مقاله افزایش اثربخشی رفتار کاربران شبکه های نظیر به نظیر در انتشار کرموارههای غیرفعال

بخشی از مقاله

*** این فایل شامل تعدادی فرمول می باشد و در سایت قابل نمایش نیست ***

افزایش اثربخشی رفتار کاربران شبکه های نظیر به نظیر در انتشار کرموارههای غیرفعال
چکیده
در این مقاله روشهای مختلف مدلسازی کرمواره های غیرفعال در شبکههای نظیر به نظیر مورد بررسی و مطالعه قرار گرفته است. هدف این مدل ها مشخص کردن چگونگی و سرعت انتشار این بدافزارها در بستر شبکه است. در این راستا ابتدا چند مدل مطرح از انتشار کرمواره های غیرفعال معرفی گردیده و ویژگیهای هر مدل مورد بررسی قرار گرفته، و به تفاوتها و برتریهای آنها نسبت به یکدیگر اشاره می شود. سپس با افزودن پارامترهایی نحوه تاثیر رفتار کاربران بر سرعت انتشار کرمواره ها در مدل اعمال گردید و با شبیه سازی مدل، نشان داده شده که نحوه رفتار کاربران بر افزایش سرعت انتشار آلودگی در این شبکهها حداقل ۳ برابر تاثیر مستقیم دارد.
واژههای کلیدی: مدل انتشار، شبکه نظیر به نظیر، کرمواره غیرفعال
۱. مقدمه
کرمواره ها یکی از تهدیدات مهم امنیتی در شبکههای کامپیوتری هستند. مدل سازی و ارزیابی رفتار و نحوه گسترش آنها در شبکه راه خوبی برای شناخت آنها و طراحی اقدام دفاعی در برابر آنها می باشد. هر چند کرمواره های فعالی به دلیل قابلیت جستجو و گسترش خودبخودی و سرعت انتشار بالا بیشتر مورد مطالعه قرار گرفتهاند ولی در سالهای اخیر با گسترش شبکههای نظیر به نظیر در بستر اینترنت و حجم بالای مبادله اطلاعات در آنها برای کرموارههای غیر فعال نیز این امکان به وجود آمده تا با چسبیدن به ترافیک این شبکهها با سرعت بیشتری در بین گرههای یک شبکه نظیر به نظیر گسترش یابند. بنابراین این نوع از کرموارهها نیز کم کم مورد توجه محققین قرار گرفتند. به دلیل شباهتهای موجود، برای مدلسازی انتشار کرموارهها در شبکه معمولاً از مدل های انتشار بیماری های بیولوژیک استفاده می شود ۱]. شبکه نظیر به نظیر یک الگو برای تعامل عضوهای شبکه با یکدیگر است به صورتی که هر دو گره ای بدون یک کنترل مرکزی می توانند با یکدیگر ارتباط برقرار کرده و اطلاعات را بین یکدیگر به اشتراک گذارده و مبادله نمایند.
این الگو در مقابل معماری سرویس گیرنده / سرویس دهنده قرار میگیرد. در این شبکه یک نظیر میتواند هم تأمین کننده یک یا چند منبع باشد و هم مصرف کننده مستقیم و بدون واسطه منابعی که نظیرهای دیگر فراهم کردهاند باشد [۲]. برخی از مزایای این شبکه ها عبارتند از: • این سامانه ها با اجتناب از وابسته کردن سامانه به یک مدیریت متمرکز، باعث افزایش مقیاس پذیری سامانه می شوند. ۹ گرهها به طور مستقیم با یکدیگر ارتباط دارند و بنابراین نیاز به یک ساختار پرهزینه برای برقراری ارتباط بین گرهها و مدیریت آن نخواهیم داشت. • به دلیل مقیاس پذیری بالای آن، امکان افزایش تعداد گره های سامانه و در نتیجه افزایش منابع در دسترس سامانه فراهم شده و سامانه قدرتمندی ایجاد خواهد شد.
این شبکه ها روش مناسبی برای به اشتراکگذاری اطلاعات بین مردم در بستر اینترنت فراهم میکنند. به همین دلیل امروزه به صورت گسترده برای مبادله اطلاعات در بستر اینترنت به کار می روند و برخی از آنها با داشتن میلیون ها عضو بخش عمدهای از ترافیک اینترنت را به خود اختصاص داده اند. از شبکههای نظیر به نظیر معروف می توان به آی مش، کازا"، نپستر ، ناتلا" و فری نت " اشاره کردا ۲]. کرمواره یک نرم افزار بدخواه (بدافزار) است که می تواند نسخه های متعددی از خودش را تکثیر کرده و در فضای شبکه گسترش یابد. کرموارههای فعال برنامههای خودمختاری هستند که از طریق شبکههای کامپیوتری با انجام جستجو، حمله و آلوده کردن رایانه ها از راه دور پخش می شوند. کرمواره های غیرفعال معمولا خودشان را به پوشه های اشتراکی میچسبانند، و با دانلود و اجرای این فایلها توسط سایر نظیرها انتشار پیدا می کنند. این کرموارهها در پوشههای اشتراکی نظیرهای آلوده، تحت چندین نام مختلف مقیم می شوند. هنگامی که سایر نظیرها یکی از آن فایلها را دانلود می کنند، کرموارهها در این میزبان گسترش پیدا می کنند و هنگامی که کاربر، فایل را اجرا می کند کرم خودش را با چندین نام مختلف و فریبنده در پوشه های به اشتراک گذاشته شده قربانی جدید کپی می کند و منتظر قربانی های بعدی میماند. در مقایسه با کرمواره های فعال، کرموارههای غیرفعال به آرامی در اینترنت انتشار پیدا می کنند اما شبکه های نظیر به نظیر با میلیون ها کاربر (مثل بیت تورنت ) بستر مناسبی برای انتشار آنها هستند. به عنوان نمونه در سال ۲۰۰۱ کرمواره کد - رد" در کمتر از ۱۴ ساعت ۰ ۰ ۳۵۹۰ رایانه متصل به اینترنت را آلوده کرد. بر خلاف کرمواره های فعال، کرمواره های غیرفعال در حین انتشار رفتار غیرعمدهای ندارند و این امر تشخیص آنها را دشوار می کند. در این مقاله ابتدا سابقه کارهای انجام شده روی کرموارهها مرور می شود. در بخش بعدی برخی مدلهای قبلی معرفی و بررسی شده و نیز به اقداماتی که برای بهبود وضعیت این مدلها انجام گردیده اشاره می گردد و سرانجام در بخش پایانی با افزودن پارامترهایی به مدلهای موجود، اثر رفتار کاربران در مدل اعمال گردیده و نتایج مورد انتظار از طریق شبیه سازی نمایش داده شده است.
۲. سابقه
اولین کرمواره شناخته شده رایانه ای در سال ۱۹۸۸ با عنوان موریس به رایانه های با سامانه عامل یونیکس حمله کرد و حدود پنج تا ده درصد از فضای اینترنت را آلوده کرد ||۳||. در ۱۱ جولای ۲۰۰۱ کرمواره ی کد - رد حدود ۳۶۰۰۰۰ رایانه متصل به اینترنت را ظرف مدت کمتر از ۱۴ ساعت اشغال کرد. خسارت ناشی از این حمله در آن زمان بالغ بر دو و نیم میلیارد دلار برآورد گردید [۴]. در سال ۲۰۰۲ استنی فورد" در یک کار تحقیقاتی با حمایت مالی دارپا یک مدل کلاسیک ریاضی برای نحوهی انتشار کد - رد ارائه کرد ا۵ | اولین بار نمایش ریاضی انتشار بیماریها بنام مدل اپیدمیک توسط کندریک" و با عنوان کاربردهای ریاضیات در مسائل پزشکی حدود صد سال پیش ارائه شد ۶ ]. در مدل دیگری که در سال ۲۰۰۲ توسط زو" ارائه شد تأثیر ترافیک شبکه و اقدامات پیشگیرانه انسانی نیز در نظر گرفته شده بود ۷]. در ۲۰۰۳ چن" یک مدل گسسته زمان برای کرمواره ها ارائه کرد آ۸] در این مدل برای عواملی مثل ترمیم و پاکسازی ایستگاههای کاری هم پارامترهایی تعریف شده بود. در همان سال سندین " یک روش برای تشخیص کرمواره ها با استفاده از شبکه های نظیر به نظیر ارائه کرد ||۹|| در سال های ۲۰۰۴ و ۲۰۰۵ یو و همکارانش نتیجه تحقیقاتشان بر روی انتشار کرمواره های غیرفعالی در بستر شبکههای نظیر به نظیر را منتشر کردند || ۱۰ و ۱۱]. سه مدل انتشار برای کرمواره ها توسط چائوشنگ فنگ" و همکارانش در سال ۲۰۰۸ ارائه شد ۱۲ ا. این مدل ها (SIRSIS,SI) که هر کدام برای مرحله ای از فرایند انتشار کرمواره ها تعریف شده بودند نسبت به سایر مدلها معروف تر شده و مبنای بسیاری از تحقیقات بعدی قرار گرفتند. به عنوان مثال، در همان سال بوژان و همکارانش با استفاده از مدل SI چند روش دفاعی در برابر کرمواره ها ارائه کردند ۱۳]. یک مدل پیشنهادی دیگر برای انتشار کرمها در شرایط وجود اقدامات تدافعی در سال ۲۰۰۹ و توسط
توتونجی " ارائه گردید [۱۴] در ۲۰۱۲ آقای خنجری و همکارانش یک مدل بهبود یافته بر پایه مدلهای SIS ,SI و SIR ارائه کردند ا۱۵ اما در ادامه این مدل های اخیر را مورد بررسی قرار می دهیم.
SIR SIS ,SI saj.Ajo t' همان طور که قبلاً اشاره شد این مدل ها در سال ۲۰۰۸ ارائه شدند و مبنای بسیاری از کارهای بعدی بوده اند || ۱۲ ا. به دلیل آنکه شبکههای نظیر به نظیر سامانه های پیچیده ای هستند برای امکانپذیر شدن مدلسازی و تحلیل آنها، معمولاً از پیشفرض هایی برای ساده کردن مسئله استفاده می شود.
• توپولوژی شبکه استاتیک و تعداد کل اعضای آن (نظیرها) عدد ثابتی است که در مدل با (N(t نشان داده شده است. تعداد فایل ها نیز ثابت بوده و هیچ فایلی به فایل های به اشتراک گذارده، اضافه نمی شود. هر کاربر تمام فایلهایی را که می خواهد با دیگران به اشتراک بگذارد را در یک پوشه ی مشترک قرار می دهد. • تمام کاربران، فایلها را در پوشه ی مشترکشان دانلود میکنند. پس از اتمام دانلود یک فایل یک بار اجرا می شود. • زمان جستجو، اتصال، دانلود و اجرای یک فایل برای همه فایل ها عدد ثابتی بوده و با عنوان واحد زمانی" شناخته می شود. یک واحد زمانی طول می کشد که دانلود کننده فایل، آلوده شده یا مصون بماند. • وقتی یک نظیر (ایستگاه کاری) آلوده می شود C عدد فایل آلوده با نامهای مختلف در پوشه ی مشترک مستقر می شوند. تمام نظیرهای آلوده همان C عدد فایل را به اشتراک می گذارند. پارامترها و نمادهای مورد استفاده در مدل در جدول ۱ آمدهاند.

SI UAo.Y. در این مدل هر نظیر در شبکه دو حالت دارد: یا مستعد آلودگی است (S) و یا آلوده شده است (I). نظیرهای مستعد هیچ فایل آلوده ای را به اشتراک نمی گذارند ولی در معرض خطر دانلود فایلهای آلوده هستند و وقتی فایل آلوده ای را دانلود و اجرا می کنند بلافاصله آلوده می شوند. احتمال دانلود کردن فایلهای آلوده متناسب با نسبت فایل های آلوده به کل فایلهای شبکه است که با (h(t نمایش داده شده است. پارامتر ثابت 0 تنظیم کننده ای است که با تنظیم مقدار آن میتوان احتمال انتشار را به عدد واقعی نزدیکتر کرد. در یک واحد زمانی یک نظیر مستعد d ۸ فایل را دانلود می کند، احتمال اینکه فایلها آلوده باشند برابر (h(t است. بنابراین احتمال آنکه یک نظیر مستعد آلوده شود (dh(t ۸ برابر است.

در نتیجه آهنگ تغییر S برابر (۸dh(t)S(t - است. کاملاً واضح است که آهنگ تغییر I برخلاف آهنگ تغییر S است. هنگامی که یک نظیر مستعد آلوده می شود، تعداد فایل های آلوده C عدد افزایش مییابد. بنابراین آهنگ تغییر K برابر با ۸dh()S(t).c است. برای مدل SI فرض می کنیم یک گرهی مستعد پس از آلوده شدن در همان وضعیت باقی میماند بنابراین نمودار پیشرفت حالت ان به صورت شکل ۱ خواهد بود:

نمودار پیشرفت حالت در این مدل برابر شکل ۲ است. یعنی وقتی تمام فایلهای آلودهٔ یک نظیر آلوده به صورت طبیعی از بین برود یا پاک شود آن نظیر دوباره به حالت مستعد باز میگردد. به نظر مؤلف شکل ۳ نمودار پیشرفت حالت این مدل را به نحو واقعی تری نشان میدهد.

بر این اساس معادلات دیفرانسیل مدل SIS را میتوان به صورت زیر
نوشت:

۳. ۳. مدل SIR
همچنان که آلودگی کرمواره ها افزایش مییابد کاربران متوجه حضور آنها در شبکه شده و تدابیری مثل ترمیم سامانه ها و به - روزآوری آنتی ویروس ها را اتخاذ می کنند که نتیجه آن ایمن شدن بخشی از ایستگاههای کاری است. این ایستگاه ها را با عنوان نظیرهای بازیابی شده (R) می شناسیم و فرض می کنیم که آنها دیگر آلوده نخواهند شد. با فرض آنکه نظیرهای مستعد و نظیرهای آلوده به ترتیب به نسبت (ir I(tف و (۸s S(t پاکسازی شوند، آهنگ تغییر نظیرهای پاک شده برابر (۸s S(t) + i I(t خواهد بود. در همان زمان فایلهای آلوده با نرخ (Cir I(t کاهش مییابند. نمودار پیشرفت حالت این مدل به صورت شکل ۴ خواهد بود که با توجه به آنکه بر اساس فرضیات مدل برخی نظیرها مستقیما از حالت مستعد به حالت بازیابی تغییر وضعیت می دهند شکل ۵ تناسب بیشتری با این فرضیات دارد (مؤلف).

با توجه به نکات فوق معادلات دیفرانسیل مدل SIR را می توان به صورت زیر نوشت:

۳. ۴. بررسی مدل
اگر چه مدلهای فوق کارایی خوبی داشتند و مدل های نسبتا مناسبی برای انتشار بودند اما برخی فرضیات موجود در آنها با فضای واقعی تطابق نداشت. در این بخش به برخی از این موارد اشاره می کنیم.
• ثابت فرض کردن تعداد نظیرهای برخط، (تعداد ایستگاه های کاری) و تعداد فایلهای به اشتراک گذارده شده که این با طبیعت شبکههای نظیر به نظیر سازگار نیست و در عمل محیط این شبکه ها در مدل به یک محیط ایستا تبدیل شده است. • غفلت از متوسط اندازه فایل به عنوان یک پارامتر تأثیرگذار در سرعت انتشار، واضح است که هر چه اندازهٔ فایل بزرگتر باشد زمان انتقال بیشتر شده و نرخ انتشار کاهش مییابد. نظر نگرفتن پهنای باند شبکه به عنوان عاملی که بر روی سرعت فرآیند انتشار اثر می گذارد به طور طبیعی پهنای باند بیشتر به معنای سرعت انتشار بیشتر خواهد بودا ۱۶ا
۳. ۵. مدل بهبود یافته
در مرجع ا۱۵] تلاش شده برخی کاستیهای بیان شده در مدلهای فوق برطرف شود. این کار با افزودن چند پارامتر به عنوان
عوامل تأثیرگذار در فرایند انتشار انجام شده است. در جدول ۲ لیست پارامترهای اضافه شده به مدل اولیه مشاهده می شود.

علاوه بر پارامترهای جدید در فرضیات ابتدایی مدل نیز اصلاحاتی صورت گرفته است. از جمله آنکه تعداد نظیرهای شبکه و نیز تعداد فایلها عدد ثابتی نبوده و می تواند در طی شبیه سازی تغییر کند. مدل بهبود یافته SI که با عنوان DSI نامگذاری شده است دارای همان نمودار پیشرفت حالت و معادلات دیفرانسیل (۱) الی (۴) است. با این تفاوت که در معادلات (۱) الی (۳)، di ۸ جایگزین و در معادلهٔ (۴)، dui ۸ جایگزین ۸ شده است و بدین ترتیب اثر پهنای باند و اندازهٔ فایلها در مدل اعمال گردیده است. بدین ترتیب معادلات (۱۴) الی (۱۷) را میتوان برای مدل DSI نوشت: