于恶意软件的情况下像anti-sandbox属性或其他机制的恶意软件对识别一个反恶意软件解决方案中运行的节点,然后避免恶意行为。

免疫速率的参数丢失也是多种多样的,作为我们的实验的一部分。如果参数增加3到10(参见图吗5 (b)),即。,a value bigger than the considered in the initial parameters ( ), 很快将接近为零,这意味着它将是非常一个节点很难失去免疫力,如图5 (b))。事实上,这种情况会导致恶意软件传播的结束。另一方面,作为参数引起振动的敏感和恢复节点,增加会延长振荡周期,如图5 (c)。

最后,参数用于感染率决定了传播速度将接近于零(见方程(6))。为一个伟大的价值 , 将很快接近零,另一方面,对于一个小的价值呢 ,感染率下降较慢。因此,从防守的角度来看,最好是有一个伟大的价值 ,如图5 (d),暴露和感染节点的山峰被还原时 10。这种情况与时的情况形成鲜明对比 ,它显示了更高的山峰。因此,一个高意味着恶意软件不太传染性或攻击者集中攻击,而低意味着恶意软件也具有传染性。

上述实验帮助我们更好的理解提出MalSEIRS的行为和动力学模型,以预测恶意软件传播一些现实的情况下和场景。

5.3。比较评价MalSEIRS

额外的模拟运行来验证该模型的有效性,比较其行为的背景模型,西珥(8),和两个相关先进的模型,SLBQR [14)和SIQVD (15]。用于所有的参数表中描述的模型4和初始条件,提出了利用分段5.1。

从最简单的模型开始,让我们回顾一下西珥模型,给出了方程(4)。注意参数的明确的相似性用于该模型,只有在这种情况下,利率都是常数。

尽管回收率高,超过一半的感染者在每个时间步复苏,和损失最小的免疫力,观察到感染的数量在西珥从未达到零(见图6(一)),建议一个特有的平衡态。此外,由于感染率从未减少,感染和接触设备的峰值大幅提高。在这种情况下,该模型表明,在攻击的事件,它最终将是可行的实施合适的和相关的安全措施,消除恶意软件,这是一个合理的假设。此外,由于西珥稳定快,它不占反击场景部署等基因突变的恶意软件通过一个指挥和控制中心,例如,使用中所述的技术参考。24]。

移动到更有趣的模型,提出的SIQVD姚明et al。(15应该分析。易感,感染(我),隔离(Q),接种疫苗(V),延迟主机(D)中包含的状态模型。最相关的是,提出的模型中,感染率参数是时间节中描述,采用相同的形式4.1。模型是由方程(9)。虽然原文更多细节和建筑模型的行为,相当大的努力是为了确保参数的值利用尽可能接近这些建议的提出的模型。

因此,我们可以看到在桌子上4,β的值函数( , )和疫苗接种率( )保持相同。值相对较高的回收率感染( )和隔离( )被认为补偿函数的活力在这篇文章中,提出损失以及低免疫( )。检疫率( )仍然保持在一个较低的值,因为它是不可能比较组。

结果图中可以看到6 (b)。不考虑延迟状态的一个问题是场景的数量和/或解决方案。过渡从容易感染被认为是直接的,这表明,恶意软件和感染的设备尽快执行的机器上,这意味着它是适合一个特定的恶意软件的家庭如蠕虫4]。沿着同一条直线,一个被忽视的选择是警告受害者不要执行恶意文件,这将防止感染,即使执行已经在机器上。这是描述为一个执行技术在斜方矩阵(24),可以依靠技术,如社会工程恶意软件来执行。然而,M1017等措施之一,基于培训用户学会识别恶意文件和钓鱼,可以与我们的模型建模而不是SIQVD。

此外,一个常数失去免疫力率意味着一定百分比的设备,一个适当的保护状态永远不会实现。等大规模的情况下这可能是足够整个互联网,但它是至关重要的企业等小尺度获得这种地位。更有意义的丧失在这些情况下免疫达到零控制一旦攻击。换句话说,SIQVD不考虑一个训练有素的事件响应团队的存在(25)或一个环境数字安全提升,维护,例如,杀毒软件许可证,重要的更新等。

以同样的方式与前面的情况下,该模型的模拟控制攻击而SIQVD模型达到一个地方病平衡点。此外,感染者的峰值更加突出在后一种情况下,尽管它处理一个变量感染率随着时间的推移,在本文中给出的一样。

最后,SLBQR郑等人提出的模型。14可以了)。它认为易感(S),潜在的(L),喷火(B),隔离(Q),恢复(R)的状态。隐藏和暴露状态之间的类比(E)和爆发和感染(I)在西珥是明确的。这样一个模型是由方程(10)和相同的方式在前面的情况下,模拟的一个重要工作是在平等的条件下为一个公平的比较。

选择的值在表中找到4。这里所有利率不变。这是不现实的,因为在部分稍后讨论6。例如,它是臭名昭著,红色代码病毒的感染率达到顶峰的攻击,然后迅速下降(26]。参数保留他们的意思,是总数;然而,包容的和值得注意的是。

虽然可以解释为疫苗的接种率和作为隔离设备的回收率,这些也影响免疫力恢复设备的损失。有趣的是,这种失去免疫力不发生基于恢复主机的数量呈现,而是潜在的数量和隔离设备。这是危险的,因为如果设备的数量和比这大得多的 ,可以达到负值为后者,不属于地区的可行性。这是更不用说,是没有意义的速度丧失免疫接种的速度是一样的,例如,因为它们是两个完全不同的过程。

仿真结果图中可以看到6 (c)。该模型的行为本质上是光滑和比SLBQR,更容易预测,由于延迟,提出了两个大的山峰在每个组:一个仿真开始时,另一个5单位以后的时间。这也可能是由于高免疫力。

潜在的峰值(或者说,暴露)太高SLBQR模型和快速发生相对于其他模型之前进行了分析。这提供了一个相当危险的场景,在该场景中,恶意软件扩散到几乎所有主机立即。这种行为不适用场景最佳安全实践应用或考虑到网络拥塞可以大大降低感染率。此外,这也是因为接触潜在的也能导致传染,这也是只适用在某些情况下,由于一次,恶意软件可能需要用户执行。此外,再次,SLBQR达到一个平衡普遍存在的恶意软件并不是成功根除。

5.4。MalSEIRS应用到不同的网络场景

本节包含两个分析旨在突出我们的可行性提出MalSEIRS模型相应的防御和进攻方法的采用。第一个分析是集中在应用程序的模型比较大声与一个微妙的攻击,和第二个分析旨在描述我们的模型描述了一个网络受到攻击。每个参数的影响我们的模型已经独立评估,但下面的测试让我们进一步证明部分6.4的建议,以后我们会看到。同样值得注意的是,除非另有说明,参数值仍由表3和仿真时间是30台。此外,零设备暴露和恢复测试,只有一个主机感染和其他人群易感。

5.4.1之前。一声和微妙的攻击

在第一个分析中,我们考虑的行为感染在计算机网络中,观察它是如何发展取决于最初的易感人群和其他一些因素,如新节点的数量( )在网络及其敏感的概率( )。此外,我们还分析了攻击可能的影响参数 ,即。,the initial infection rate, and ,即。,positive value that adjusts the speed of decrease of the infection rate.

在这个秩序的思想,模拟了三种不同的场景进行为了分析感染节点的行为在两个不同的情况:(i)传染病传播的恶意软件(大声攻击)本身非常快和(2)一个恶意软件,使损害赔偿在延长时间,但不是太传染性(微妙的攻击)。

场景1的设置和结果如表所示5。本场景假定取决于 ,在哪里需要的值在0和1之间。这个场景演示了一个计算机网络与感染恶意软件,如蠕虫或ransomware WannaCry一样,蔓延很快从一开始的攻击。

在表5,我们发现随着易感节点数量的增加,最初的感染率还应该增加(当吗 )为了得到累积感染节点的最大数量。此外,为了获得最大的感染高峰,恶意软件应该更感染的早期阶段。发生在类似的情况 ,的最大累积感染节点或最大感染高峰是什么时候接近或等于1。

在场景1代表建议,攻击者想要的“占有”网络在最短的时间内。然而,感染后达到峰值,感染节点的数量可能会减少以最快的速度增加,这可能意味着恶意软件不会持续很长一段时间由于一些因素,如网络拥塞或实现的安全对策。两个场景进行评估:场景2代表迅速在网络上传播的恶意软件,恶意软件,场景3代表更微妙,如表所示6和7,分别。在这两个场景中,下列条件:积累再感染是指受感染的向量的总和,免疫节点进入网络 。

见表6和7感染,累积感染节点的数量和最大峰值在场景3下降相比,场景2的所有值 ,这是由于不同的初始场景的感染率。因此,我们可以肯定,从进攻角度来看,高感染率将允许恶意软件通过网络复制更快,导致累积感染节点的数量最多和最大感染高峰。重要的是要注意在桌子上6场景2, 可能代表有效的遏制对策的可用性,降低感染率得更快。这与感染节点的结果获得同一场景2 ,哪里有减少的数量积累再感染和感染高峰。

此外,如表所示7,当小值0.15,显然,它允许积累再感染的数量的增加,甚至有一个 。现在,因为小的值可能代表一个脆弱和不准确的控制对策和网络吗 在场景2和3,我们可以说,从防守的角度来看,它是可取的最低数量的新设备的婴孩来说为了阻止恶意软件传播和克服攻击。

此外,图7(一)显示了场景的仿真结果2和3,允许注意的结合 和 被感染节点的最大价值,相比与其他选项。同样重要的是一个模型的观察 暴露的数量大量减少受感染的节点在达到感染高峰。另外,图7 (b)描述了最优断开和疫苗接种策略的影响感染主机的数量下降。最后但并非最不重要,图7 (c)显示的情况只有断开和疫苗技术能够包含攻击在指定的时间框架内,与其他策略相比,需要检查值范围之外。我们也可以观察的影响 ,虽然可能是大,被感染节点的最低数量。

5.4.2。操作受到攻击

在本次分析中,计算机网络的能力继续操作发生的袭击事件,评估,特别是当一定数量的新设备需要被纳入网络的连通性。在这里,一个节点的死亡来自其他原因( )可以表示一个简单的网络断开。的适当的值和疫苗接种率( )通过我们的模型可以确定为了让新设备对网络的访问,同时确保攻击可以控制,也就是说,倾向于零。在情况下这些计算是不可能的,值将被指定为在射程外(可怜)。

这个分析是通过场景4、5、6,设置和结果中描述表8- - - - - -10。所有这些场景模拟30和90年的时间单位, ,和 。如果设备属于网络容易受到恶意软件分析下,疫苗接种和设备断开方法需要控制攻击,可能会认为。然而,在这些条件下,如表所示8- - - - - -10,当新设备的数量足够大( ),没有测量能控制的。因此,从防守的角度来看,这种情况下可以方便的调节增加新节点网络通过一些技术,如网络访问控制(NAC)服务器。

反过来,从表8,为了使我们可以观察到 ,最少的 的范围是必需的,但非常接近1的最大。同时,结合疫苗和断开策略收益最好的结果,见表9。这可能是一个最优策略如果断开当前连接设备可能在很长一段时期。表10也表明,单纯依赖疫苗接种策略,限制恶意软件不能产生足够的结果,这只能在漫长的时间和少量的敏感设备。

6。用例:分析恶意软件的传播

本节将展示如何不同实际情况下的恶意软件活动证明行为证明感染一个适当的选择的适用性,复苏,和损失的免疫力速度变量在时间,MalSEIRS提出的。

6.1。分析的感染率

是相对常见,一些恶意软件活动分享类似的行为在他们的感染过程:攻击迅速感染大量毫无戒心的主机,然后传染率达到峰值时大大降低。这是由于这一事实累积感染节点数一般遵循物流增长(27- - - - - -29日]。部分4.1表示,网络拥塞的原因之一可能是降低传染率,有效地在监狱,最快的一个计算机蠕虫在互联网的历史,在2003年迅速蔓延,成为无效(采取的对策27]。

在裁判解释道。27],虽然监狱的有效载荷是良性的,它感染了全球超过90%的脆弱主机在10分钟内,造成重大破坏金融、运输、和政府机构。它的速度是与互联网见证了:在短短3分钟,超过每秒5500万扫描执行的蠕虫。此外,监狱扫描技术是如此咄咄逼人,它迅速干扰其增长。当监狱已达到其最大扫描速率,它被迫减少,因为绝大部分的网络有足够的带宽来容纳更多的增长。在这种情况下,监狱的行为本身对网络使用造成的感染率的变化通过不同阶段的传播恶意软件。

其他可能的原因减少感染率都源于不同的防御措施应用作为攻击的反应。可能的用例可以通过分析研究2020年活动及其做法,可以看到在裁判。30.]。Emotet在2014年被首次发现,在过去的十年里,它成为一个最危险的恶意软件在互联网上,直到一个操作在2021年初由欧洲刑警组织和Eurojust拆除其基础设施(31日]。

Emotet传播主要是通过电子邮件和使用社会工程学手段让受害者打开或下载恶意文件(32]。此外,Emotet有能力获取电子邮件地址簿,消息头和身体的材料,以及发送钓鱼攻击受感染系统。新闻门户网站的Heise,控制措施没有实施,直到感染节点的数量上升了,通讯被防火墙拦截Emotet服务器。Heise应用的最关键的一步,是要把受损的设备从网络。这阻止恶意软件的传播感染主机和其他设备。因此,如果恶意电子邮件发送由可信第三方(TTP),最好的做法是检疫所有通信与他们直到TTP可以清理结束的感染,推荐对Emotet Redscan白皮书[31日]。通知用户的攻击,建议他们注意打开附件是另一个策略来最小化这个速度随着时间的推移。然后,当时间允许响应安全团队,防守的隔离措施,以及教育的人容易受到小心他们运行的文件,允许Emotet活动来改变他们的传播效率,支持部分4.1。

6.2。分析回收率

恢复过程也有类似的行为在不同的恶意活动组成的元素,如防病毒签名更新安全补丁,或者机器断开连接。安全措施成长为受感染的节点数量的增加,即。,generally, after a notable outbreak is present, actions to fix the infected machines appear and become relevant [33,34]。

的ransomware WannaCry是最著名的攻击,出现在2017年。其worm-capabilities WannaCry真的会传染的,而且,在一天之内,它能够感染超过200000台电脑在超过150个国家5]。WannaCry利用Windows的漏洞被称为ms17 - 010传播本身。同时,WannaCry背后的攻击者可以利用这些漏洞由于EternalBlue代码(35]。支付赎金,黑客被要求拿回加密文件的一种方式离开这个问题,并有效地约0.06%的受害者支付这样一个量克服攻击(36]。

微软提出漏洞的补丁ms17 - 010在感染前两个月,2017年3月。然而,这不是安装在大多数的电脑,使攻击的规模相当大。像WannaCry感染Windows版本Windows XP和Windows 8.1 (37),微软决定发布一个补丁的版本(36),成为第一个从微软的官方回应,帮助防止攻击。后,两名英国计算机安全研究人员(Marcus哈钦斯和杰米Hankins)发现WannaCry杀死开关,购买一个域组成的,被要求的恶意软件加密的文件,以避免在受害者主机,并注册于2017年5月12日(38]。如今,存在某种工具,如诺顿或快速愈合,帮助删除WannaCry即使他们不帮助拿回加密的文件。所有这些反应攻击支持我们的考虑,美国经济复苏速度将变量时间从被感染节点数目增加而杀毒,网络,基于主机的签名未知的恶意软件。然后,当签名被发现和共享社区,部署新的控制措施,提高了回收率。

尽管如此,“杀死开关并不总是存在,目的是阻止攻击。Emotet为例,介绍了部分6.1也能传播的另一种恶意软件(39),比如Qakbot,银行木马蠕虫的能力。

Emotet还避免了检测基于签名(39)和anti-sandbox和anti-VM属性(40),这也阻碍了其检测和恢复。Emotet攻击级著称,目睹了在Heise或Fabrikam [41](Fabrikam假名DART微软给出的检测和响应团队)。安全措施恢复被感染暴发后,即,the infection in Fabrikam shut down the entire business network, and after asking DART to support, Fabrikam decided to deploy solutions of Defender Advanced Threat Protection, Azure Security Scan, and other Microsoft malware detection tools. Moreover, after they identified the virus, DDoS (Distributed Denial of Service), and phishing emails, they found out that it was needed to make changes in the network infrastructure to stop Emotet. DART entered the network and implemented asset controls, creating buffer zones separating the assets with administrative privileges in the environment, and they also uploaded the antivirus signatures. In addition, the buffer zones helped to contain the virus and to delete it with antivirus [41]。然而,它总是值得推荐的受感染的机器从网络断开,以防止传播,减少损失。的确,经济复苏后感染疫情,即。后,大量的节点被感染。然而,安全措施会更有效的拘留恶意软件运动如果他们被应用在感染的早期阶段。

6.3。分析免疫损失率

的主要原因,但不是唯一的,为什么一个振荡免疫力损失率是多态的恶意软件的威胁。这是一个类型的恶意软件,不断改变其为了逃避检测识别特性。因此,基于签名的检测解决方案将无法识别样本的恶意,因为恶意软件发展的特点。

这是Emotet的情况下,以前描述的部分6.1。Emotet生产使用的多态封隔器包装样本大小不同和结构。在运行时,加密机打开,然后打开代码执行刚打开代码。包装工队援助恶意软件开发人员避免被发现通过静态二进制分析更加复杂。这些封隔器的变化使分析新鲜样品仅仅基于封隔器的足迹非常不可行的,杀毒软件构成重大挑战,尝试自动解包的分析。因此,恶意软件开发人员重新包装他们的项目作为一个独特的可执行文件为每个潜在受害者为了规避签名的检测。结果,标准杀毒软件可能无法检测到最近的和复杂的攻击,使企业处于危险之中。这是一个重要的问题,因为这些病毒经常与ransomware攻击感染后不久。

然而,尽管一些基于签名的策略的问题保持免疫力Emotet一直强调,这个速度将趋向于零。AV-Test实验室说,第一个检出率仅为25%,但在7天内,它上升到约90% 2。因此,随着时间的流逝,这些解决方案变得更好在识别Emotet攻击和有效免疫设备。

Emotet的另一个特点,不仅很难分析师还杀毒工具是其严重混淆代码。Emotet具有加密deobfuscated进口和函数名,并在运行时动态地解决。Emotet加密指挥控制(C2)的数据也被保存在HTTP POST请求的数据部分交付给恶意软件C2服务器2019年3月以来。因为大多数web代理不默认日志HTTP请求的数据部分,跟踪Emotet C2连接变得更加困难(32]。

最后,通过C2 Emotet接收更新服务器。这在PC操作系统升级一样,它可以无缝的和没有警告。这允许攻击者安装恶意软件的新版本,以及其他感染,比如银行木马、和操作倾倒了偷来的数据,如金融凭证,敏感的凭证,如用户名和密码,和电子邮件。因此,它是可能的,即使一个装置是防止Emotet的变种,另一个受感染的设备可能会接收到一个更新的恶意软件和传输到其他节点,渲染说免疫力无用。由于Emotet功能(多态、困惑和不断更新的C2服务器),Emotet变量是一个最为明显的例子免疫损失率。

6.4。进攻和防御策略

验证后提出MalSEIRS模型部分5和分析实际情况下部分6.1- - - - - -6.3,一些防御建议提供下:(1)它总是更好的尝试增加预防措施可能攻击正如前面章节中讨论6.3,即,increase(实时免疫速率)和减少(出生易感性率)。(2)攻击时,如果它是不可能强迫提高回收率 ,它可能更可行的断开受感染的机器从网络和直接进行重新安装,这将意味着增加机器不可用由其他原因。(3)为了防止损伤与感染节点在网络中,最好不要让新机器进入网络( ),集中防守努力在当前的攻击可能传播节点,避免损失。

同样,大量的进攻策略源于我们的工作提出如下:(1)从攻击者的角度来看,重要的是要注意,恶意软件不应该太致命的:如果它能让受感染机器无法太快,恶意软件将无法传播。这意味着管理一个小的 ,因为它发生在Emotet:它能够感染整个网络,正如我们看到的部分6.2。然而,恶意软件可能会破坏如果攻击者想要集中攻击,即。,造成拒绝服务在一个特定的服务器。(2)在病毒的情况下,执行速度可能是通过促进用户之间的网络安全意识,减少因为它是高度依赖于用户。然而,对于另一种恶意软件,很难得到执行控制,例如,在与蠕虫木马功能的情况下,攻击者可以控制触发动作如篡改DLL库的注册表键或开发操作系统漏洞,使自主执行的恶意软件,以这种方式影响执行速度。(3)在进攻上,高感染的初始速率( )可以方便如果攻击者想要影响许多设备在短时间内,例如,DDoS运动旨在导致网络不可操作。感染率在实践中,这将取决于受害人部署的对策应对攻击,比如隔离受感染的设备,这是反映在参数控制感染率的降低,表明在部分6.1。受害者没有对策部署可能代表一个参数接近于零。(4)正如前面所讨论的那样,为了进行有效的攻击对于Emotet(见部分6.3每次),恶意软件必须被改变,因为它变得广泛识别和移除安全工具。这种行为意味着数学常数在方程(8)趋于0,因为它意味着失去免疫力率保持很长一段时间,即。可能会持续,恶意软件攻击。

7所示。结论和未来的工作

互联网的出现,及其大量的广泛应用,带来了无数的好处,不仅在个人领域,而且在商业领域的生产力。然而,当一切都迁移到云中,互联网已经成为众多的目标由黑帽黑客的攻击。因此,需要开发模型,允许预测可能的攻击行为和执行相关的防御策略,以减轻其破坏性的和有害的行为。在网络战领域,它可以是有益的,以确定一个计算机病毒/蠕虫应该为一个成功的攻击行为。

在本文中,我们开发了MalSEIRS,一个新的动力学模型来预测网络中恶意软件的传播基础上西珥流行病学模型。先生我们的小说模式识别的局限性和西珥模型常数利率不允许我们表达这些参数的变化由外部因素引起的,因此我们定义新方程依赖时间代表感染率,回收率,和损失的免疫力,在一个动态的计算机网络。此外,进攻和防御策略的分析提出MalSEIRS模型,因此可操作的信息可能被用来作为剧本的一部分的计算机安全应急响应小组(CSIRT)。

深刻的分析模型,包括进行综合实验比较它与其他相关模型(如西珥、SLBQR和SIQVD),帮助我们阐明成功防御和进攻的策略。从防守的角度来看,它决定总是更好的增加预防测量对可能的攻击,例如增加实时反病毒实例,或在新设备的情况下进入网络,保证他们尽可能少容易受到恶意软件的攻击和限制他们的数量。在最糟糕的情况下,它甚至可能是值得进行一个完整的断开所有网络上的设备。同样,在进攻飞机,最重要的结果一个持久的攻击是恶意软件不应该是致命的,因为感染和故障设备将无法进一步传播恶意文件。此外,从进攻角度来看,有利的是,恶意软件“暴发”很快,突然,即。,它能感染最初尽可能很多设备,限制时间适当的防御反应。

最后,即使我们的提议MalSEIRS模型可能出现振荡易感和恢复节点的数量,特别是在开始的攻击,它管理快速稳定。此外,模型是健壮的,小参数的变化不会引起重大的改变其行为。作为未来的工作,我们不打算开发特定版本的模型对不同家庭的恶意软件,考虑其不同的功能在传播方面,坚持,再感染。

数据可用性

数据和代码用于支持本研究的结果包括在本文中。

的利益冲突

作者宣称没有利益冲突。

确认

这项工作是支持的大学罗萨里奥(波哥大)通过项目“IV-TFA043——发展网络情报预防犯罪的能力。“这工作也由一个FPU博士前的合同授予穆尔西亚大学的和由·拉蒙-卡哈尔研究合同(ryc 18 - 2015 - 210)授予的MINECO(西班牙)和共同的欧洲社会基金。