Abstract We consider how to best schedule reparative downtime for a customer-facing online service that is vulnerable to cyber attacks such as malware infections. These infections can cause performance degradation (i.e., a slower service rate) and facilitate data theft, both of which have monetary repercussions. Infections may go undetected and can only be removed by time-consuming cleanup procedures, which require temporarily taking the service offline. From a security-oriented perspective, cleanups should be undertaken as frequently as possible. From a performance-oriented perspective, frequent cleanups are desirable because they maintain faster service, but they are simultaneously undesirable because they lead to more frequent downtimes and subsequent loss of revenue. We ask when and how often cleanups should happen. In order to analyze various downtime scheduling policies, we combine queueing-theoretic techniques with a revenue model to capture the problem’s tradeoffs. Unlike classical repair problems, this problem necessitates the analysis of a quasi-birth-death Markov chain, tracking the number of customer requests in the system and the (possibly unknown) infection state. We adapt a recent analytic technique, Clearing Analysis on Phases (CAP), to determine the exact steady-state distribution of the underlying Markov chain, which we then use to compute revenue rates and make recommendations. Prior work on downtime scheduling under cyber attacks relies on heuristic approaches, with our work being the first to address this problem analytically.

中文翻译：

---

清理还是不清理：负载下服务器的恶意软件删除策略

摘要 我们考虑如何为容易受到网络攻击（例如恶意软件感染）的面向客户的在线服务安排最好的修复停机时间。这些感染会导致性能下降（即服务速度变慢）并促进数据窃取，这两者都会造成经济损失。感染可能不会被发现，只能通过耗时的清理程序来消除，这需要暂时使服务脱机。从面向安全的角度来看，应尽可能频繁地进行清理。从面向性能的角度来看，频繁清理是可取的，因为它们可以保持更快的服务，但同时也是不可取的，因为它们会导致更频繁的停机时间和随后的收入损失。我们询问应该何时以及多久进行一次清理。为了分析各种停机时间调度策略，我们将排队理论技术与收入模型相结合，以获取问题的权衡。与经典的修复问题不同，这个问题需要分析准生死马尔可夫链，跟踪系统中客户请求的数量和（可能未知的）感染状态。我们采用了最近的分析技术，即阶段清算分析 (CAP)，以确定基础马尔可夫链的准确稳态分布，然后我们使用它来计算收入率并提出建议。先前关于网络攻击下的停机时间安排的工作依赖于启发式方法，我们的工作是第一个以分析方式解决这个问题的工作。我们将排队理论技术与收入模型相结合，以获取问题的权衡。与经典的修复问题不同，这个问题需要分析准生死马尔可夫链，跟踪系统中客户请求的数量和（可能未知的）感染状态。我们采用了最近的分析技术，即阶段清算分析 (CAP)，以确定基础马尔可夫链的准确稳态分布，然后我们使用它来计算收入率并提出建议。先前关于网络攻击下的停机时间安排的工作依赖于启发式方法，我们的工作是第一个以分析方式解决这个问题的工作。我们将排队理论技术与收入模型相结合，以获取问题的权衡。与经典的修复问题不同，这个问题需要分析准生死马尔可夫链，跟踪系统中客户请求的数量和（可能未知的）感染状态。我们采用了最近的分析技术，即阶段清算分析 (CAP)，以确定基础马尔可夫链的准确稳态分布，然后我们使用它来计算收入率并提出建议。先前关于网络攻击下的停机调度的工作依赖于启发式方法，我们的工作是第一个通过分析解决这个问题的工作。跟踪系统中客户请求的数量和（可能未知的）感染状态。我们采用了最近的分析技术，即阶段清算分析 (CAP)，以确定基础马尔可夫链的准确稳态分布，然后我们使用它来计算收入率并提出建议。先前关于网络攻击下的停机调度的工作依赖于启发式方法，我们的工作是第一个通过分析解决这个问题的工作。跟踪系统中客户请求的数量和（可能未知的）感染状态。我们采用了最近的分析技术，即阶段清算分析 (CAP)，以确定基础马尔可夫链的准确稳态分布，然后我们使用它来计算收入率并提出建议。先前关于网络攻击下的停机时间安排的工作依赖于启发式方法，我们的工作是第一个以分析方式解决这个问题的工作。