Evaluación matemática de la diseminación de gusanos agresivos

A través del siempre interesante Worm Blog de José Nazario, llego a un paper de los que gustan, ya que abordan el problema de la seguridad desde un punto de vista científico y matemático

An Improved Worm Mitigation Model for Evaluating the Spread of Aggressive Network Worms es una nota de Nazario en la que simple y llanamente, se nos invita a la lectura del documento original, un paper titulado An Improved Worm Mitigation Model for Evaluating the Spread of Aggressive Network Worms, escrito por los investigadores C. Onwubiko, A. P. Lenaghan y L. Hebbes, pertenecientes al Networking and Communications Group, unidad docente integrada dentro de la Faculty of Computing, Information Systems and Mathematics de la Universidad de Kingston del Reino Unido.

4 páginas a dos columnas donde los autores condensan tras la introducción, el modelo de Kermack-McKendrick (SIR) como punto de partida. Esto no es algo nuevo, ya que este modelo surgió para su aplicación en medicina, describiendo cómo el número de personas infectadas con una enfermedad infecciosa, en una población cerrada, puede variar con el tiempo.

El modelo consta de tres ecuaciones diferenciales, y puede representarse de la siguiente manera:

kermack mckendrick

I(t) es el número de infectados, S(t) el número de enfermos susceptibles y R(t) el número de personas sanadas en el tiempo t. a y b son constantes. Este modelo, no obstante, también se puede representar como:

kermack-mckendrick

esta variante es la variante de Jones y Sleeman, para extender el modelo de Kermack-McKendrick a un espacio n-dimensional, con n=2. Esta extensión se debe a que el modelo 1-dimensional no tiene en cuenta el espacio como variable, con lo que se introduce la posición, con las funciones I(t, x, y) e S(t, x, y)

Los autores definen, a partir de los modelos originales, un modelo mejorado, que llaman Improved Worm Mitigation Model (IWMM), que consta de 4 ecuaciones diferenciales no lineales, en forma de dos duplas, con el fin de comparar los resultados al modelo SIR, obviamente, extrapolando el modelo SIR de infecciones médicas a infecciones por malware. El objeto de mejora es tener en cuenta el número real de hosts recuperados en el tiempo t, lo que en el modelo original llamamos R(t).

Los resultados, para los datos pertenecientes al gusano Code Red, muestran un menor número de hosts infectados en el tiempo que si empleamos SIR. El modelo propuesto, IWMM, presenta, según los autores, información más completa sobre transiciones de estado de los gusanos en el proceso de infección. Así pues hablamos de susceptible a infectado, susceptible a eliminado, infectado que pasa a cuarentena y el estado de paso de cuarentena a recuperado. La clase susceptible de ser eliminado es la que proporciona mayores reducciones en el número de hosts infectados a lo largo del tiempo t, si comparamos IWMM con SIR. Interesante.

También de Nazario es la entrada Entropy Based Worm and Anomaly Detection in Fast IP Networks, sobre detección de gusanos a través de herramientas de monitorización esacalables y de amplio espectro. Esta me la guardo para otro día :)