روشی برای مقابله با انتشار کرم‌ها

به علت قابلیت پخش سریع کرم‌های اینترنتی و خسارات فراوانی که وارد می‌کنند لازم است تا از سیستم‌های مقابله? خودکار ی مانند قرنطینه? پویا بر روی شبکه‌های کامپوتری پیاده‌سازی کنیم‌.با الهام گرفتن از روشهایی که در دنیای واقعی برای کنترل بیماری‌های مسری استفاده می‌شوند روشی را برای قرنطینه? پویا که بر پایه? اصل «قبل از اثبات بی‌گناهی فرض را بر گناهکار بودن بگذار» ارائه می‌کنیم. در صورتیکه یک گره میزبان از شبکه رفتاری مشکوک از خود بروز دهد به وسیله? مسدود کردن ترافیکی که روی پورت مخطی وجود دارد آن را در قرنطینه قرار می‌دهیم و پس از مدت زمان کوتاهی هر چند ان گره به وسیله? بخش امنیتی بازرسی نشده باشد آنرا از قرنطینه آزاد می‌کنیم . مقابله? خودکار با کرم‌هایی که از قبل شناسایی سده‌اند کار دشواری نیست. دیواره‌های آتش و مسیر یاب‌ها می‌توانند محتوای بسته‌ها را با امضای کرم‌های شناسایی شده مطابقت دهند، سپس می‌توان بسته? مربوط به کرم را پس از اینکه از طرف مسیر یاب و یا دیواره? آتش دارنده? امضای کرم شناخته شد از بین برد. با وجود اینکه هیچ امضای خاصی برای کرم‌های شناخته نشده وجود ندارد با تکیه بر روش‌های یافتن ناهنجاری مبتنی بر رفتار سعی می‌کنیم تا کرم را شناسایی کنیم.چالش بزرگی که امروزه برای مقابله? خودکار وجود دارد این است که روش‌های رایج مبتنی بر رفتار برای یافتن ناهنجاری با نرخی بیش از آنچه که در واقعیت است هشدار خطا می‌دهند. اگر به این روشها تکیه کنیم و بر اساس آن به مسدود کردن کامپوترها و ارتباطاتی که در مورد آنها هشدار داده شده بپردازیم ممکن است خیلی از کامپیوترهای سالم و ارتباطات قانونی نیز بسته شوند و در صورتی که بخواهیم پس از بازرسی این کامپوترها و ارتباطات توسط بخش امنیتی و اطمینان از سالم بودن آنها را آزاد کنیم، بسیاری از میزبان‌های سالم به علت بازرسی دستی و بسیار کند برای مدت طولانی مسدود می‌شوند. پس ما چگونه می‌توانیم با استفاده از سیستم‌های کشف ناهنجاری ناقص یک سیستم مقابله? خودکار علیه کرم‌هایی که سرعت انتشار بالایی دارند بسازیم؟ با الهام گرفتن از روشهایی که در دنیای واقعی برای کنترل بیماری‌های مسری استفاده می‌شوند روشی را برای قرنطینه? پویا که بر پایه? اصل «قبل از اثبات بی‌گناهی فرض را بر گناهکار بودن بگذار» ارائه می‌دهیم. این روش قرنطینه? پویا می‌تواند فشار منفی ناشی از هشدارهای زیادی که سیستم‌های تشخیص دهنده? ناهنجاری کرم دارند را آرامتر کند. ما هر میزبانی زا که رفتار آن مشکوک باشد را قرنطینه کرده و پس از مدت زمان کوتاهی آنرا بصورت خودکار آزاد می‌کنیم. اگر برنامه? تشخیص ناهنجاری کرم که ما در سیستم استفاده کردیم بتواند مشخص کند که کدام پورت فعالیت‌های مشکوک دارد آنگاه قرنطینه به این معنی است که ما فقط ترافیک مربوط به آن پورت را مسدود می‌کنیم بدون اینکه به اطلاعات پورت‌های دیگر کاری داشته باشیم. هرگاه در رابطه با یکی از میزبان‌ها هشدار داده شد بخش امنیتی سیستم به سرعت به بازرسی آن می‌پردازد.برای اینکه از درگیر کردن شدید فعالیت‌های نرمال بپزهیزیم، پس از مدت کوتاهی اگر چه میزبان هنوز توسط بخش امنینی بازرسی نشده باشد آنر ا از قرنطینه آزاد می‌کنیم. با این روش میزبانی که به اشتباه قرنطینه شده ( سیستم به شتباه در مورد آن هشدار داده) خیلی معطل نمی‌شود.در اینجا بحث ما در مورد نحوه? بهبود دادن سیستم‌های کشف ناهنجاری نیست . دوش ناهنجاری پویا که ارئه می‌دهیم می‌تواند بر روی هر سیستم ناهنجاری کرم ساخته شود. فرض می‌شود که سیستم‌های تشخیص ناهنجاری کرم هر کدام دارای مثبت کاذب و منفی کاذب خاصی هستند. به عنوان اولین قدم در این مسیر در اینجا موردی را بررسی می‌کنیم که زمان قرنطینه و آستانه? مربوط به تشخیص ناهنجاری کرم ثابت هستند. ما انتشار یک کرم را تحت این روش قرنطینه? پویا به صورت ریاضی آنالیز می‌کنیم و مدلهای کرم را که از دو مدل سرایت قدیمی اتخاذ شده را ارائه می‌کنیم.

مدل‌های قدیمی انتشار کرمها

ویروس‌ها و کرم‌های کامپیوتری در رفتارهایی نظیر خود همتا سازی و انتشار به ویروس‌های موجود در طبیعت شباهت دارند. بنابر این تکنیک‌های ریاضی که برای مطالعه بر روی بیماری‌های مسری ایجاد شده بود می‌تواند برای استفاده در مطالعه بر روی ویروس‌های کامپیوتری و انتشار کرم‌ها تطبیق داده شود. در حوزه? علم امراض مسری هر دو مدل غیر قطعی و قطعی برای مدل کردن نحوه? انتشار بیماری‌های مسری وجود دارد. مدل‌های غیر قطعی برای سیستم‌های با مقیاس کوچک که حرکات ویروس‌ها در آن ساده‌است مناسب است. مدل‌های قطعی برای سیستم‌های با مقیاس بزرگ مناسب هستند.  وقتی که ما چگونگی انتشار یک کرم اینترنتی را مدل می‌کنیم، در واقع یک شبکه? بسیار بزرگ با هزاران کامپیوتر را در نظر می‌گیریم. بنابر این ما در این جا فقط مدل قطعی را در نظر می‌گیریم.در این بخش ابتدا دو مدل قدیمی مسری را معرفی می‌کنیم که بطور وسیعی توسط بسیاری از محققان برای برای مطالعه? نحوه? انتشار کرم‌های اینتر نتی مورد استفاده واقع شد.در مدل‌های مربوط به علم امراض مسری میزبان‌هایی که برای آن مرض ارزشمند به حساب می‌آیند با عنوان میزبان‌های مستعد به حساب می‌آیند. میزبان‌هایی که آلوده شده‌اند و می‌توانند دیگران را هم آلوده سازند میزبان‌های آلوده شده و یا مسری نامیده می‌شوند.میزبان ایی که مصون هستند و یا مرده‌اند و دیگر نمی‌توانند آلوده شوند میزبان‌های از بین رفته نامیده می‌شوند. در اینجا نیز ما از همین نامها برای مدل کردن کرم‌های کامپیوتر استفاده می‌کنیم.در آغاز انتشار کرم سیستمی که مورد نظر است فقط از میزبان‌هایی که مستعد آلودگی هستند و یا آلوده شده‌اند تشکیل شده‌است. به بیان دیگر ما از دیگر میزبان‌ها که ارتباطی با کرم ندارند و بر انتشار کرم‌ها بی تاثیرند چشم پوشی می‌کنیم.