Миллионы компьютеров по всему миру заражены вредоносным ПО, несмотря на все усилия общественных кампаний по повышению осведомленности о фишинговых атаках и антивирусном ПО. Большая часть заражения направлена на то, чтобы позволить третьей стороне взять под контроль данную машину или сеть машин и использовать их без ведома законных пользователей для злонамеренной и преступной деятельности. Компании, занимающиеся безопасностью и программным обеспечением, действительно отслеживают активность в Интернете, и было много широко известных успехов в уничтожении таких ботнетов.
Однако авторы вредоносных программ всегда разрабатывают новые инструменты и методы, которые позволяют им заражать незащищенные компьютеры и восстанавливать ботнеты.Ботнеты широко используются организованной преступностью для попыток взлома систем безопасности путем организации распределенных атак типа «отказ в обслуживании» (dDOS), среди прочего, на корпоративные, банковские и правительственные системы.
Такие атаки могут открывать «бэкдоры» в частной компьютерной сети, которая позволяет контроллеру ботнета получать доступ к частной и другой конфиденциальной информации, паролям или даже системам голосования. Ботнеты также использовались просто в злонамеренных целях, чтобы заставить веб-сайты и другие службы отключаться, иногда в актах протеста или восстания.Теперь Р. Анита и его коллеги из Технологического колледжа PSG, Коимбатур, Индия, обратились к статистическому инструменту, известному как скрытая полумарковская модель (HsMM), чтобы помочь им разработать программное обеспечение для мониторинга, которое может обнаруживать явные признаки активности ботнета на компьютер и отключите вредоносное ПО.
В теории вероятностей и статистике марковский процесс — это процесс, в котором кто-то может предсказать следующее состояние процесса на основе его текущего состояния, не зная полной истории процесса. Примером в азартных играх может быть то, что если у вас сейчас есть фишка, а шансы на выигрыш или проигрыш при следующей ставке равны, мы можем предсказать, не зная, сколько фишек у вас было раньше, что после следующей ставки у вас не будет ни одной фишки или двух.Таким образом, модель скрытого Маркова будет включать в себя переменные, которые наблюдатель не видит, но может сделать выводы и таким образом предсказать результат. Прогнозирование того, шел ли дождь в конкретный день на основе того, отсутствовал ли в данный день пешеход, путешествующий только в хорошую погоду, и у вас нет прогноза погоды для его района, включает в себя скрытый марковский процесс.
Затем скрытая полумарковская модель включает в себя процесс такого рода, но время, прошедшее до текущего состояния, влияет на прогноз. Например, можно предсказать характер дождя, основываясь на том, сколько времени прошло с момента нашей последней прогулки в хорошую погоду.Команда применила статистическую логику скрытой полумарковской модели для прогнозирования характеристик интернет-активности на данном компьютере, который подозревается в том, что он является «компьютером-зомби» в ботнете, на основе переменных базы управляющей информации (MIB).
Эти переменные — это компоненты, используемые для управления потоком пакетов данных в компьютер и из него через Интернет-протокол. Их подход может смоделировать «нормальное» поведение, а затем выделить активность ботнета как отклонение от нормы, при этом не будут видны конкретные переменные, которые изменяются вредоносным ПО.
Команда отмечает, что разработчики ботнетов и вредоносных программ в последнее время сосредоточили внимание на веб-активности типа http, которую легче замаскировать среди бесчисленных пакетов данных, перемещающихся туда и обратно по сети, а также на конкретный компьютер и из него. Их тесты на небольшой компьютерной сети зомби показывают, что скрытая полумарковская модель, которую они разработали как легкую систему обнаружения в реальном времени, может легко распознать эту маскировку.
При широком внедрении такая система могла бы очень быстро заблокировать этот вид ботнета и замедлить ассимиляцию зомби-компьютеров преступниками и другими лицами со злым умыслом.