Μοντέλα διάδοσης απειλών σε δίκτυα υπολογιστών : ένα προτεινόμενο μοντέλο

Βαβίτσας, Γιώργος

28 May 2009

Τα τελευταία χρόνια το Διαδίκτυο αναπτύσσεται και επεκτείνεται με εκθετικούς ρυθμούς τόσο σε επίπεδο πλήθους χρηστών όσο και σε επίπεδο παρεχόμενων υπηρεσιών. Η ευρεία χρήση των κατανεμημένων βάσεων δεδομένων, των κατανεμημένων υπολογιστών και των τηλεπικοινωνιακών εφαρμογών βρίσκει άμεση εφαρμογή και αποτελεί θεμελιώδες στοιχείο στις επικοινωνίες, στην άμυνα, στις τράπεζες, στα χρηματιστήρια, στην υγεία, στην εκπαίδευση και άλλους σημαντικούς τομείς. Το γεγονός αυτό, έχει κάνει επιτακτική την ανάγκη προστασίας των υπολογιστικών και δικτυακών συστημάτων από απειλές που μπορούν να τα καταστήσουν τρωτά σε κακόβουλους χρήστες και ενέργειες. Αλλά για να προστατεύσουμε κάτι θα πρέπει πρώτα να καταλάβουμε και να αναλύσουμε από τι απειλείται. Η διαθεσιμότητα αξιόπιστων μοντέλων σχετικά με τη διάδοση απειλών στα δίκτυα υπολογιστών, μπορεί να αποδειχθεί χρήσιμη με πολλούς τρόπους, όπως το να προβλέψει μελλοντικές απειλές ( ένα νέο Code Red worm) ή να αναπτύξει νέες μεθόδους αναχαίτισης. Αυτή η αναζήτηση νέων και καλύτερων μοντέλων αποτελεί ένα σημαντικό τομέα έρευνας στην ακαδημαϊκή και όχι μόνο κοινότητα. Σκοπός της παρούσης εργασίας είναι η παρουσίαση κάποιων βασικών επιδημιολογικών μοντέλων και κάποιων παραλλαγών αυτών. Αναλύουμε για κάθε μοντέλο τις υποθέσεις που έχουν γίνει, τα δυνατά και αδύνατα σημεία αυτών. Αυτά τα μοντέλα χρησιμοποιούνται σήμερα εκτεταμένα προκειμένου να μοντελοποιηθεί η διάδοση αρκετών απειλών στα δίκτυα υπολογιστών, όπως είναι για παράδειγμα οι ιοί και τα σκουλήκια ( viruses and worms). Θα πρέπει εδώ να αναφέρουμε ότι οι ιοί υπολογιστών και τα σκουλήκια (worms) είναι οι μόνες μορφές τεχνητής ζωής που έχουν μετρήσιμη επίδραση-επιρροή στη κοινωνία. Επίσης αναφέρουμε συγκεκριμένα παραδείγματα όπως το Code Red worm, τον οποίων η διάδοση έχει χαρακτηριστεί επιτυχώς από αυτά τα μοντέλα. Τα επιδημιολογικά αυτά μοντέλα που παρουσιάζουμε και αναλύουμε είναι εμπνευσμένα από τα αντίστοιχα βιολογικά, που συναντάμε σήμερα σε τομείς όπως είναι για παράδειγμα ο τομέας της επιδημιολογίας στην ιατρική που ασχολείται με μολυσματικές ασθένειες. Αναλύουμε τις βασικές στρατηγικές σάρωσης που χρησιμοποιούν σήμερα τα worms προκειμένου να βρουν και να διαδοθούν σε νέα συστήματα. Παρουσιάζουμε τα πλεονεκτήματα και μειονεκτήματα αυτών. Επίσης παρουσιάζουμε αναλυτικά κάποιες βασικές κατηγορίες δικτύων που συναντάμε σήμερα και χαρακτηρίζουν τα δίκτυα υπολογιστών. Η γνώση αυτή που αφορά την τοπολογία των δικτύων είναι ένα απαραίτητο στοιχείο που σχετίζεται άμεσα με τη διάδοση κάποιων απειλών που μελετάμε στη συγκεκριμένη εργασία. Τέλος παρουσιάζουμε και αναλύουμε ένα δικό μας μοντέλο διάδοσης απειλών με τη χρήση ενός συστήματος διαφορικών εξισώσεων βασιζόμενοι στο θεώρημα του Wormald. Θεωρούμε ότι τα δίκτυα email, Instant messaging και P2P σχηματίζουν ένα social δίκτυο. Αυτά τα δίκτυα μακροσκοπικά μπορούν να θεωρηθούν σαν μία διασύνδεση ενός αριθμού αυτόνομων συστημάτων. Ένα αυτόνομο σύστημα είναι ένα υποδίκτυο που διαχειρίζεται από μία και μόνο αρχή. Παρουσιάζουμε λοιπόν ένα μοντέλο διάδοσης βασισμένο σε αυτή τη δομή δικτύου που θα αναλύσουμε, καθώς και στις συνήθειες επικοινωνίας των χρηστών. Το μοντέλο αυτό ενσωματώνει τη συμπεριφορά των χρηστών με βάση κάποιες παραμέτρους που ορίζουμε. Επίσης προτείνουμε ένα πιο ρεαλιστικό μοντέλο σχετικά με τη προοδευτική ανοσοποίηση των συστημάτων. Η μοντελοποίηση του δικτύου έγινε με βάση το Constraint Satisfaction Problem (CSP). Χρησιμοποιώντας αυτό το μοντέλο που προτείνουμε, μπορούμε να καθορίσουμε τη διάδοση κάποιων απειλών όταν δεν έχουμε εγκατεστημένο κάποιο πρόγραμμα προστασίας ή σωστά ενημερωμένους χρήστες. / In recent years the Internet grows and expands exponentially rates at many levels of users and service level. The widespread use of distributed databases, distributed computing and telecommunications applications is directly applicable and is an essential element in the communications, defense, banks, stock exchanges in the health, education and other important areas. This has made imperative the need to protect computer and network systems from threats that may make them vulnerable to malicious users and actions. But to protect something you must first understand and analyze what is threatened. The availability of reliable models for the spread of threats to computer networks, may prove useful in many ways, such as to predict future threats (a new Code Red worm) or develop new methods of containment. This search for new and better models is an important area of research in the academic community and not only. The purpose of this work is to present some basic epidemiological models and some variations thereof. We analyze each model assumptions made, the strengths and weaknesses of these. These models are currently used extensively to disseminate montelopoiithei several threats to computer networks, eg viruses and worms (viruses and worms). It should be mentioned here that the computer viruses and worms (worms) are the only artificial life forms that have a measurable impact-influence in society. Also cite specific examples, such as Code Red worm, whose spread has been described successfully by these models. Epidemiological models are presented and analyzed are inspired by their biological, which have been created in areas such as for example the field of epidemiology in medicine that deals with infectious diseases. We analyze the basic scanning strategies used today to find worms and spread to new systems. We present the advantages and disadvantages of these. Also present in detail some basic types of networks which have been characterized and computer networks. This knowledge on the topology of networks is an essential element directly related to the dissemination of some threats are studying in this work. Finally we present and analyze our own model proliferation threats using a system of differential equations based on the theorem of Wormald. We believe that networks email, Instant messaging and P2P form a social network. These networks can be considered macroscopically as an interconnection of a number of autonomous systems. An autonomous system is a subnet managed by a single authority. Presents a diffusion model based on the network structure to be analyzed, and the communication habits of users. This model incorporates the behavior of users based on some parameters set. Also propose a more realistic model of the progressive immune systems. The modeling system was based on the Constraint Satisfaction Problem (CSP). Using this model we propose, we can determine the spread of some threats when we have established a protection program or properly informed users.

Ασφάλεια

Δίκτυα υπολογιστών

Κακόβουλο λογισμικό

Επιδημιολογία

Μοντέλα διάδοσης

005.84

Security

Computer networks

Worms/viruses

Epidemiology

Propagation models

Μελέτη εξάπλωσης ιών σε δίκτυα

Ράπτη, Αγγελική

16 April 2015

Η έννοια των δικτύων εμφανίζεται πολύ συχνά με διάφορες μορφές. Δίκτυο μπορούμε να θεωρήσουμε ένα σύνολο υπολογιστών που συνδέονται μεταξύ τους υπακούοντας σε κάποιο πρωτόκολλο επικοινωνίας αλλά και μια ομάδα ανθρώ- πων που συνδέονται μέσω κάποιας κοινωνικής σχέσης, ενός εργασιακού χώρου αλλά και ως χρήστες ενός forum ή μίας πλατφόρμας κοινωνικής δικτύωσης. Σε οποιαδήποτε περίπτωση, ένα δίκτυο μπορεί να αναπαρασταθεί με τη μορφή ενός γράφηματος, όπου οι κόμβοι αναπαριστούν τα άτομα/υπολογιστές και οι ακμές τη μεταξύ τους σχέση ανάλογα με το πρόβλημα. Στα πλαίσια ενός τέτοιου δικτύου μας ενδιαφέρει η συμπεριφορά των κόμβων στην περίπτωση που συμβεί ένα γεγονός που αλλάζει την κατάστασή τους. Στην περίπτωση που αναφερόμαστε σε μία κοινωνική ομάδα ή μία πόλη, αυτό το φαι- νόμενο μπορεί να είναι το ξέσπασμα μίας επιδημίας που εξαπλώνεται στο δίκτυο αλλά και μίας είδησης/φήμης, όπου ενημερώνεται το δίκτυο. Στην πρώτη περί- πτωση, μας ενδιαφέρει να περιορίσουμε την επιδημία, αλλάζοντας τοπολογικά το δίκτυο ενώ στη δεύτερη περίπτωση, είναι επιθυμητό να διευκολύνουμε την εξά- πλωση της είδησης, έτσι ώστε να ενημερωθούν όσο το δυνατόν, περισσότεροι κόμβοι(χρήστες). Η συμπεριφορά του δικτύου σε ένα τέτοιο φαινόμενο, μπορεί να προσομοιωθεί από ένα δυναμικό σύστημα. Με τον όρο δυναμικό σύστημα αναφερόμαστε σε ένα σύστημα που έχει ένα σύνολο καταστάσεων, όπου κάθε κατάσταση, προκύπτει σε συνάρτηση με την προηγούμενη. Παραδείγματα εφαρμογής ενός δυναμικού συστήματος σε δίκτυο, εμφανίζονται σε διάφορους τομείς όπως στην οικολογία, τη διάχυση πληροφορίας, το viral marketing, την επιδημιολογία. Τα δυναμικά συστήματα που προσομοιώνουν τη συμπεριφορά του δικτύου σε τέτοια φαινόμενα, χρησιμοποιούν επιδημιολογικά μοντέλα για να περιγρά- ψουν τις δυνατές καταστάσεις στις οποίες μπορεί να περιέλθει ένας κόμβος. Στη συγκεκριμένη εργασία, χρησιμοποιήσαμε το μοντέλο SIS (Susceptible-Infected-Susceptible) [8].Το μοντέλο SIS δηλώνει ότι ένας κόμβος μπορεί να είναι είτε επιρρεπής στο να ασθενήσει (susceptible) είτε ασθενής (infected). Αυτό σημαί- νει πως ένας κόμβος δεν θεραπεύεται ποτέ πλήρως αλλά υπάρχει πιθανότητα να ασθενήσει πάλι. Με βάση τη βιβλιογραφία, σε ένα τέτοιο δυναμικό σύστημα, αναζητούμε κά- ποια σημεία (fixed points) στα οποία το σύστημα θα ισορροπεί. Υπάρχουν σημεία τα οποία είναι σημεία ισορροπίας αλλά δεν είναι σταθερά. Σε αυτά τα σημεία, το σύστημα μπορεί στιγμιαία να ισορροπήσει αλλά ξεφεύγει πολύ εύκολα από αυτό. Αναζητούμε συνεπώς, σταθερά σημεία ισορροπίας, τα λεγόμενα stable fixed points. Έχει αποδειχτεί [6] ότι μπορούμε σε αυτά στα σημεία να καθορίσουμε τις απαραίτητες συνθήκες για να είναι σταθερά, περιορίζοντας τη μέγιστη ιδιοτιμή του μητρώου γειτνίασης που περιγράφει το δίκτυο. Ορίζονται δηλαδή κατώφλια (thresholds) κατά περίπτωση, που περιορίζουν την μέγιστη ιδιοτιμή του δικτύου με τέτοιο τρόπο ώστε το σύστημα, να βρίσκεται σε κατάσταση ισορροπίας. Στην πε- ρίπτωση που αναφερόμαστε στο φαινόμενο της επιδημίας, στόχος είναι στο αντί- στοιχο σημείο ισορροπίας η μέγιστη ιδιοτιμή να είναι κάτω του κατωφλίου, έτσι ώστε να εξασφαλίσουμε τον περιορισμό εξάπλωσης της επιδημίας στο δίκτυο. Στην περίπτωση που αναφερόμαστε σε μία είδηση ή ένα ανταγωνιστικό προϊόν, η μέγιστη ιδιοτιμή θέλουμε να είναι άνω του αντίστοιχου κατωφλίου έτσι ώστε να έχουμε εξάπλωση στο δίκτυο. Επομένως ανάλογα με την περίπτωση, αντιμε- τωπίζουμε διαφορετικά τα κατώφλια που υπολογίζονται για το αντίστοιχο σημείο ισορροπίας. Στα πλαίσια της μεταπτυχιακής εργασίας, χρησιμοποιήσαμε το μοντέλο SIS για να περιγράψουμε το φαινόμενο όπου ένας ιός εξαπλώνεται σε ένα δίκτυο όπου οι κόμβοι του δικτύου, έχουν διαφορετική ευαισθησία απέναντί του. Πραγματο- ποιήσαμε μαθηματική περιγραφή του μοντέλου, ορίζοντας τα απαραίτητα κατώ- φλια έτσι ώστε το σύστημα να ισορροπεί ανάλογα με το σημείο ισορροπίας αλλά και το είδος του γραφήματος. Επίσης, πραγματοποιήσαμε προσομοίωση του μο- ντέλου σε συνθετικά γραφήματα (κλίκα, αυθαίρετο γράφημα κ.α), επαληθεύοντας τη συμπεριφορά που υποδεικνύει το μαθηματικό μοντέλο. / Which is the appropriate answer about the definition of a network? One could answer that a group of people who share a relationship (colleagues, students etc) could be referred to, as a network. Another possible definition, is a computer network. Consequently, it is obvious that the idea of a network can be found in various ways in our daily life. In the same terms, suppose we have one competing idea/product or a virus that propagates over a multiple profile social (or other) network. Can we predict what proportion of the network will actually get ”infected” (e.g., spread the idea or buy the competing product), when the nodes of the network appear to have different sensitivity based on their profile? For example, if there are two profiles A, B in a network and the nodes of profile A and profile B are susceptible to a highly spreading virus with probabilities βA and βB respectively, what percentage of both profiles will actually get infected from the virus in the end? The behavior of such a network, can be simulated using dynamical systems theory. We consider a dynamical system as a system with a set of possible states where each future state, is computed based on the previous state. Dynamical System Applications, can be found in many fields such as viral marketing, ecology, information diffusion and virus propagation. In order to simulate the rumor or virus which is spreading across the network, one has to use virus propagation models. The selection of the appropriate model, depends on the special attributes and characteristics of the spreading rumor/virus and it should cover all the possible states in which a node in the network can be (sick, healthy,susceptible, informed, not informed etc). According to Dynamical Systems Theory, we are looking for possible fixed points where the system is in equilibrium. In particular, we would require each fixed point to be a stable attractor and not lead the system far away from the equilibrium point due to opposing forces (stable fixed points). It has been proven that limiting the leading eigenvalue of the adjacency matrix of the graph, is the only condition required, in order for the system to be in equilibrium state, in the corresponding fixed point. In this paper, we assume an SIS propagation model [8] which is applied on a heterogeneous network. That is, we assume that there is no fair game using the terminology of [14, 3]. In the SIS model, each node can be either in a susceptible (S) state or in the infected state (I) and as result there is no permanent immunity and every node can get infected multiple times.Since this is the first theoretical treatment of heterogeneous environments for virus propagation, we choose to work in the simple model of SIS and not in other models. Suppose that we are given a social network and a rumor that spreads over it, where the nodes of the network represent people with high/low sensitivity to the rumor and the links represent the association of the nodes, how will the rumor propagate over the network? That is, can we determine whether all members of the network will reproduce the rumor to their neighbors and ”infect” them or the rumor will spread in a small group in the network and die out quickly? Similarly, which is the tipping point where such a rumor or infectious virus will take off? It would be very helpful if we could find the specific point when the ”virus” spreads all over the network and an epidemic occurs. Finally, what is the case when the nodes have different endurance/sensitivity to the ”virus” and have temporary or permanent immunity? Our basic assumption and innovation when compared to all previous approaches is that there is no fair-play and nodes have different profile against the virus. That is, the network is heterogeneous with respect to the virus, which means that nodes have different sensitivity to it. This is one of our main contributions in comparison with previous results where all nodes appear to have the same behavior towards the virus and the same model parameters. The propagation model which is followed, resembles the SIS (no immunity like flu) model where nodes are either susceptible or infected but with modifications. All nodes can get infected from one another, despite the difference of their profiles. We prove and present the tipping point where the virus is about to spread all over the network or the rumor ”infect” every member of the network and result in a ”viral” phenomenon. Our main contribution, is that we provide answers for the questions above, for special topologies such as the clique as well as arbitrary graphs of high or low connectivity. In particular, to the best of our knowledge, we are the first to provide theoretical and experimental findings on the propagation of a virus over a heterogeneous network. We prove that in the case of two profiles, if one profile has high sensitivity to the virus and the other one has low sensitivity, actually nodes from both profiles will get infected proportionally in the case where the network is a clique. For arbitrary networks, we prove necessary conditions for the virus to die out allowing for multiple profiles (not just two), while at the same time we give directions to prove other interesting cases. The problem has many applications in the field of viral marketing, medicine, ecology and other.

Εξάπλωση ιών

Δυναμικό σύστημα

Σταθερό σημείο

005.84

Computer viruses

Propagation

Dynamical system

Fixed point

Epidemic threshold

Μοντέλα ασυνήθους δικτυακής κυκλοφορίας σε TCP/IP δικτυακά υπολογιστικά περιβάλλοντα / Models of abnormal network traffic in TCP/IP networking computer environments

Κομνηνός, Θεόδωρος

16 March 2009

Στην διδακτορική διατριβή αναπτύξαμε μοντέλα για την ασυνήθη δικτυακή κυκλοφορία βασισμένη σε χαρακτηριστικά της TCP/IP επικοινωνίας ανάμεσα σε υπολογιστικά συστήματα, αλλά και στην συμπεριφορά συστημάτων και χρηστών κάτω από επιθέσεις ιών και δικτυακών σκουληκιών. Για την ανάπτυξη συνδυάσαμε το μαθηματικό φορμαλισμό πάνω σε πραγματικά χαρακτηριστικά που εντοπίσαμε πως υπάρχουν σχεδόν σε όλες τις προσπάθειες επίθεσης προς υπολογιστικά και δικτυακά συστήματα από προσπάθειες επιτιθέμενων, αλλά και με αυτοματοποιημένα συστήματα μετάδοσης ιών. Υλοποιήσαμε ένα πραγματικό κατανεμημένο σύστημα έγκαιρης και έγκυρης προειδοποίησης και λήψης άμεσων μέτρων για την προστασία δικτύων υπολογιστών από τη διάδοση των ιών και από τις διαρκώς εξελισσόμενες επιθέσεις των hackers. Τέλος η αυξανόμενη παρουσία δυνατοτήτων για fast worms μας παρακίνησε να μοντελοποιήσουμε την συμπεριφορά ιών που μεταδίδονται μέσα από τα κοινωνικά δίκτυα που σχηματίζονται από τον κατάλογο που έχουν οι χρήστες για γνωστούς και φίλους σε e-mail και Instant Messaging. Προτείνουμε λοιπόν δύο μοντέλα: ένα μοντέλο που περιγράφει την συμπεριφορά fast worms βασισμένα σε κοινωνικά δίκτυα στηριζόμενοι στο μαθηματικό μοντέλο σε Constraint Satisfaction Problems (CSP), αλλά και ένα μοντέλο για τη μετάδοση ιών και την εξουδετέρωσή τους, που λαμβάνει υπόψη την δικτυακή κίνηση και την λειτουργία των εξυπηρετητών βασισμένοι στο M/M/1 μοντέλο ουρών. Στην διατριβή προτείνουμε ένα είδος διαδραστικότητας ανάμεσα στους antivirus Agents και τους ιούς και αναλύουμε ένα μαθηματικό μοντέλο για την διάδοση πληθυσμού ιών και antivirus βασισμένα σε θεωρίες ουρών. / In this PhD Thesis we developed models for the abnormal network traffic based on TCP/IP communication protocol of computer systems, and the behavior of systems and users under viruses and worms attacks. For the development we combined mathematical formalism on real attributes that characterize almost all attacking efforts of hackers, virus and worms against computers and networking systems. Our main goal was based upon the theoretic models we proposed, to provide a useful tool to deal with intrusions. Thus we developed a Software Tool for Distributed Intrusion Detection in Computer Networks. Based on an improved model we produced a real time distributed detection system for early warning administrators of worm and virus propagation and hackers’ attacks. Also in this work we propose a discrete worm rapid propagation model based on social networks that are built using the address book of e-mail and instant messaging clients using the mathematic formalism of Constraint Satisfaction Problems (CSP). The address book, which reflects the acquaintance profiles of people, is used as a “hit-list”, to which the worm can send itself in order to spread fast. We also model user reaction against infected email as well as the rate at which antivirus software is installed. We then propose a worm propagation formulation based on a token propagation algorithm, further analyzed with a use of a system of continuous differential equations, as dictated by Wormald’s theorem on approximating “well-behaving” random processes with deterministic functions. Finally in this work we present a virus propagation and elimination model that takes into account the traffic and server characteristics of the network computers. This model partitions the network nodes into perimeter and non-perimeter nodes. Incoming/outgoing traffic of the network passes through the perimeter of the network, where the perimeter is defined as the set of the servers which are connected directly to the internet. All network nodes are assumed to process tasks based on the M/M/1 queuing model. We study burst intrusions (e.g. Denial of Service Attacks) at the network perimeter and we propose a kind of interaction between these agents that results using the formalism of distribution of network tasks for Jackson open networks of queues.

Ασφάλεια υπολογιστών

Ασφάλεια δικτύων

Ασυνήθη κυκλοφορία

Διάδοση ιών

Μοντελοποίηση

TCP/IP

005.84

Computer security

Network security

Abnormal behavior

Virus propagation

Modelling

TCP/IP

Ανάλυση και εξομοίωση επιδημιολογικών μοντέλων εξάπλωσης αυτοαναπαραγόμενων αυτόματων

Θεοδωράκης, Ευτύχιος

26 July 2013

Το κάτωθι κείμενο πραγματεύεται το φαινόμενο της εξάπλωσης αυτοαναπαραγόμενων αυτομάτων σε δίκτυα. Αρχικά προβαίνουμε σε μια εισαγωγή στα αυτοαναπαραγόμενα προγράμματα και στο περιβάλλον στο οποίο εξαπλώνονται και εν συνεχεία εμβαθύνουμε στον τρόπο με τον οποίο προσεγγίζουμε το φαινόμενο. Μελετάμε μεθόδους ανίχνευσης με χρήση φίλτρων Kalman και εντροπίας. Τέλος, ασχολούμαστε με μια σειρά παιγνίων και σεναρίων με σκοπό την ανάδειξη συγκεκριμένων πλευρών του όλου προβλήματος και την τροπή που παίρνει στις μέρες μας. Εν κατακλείδι, η παρούσα διπλωματική εργασία τονίζει βασικές ιδιότητες που χαρακτηρίζουν την διάδοση και εισάγει νέες βοηθητικές έννοιες και μοντέλα, με στόχο την κατανόηση και τον ενστερνισμό του πνεύματος των εξελίξεων στα σύγχρονα worms και viruses. / The text below considers the phenomenon of propagation of self replicating automata. We begin with an introduction to self replicating programs and to the environment in which they propagate and then we delve and explain the ways of approaching the phenomenon. We study detection methods via the use of Kalman filters and estimation of entropy. Finally, a series of games and scenarios are introduced and studied, in order to enlighten certain aspects of the problem and its current direction. In conclusion, this diploma thesis marks basic properties of the propagation and introduces auxiliary concepts and new models, having as a goal the comprehension and the adoption of the spirit of evolution of modern worms and viruses.

Ανίχνευση

Επιδημιολογία

005.84

Worms

Viruses

Self replicating automaton (SRA)

Self replicating program (SRP)

Computer security

Epidimiology