Μαθηματικά μοντέλα ανάλυσης εισβολών σε δίκτυα υπολογιστών με χρήση των χαρακτηριστικών αποδοτικότητας των δικτύων

Abstract

A computer virus is a malicious, self-propagating piece of code that is able to spread fast in computer networks. Although a growing number of researchers focus their efforts on devising new techniques for detecting and eliminating worms, there seems to be less intense activity towards the development and evaluation of theoretical models able to account of how worms exploit vulnerabilities of computer networks and propagate, accordingly. In our work, we propose and analyze mathematical models for the co-evolution of the populations of virus and antivirus software agents across an infected computer network. We first model a two populations system comprised of worm and antivirus agents, and analyze it theoretically showing that its prediction are in harmony with observations from propagation of real worms. We extend this model, adding the traps population, using a system of three non-linear differential equations that describe their interactions. Then we view the attack propagation/elimination problem in networks from another perspective that avoids the use of non-linear evolution dynamics. This model takes into account the traffic and server characteristics of the network computers. We propose a kind of interaction between virus and antivirus agents that result in a product form steady state distribution of the agent numbers for each network node, much like the product form solution for the distribution of network tasks for Jackson open networks of queues. Afterwards we study DNS worms, these worms generate random strings, as possible network domain names, and then query Domain Name Servers in order to discover the IP address. We present models for capturing the dynamics of the co-evolution of worm agents in the presence of anti-worm agents that move in the network in order to locate and stop worm propagation. We further enhance the model with ‘‘honeypot’’ domain name servers that attempt to lure worm agents to issue queries, introducing only a delay and providing no answer. Finally we propose a general predator-prey model for studying the joint evolution of a prey population that coexists with a number of predator populations. The model allows the definition of different behaviors between individuals from these populations as well as different interaction patterns between each of these populations and the prey population. Moreover, we model the behaviour between individuals of the two predator populations using as simple game, called Hawks and Doves game, according to which one predator population is aggressive (Hawks) and one predator population is submissive (Doves).

Ένας ιός υπολογιστών είναι ένα κακόβουλο κοµµάτι κώδικα που διαδίδεται ταχύτατα στους υπολογιστές ενός δικτύου. Παρόλο που ένας µεγάλος αριθµός ερευνητών έχει εστιάσει την προσπάθεια του στην επινόηση νέων τεχνικών για την ανίχνευση και την εξάλειψη των ιών, δεν δίνει και τόση µεγάλη σηµασία στην ανάπτυξη ϑεωρητικών µοντέλων που είναι ικανά να προβλέψουν το µέγεθος της εξάπλωσης των απειλών σε ευπαθή δίκτυα. Στην παρούσα διατριβή προτείνουµε και αναλύουµε µαθηµατικά µοντέλα για την ταυτόχρονη εξέλιξη των πληθυσµών των ιών και των λογισµικών προστασίας σε ένα µολυσµένο δίκτυο υπολογιστών. Αρχικά µοντελοποιούµε ένα σύστηµα δύο πλυθησµών που περιλαµβάµνει τους ιούς και τα λογισµικά προστασίας και αναλύοντας το ϑεωρητικά δείχνουµε ότι οι προβλέψεις µας συµπίπτουν µε πραγµατικές παρατηρήσεις διαδόσεων ιών. Επεκτείνουµε αυτό το µοντέλο µε την προσθήκη των παγίδων, και καταλήγουµε σε ένα σύστηµα τριών µη-γραµµικών διαϕορικών εξισώσεων που περιγράϕουν τις αντιδράσεις τους. Στην συνέχεια µελετάµε το πρόβληµα διάδοσης και αναχαίτησης ιών σε δίκτυα από µία άλλη οπτική γωνία η οποία αποϕεύγει την χρήση των µη γραµµικών διαϕορικών εξισώσεων. Αυτό το µοντέλο λαµβάνειν υπ΄ όψιν τα χαρακτηριστικά των εξυπηρετητών και της κίνησης του δικτύου υπολογιστών. Προτείνουµε ένα είδος αντίδρασης µεταξύ των ιών και των λογισµικών προστασίας που οδηγεί σε µία κατανοµή µορϕής γινοµένου για τα πλήθη και των δύο ειδών στους κόµβους του δικτύου, όπως την κατανοµή για τα πακέτα εργασίων σε δίκτυα ουρών Jackson. ‘Επειτα µελετάµε DNS ιούς, οι οποίοι χρησιµοποιούν έναν γεννήτορα τυχαίων αλϕαριθµητικών για την εύρεση πιθανών πραγµατικών διευθύνσεων και στην συνέχεια ϑέτουν ερωτήµατα στους εξυπηρετητές µε σκοπό την αποκόµιση της πραγµατικής ηλεκτρονικής διεύθυνσης. Παρουσιάζουµε µοντέλα για την ταυτόχρονη εξέλιξη των ιών και των λογισµικών προστασίας, που κινούνται στο δίκτυο προσπαθώντας να σταµατήσουν την διάδοση των ιών. Στην συνέχεια επεκτείνουµε τα µοντέλα µε την προσθήκη των dummy honeypot servers, που προσπαθούν να προσελκύσουν τους ιούς να ϑέσουν ερωτήµατα προκαλώντας καθυστερήσεις αϕού δεν επιστρέϕουν απαντήσεις. Στο τέλος προτείνουµε ένα µοντέλο κυνηγού ϑηράµατος για την µελέτη της ταυτόχρονης εξέλιξης του πληθυσµού της λείας που συνυπάρχει µε κάποιο πλήθος κυνηγών. Αυτό το µοντέλο επιτρέπει τον ορισµό πολλών διαϕορετικών συµπεριϕορών των πληθυσµών των ειδών, που απορρέουν από τις διαϕορετικές αλληλεπιδράσεις µεταξύ των ειδών των κυνηγών, και της λείας. Επιπλέον µοντελοποιούµε την συµπεριϕορά δύο κυνηγών, χρησιµοποιώντας το απλό παίγνιο ‘‘γεράκια και περιστέρια’’, σύµϕωνα µε το οποίο το ένα είδος κυνηγού είναι επιθετικό (γεράκια) και το άλλο είναι υποχωρητικό (περιστέρια).