ФАКТОРНЫЙ АНАЛИЗ РАСПРОСТРАНЕНИЯ ВРЕДОНОСНОГО ТРАФИКА В СЕТИ Текст научной статьи по специальности «Компьютерные и информационные науки»

ФАКТОРНЫЙ АНАЛИЗ РАСПРОСТРАНЕНИЯ ВРЕДОНОСНОГО ТРАФИКА В

СЕТИ

С.Э. Тураев, аспирант

Научный руководитель: Д.А. Заколдаев, канд. тех. наук, доцент Национальный исследовательский университет ИТМО (Россия, г. Санкт-Петербург)

DOI:10.24412/2500-1000-2022-11-4-22-26

Аннотация. Основной целью защиты от вредоносных программ является исследование методов обнаружения вредоносных программ. В данной статье приводится математическое моделирование распространения вредоносного трафика в локальных вычислительных сетях. Проводится факторный анализ распространения трафика через уравнение регрессии. Эти работы не учитывают методы графических моделей обнаружения вредоносных программ и не раскрывают всех недостатков этих методов. В настоящее время необходимо оценить методы обнаружения вредоносных программ, чтобы определить наиболее эффективный из них.

Ключевые слова: моделирование, трафик, программное обеспечение, ЛВС, вредоносный трафик.

Информация является основным ресурсом любого предприятия или организации, не зависимо от профиля его работы. Информация, как и всякий ресурс, нуждается в защите. Поэтому обеспечение информационной безопасности является важной задачей предприятия [1].

Для совместного использования информации пользователями, работающими на удаленных друг от друга компьютерах, и для организации информационного обмена практически во всех организациях компьютеры объединены в локальную вычислительную сеть (ЛВС). Поэтому обеспечение безопасности ЛВС является одной из важнейших задач предприятия/организации. Одним из видов угроз безопасности информации в ЛВС является вредоносное программное обеспечение.

Вредоносное программное обеспечение делится на следующие группы (рис. 1):

- вирусы;

- черви;

- трояны;

- прочее вредоносное ПО (руткит, бэк-дор и др.) [2].

Представители данных классов вредоносного ПО различаются по способу распространения, признакам проявления.

Известные методы противодействия вредоносному программному обеспечению

не всегда эффективны, так как вредоносное ПО постоянно совершенствуется и мутирует, поэтому не всегда может быть однозначно распознано.

В настоящее время, в эпоху распространения информационных систем и технологий, проникновение компьютеров в повседневную жизнь домохозяйств и организаций стало повсеместно.

Однако, вместе с увеличением числа персональных компьютеров, распространение получили и вредоносные программы, ставящие своей целью похищение персональной информации, затруднение работы технических устройств и периферийного оборудования.

В связи с этим, актуальным становится вопрос распространения вредоносного трафика в локальные сети предприятий и организаций. Для понимания потенциального ущерба, смоделируем влияние вредоносного трафика на ЛВС.

Для этого выделим основные факторы, оказывающие влияние на степень распространения вредоносного программного обеспечения по локальным сетям организаций:

Х1 - Незащищенный выход в интернет

Х2 - Спам

Х3 - Зараженное программное обеспечение

Х4 - Зараженные документы Х5 - Зараженные носители информации Х6 - Вредоносная рассылка Х7 - Атака вредоносного ПО Х8 - Отсутствие антивируса на ПК Х9 - Отсутствие брандмауэра на ПК Х10 - Невыполнение регулярных проверок ПК

Х11 - Отсутствие обновлений антивируса

Выше приведены результаты моделей упорядоченной логистической регрессии (А) и (А1).

Представленные тесты вероятностного соотношения показывают, что существует вариативность в данных в пользу случайного эффекта упорядоченной логистической регрессии, а не стандартной упорядоченной логистической регрессии. Также был проведен тест на квадратуру аппроксимации для того, чтобы посмотреть влияет ли изменение количества точек интегрирования на результаты. Максимальная относительная разница составила 0,02% у переменной СГО., это хороший результат, в связи с этим можно интерпретировать результаты полученных моделей.

Х12 - Отсутствие обновлений брандмауэра

Х13 - Отсутствие аутентификации пользователей на ПК

Х14 - Подключение к незащищенным сетям

Х15 - Антивирусный комплаенс Смоделируем влияние каждого фактора на распространение вредоносного трафика в ЛВС.

По полученным значениям информационных критериев AIC и BIC можно сделать вывод о том, что модель с включенной макропеременной инфляции (А1) дает более качественный результат. В связи с этим доказана гипотеза (1) о значимом влиянии показателей защищенности ЛВС.

Остальные факторы не приведены в итоговой модели, так как являлись незначимыми в различных вариациях с финансовыми детерминантами кредитного риска, а также корпоративной переменной, характеризующей тип собственности банка. В соответствии с этим, дальнейшая оценка будет производиться для модели

(А1).

Далее проверим переменные модели (А1) на мультиколлинеарность.

Таблица 1. Результаты моделей упорядоченной логистической регрессии (A) и (A1)

Факторы Модель (A) (без включения макропеременных) Модель (А1) (с включением макропеременных)

X2 0.8409366 1.294814

X4 .6707794 0.3211425

X7 -4.097292 -2.462702

X9 .0533709 -0.0006308

X11 -2.646766 -3.919701

X12 -1.877836* -2.362536**

X13 -1.56807*** -1.730384***

X14 1) базовая переменная 2) 1.92862 3) -4.744601** 1) базовая переменная 2) 1.865604 3) -5.183422**

X15 - -33.34503**

AIC 597.3047 589.5899

BIC 663.4701 659.0635

LogL -278.65235 -278.15966

Variance 9.989594 11.6542

St. Error 4.122099 4.696855

LR тест chibar2(01) = 72.15, Prob >= chibar2 = 0.0000 chibar2(01) = 78.45 Prob >= chibar2 = 0.0000

*** - значимость на 1%, ** - значимость на 5%, * - значимость на 10%

Таблица 2. Проверка переменных модели (A1) на мультиколлинеарность

Переменная VIF SQRT VIF Tolerance R- squared

X2 1.41 1.19 0.7102 0.2898

X4 1.59 1.26 0.6291 0.3709

X7 1.37 1.17 0.7297 0.2703

X9 1.02 1.01 0.9838 0.0162

X11 1.27 1.13 0.7901 0.2099

X12 1.23 1.11 0.8143 0.1857

X13 1.59 1.26 0.6281 0.3719

X14 1.14 1.07 0.8789 0.1211

X15 1.02 1.01 0.9781 0.0219

Среднее значение VIF 1.29

По результатам теста мульти коллени-арность не обнаружена. В связи с эти можно производить интерпретацию коэффициентов модели.

Значимыми являются коэффициенты при показателе диверсификации средств защиты (-2.362536**), регулярном обновлении ПО (-1.730384***), наличии защищенного соединения с интернетом (5.183422**) (базовой переменная - бранд-

мауэр), а также проверка документов и носителей антивирусом (-33.34503**).

Далее произведен анализ предельных эффектов для значимых переменных модели, а именно диверсификации доходов, размера банка и инфляции. Категориальная переменная, характеризующая тип собственности, будет рассмотрена отдельно.

Таблица 3. Предельные эффекты значимых переменных

Рейтинговая шкала dy/dx

X12 X13 X15

1 0.1039014** 0.0761002*** 1.466473**

2 0.0113615 0.0083215 0.1603572

3 -0.0028322 -0.0020744 -0.0399741

4 -0.0027042 -0.0019806 -0.0381674

5 -0.0009422 -0.0006901 -0.013299

6 -.0101549 -0.0074377 -0.1433266

7 -0.0132142 -0.0096784* -0.1865061

8 -0.0122408 -0.0089655* -0.1727676

9 -0.0074428 -0.0054513* -0.1050488

10 -0.027011* -0.0197836*** -0.381236*

11 -0.0387205** -0.0283599*** -0.5465047**

*** - значимость на 1%, ** - значимость на 5%, * - значимость на 10%

Как и было показано раннее рост показателя диверсификации средств защиты повышает вероятность противостояния вредоносному трафику на 10,39%, при этом вероятность оказаться в дефолте сокращается на 3,87%.

Увеличение частоты обновлений ПО на 1% увеличивает уровень защищенности ЛВС на 7,61% и снижает шансы получения вредоносного трафика на 2,83%.

Если говорить о показателе проверки документов и носителей антивирусом, то

ее рост также увеличивает вероятность защиты от вредоносного трафика в ЛВС и снижает вероятность заражения ПК на 64,65%.

Далее приведены предельные эффекты категориальной переменной, характеризующий тип собственности: государственный (базовая переменная), частный и иностранный. Ниже представлена таблица с результатами.

Таблица 4. Предельные эффекты влияния вредоносного трафика на ЛВС

Рейтинговая шкала иуМх Государственный тип собственности (базовая переменная)

Частный Иностранный

1 -0.053839 0.2788937*

2 -0.0445455 0.0724754**

3 -0.0222033 -0.0023729

4 -0.009343 -0.0782887

5 0.0139285 -0.0744382**

6 0.0276995 -0.0810496*

7 0.0204741 -0.0408348

8 0.014208 -0.0224741

9 0.0071952 -0.0100613

10 0.0225317 -0.0254413*

11 0.0238939 -0.0164084

*** - значимость на 1%, ** - значимость на 5%, * - значимость на 10%

По приведенным в таблице данным можно сделать вывод о том, что при смене типа и уровня защиты от вредоносного трафика вероятность повышения уровня защищённости возрастает на 27,88%. В связи с этим доказана гипотеза о положительном влиянии предельного эффекта нового поколения антивирусной защиты на уровень пресечения вредоносного трафика в ЛВС.

Анализ показал, что для эффективного противостояния вредоносному трафику в ЛВС, необходимо регулярное обновление и переход на последнюю версию ПО.

Планирование регулярного обновления и перехода на последнюю версию ПО всегда являлось одним из важных инструментов обеспечения эффективности защищенности ЛВС.

Эффективное планирование регулярного обновления и перехода на последнюю версию ПО позволяет заранее наиболее рациональным образом распределить имеющиеся ресурсы и принять решение о приобретении последней модели ПО.

В настоящее время разработаны различные протоколы обмена, позволяющие защитить сетевое соединение и зашифровать трафик. К сожалению, они ещё не сменили старые протоколы и не стали стандартом для каждого пользователя.

В определённой степени их распространению помешали существующие в ряде стран ограничения на экспорт средств сильной криптографии.

Из-за этого реализации данных протоколов либо не встраивались в программное обеспечение, либо значительно ослабля-

лись (ограничивалась максимальная длина ключа), что приводило к практической бесполезности их, так как шифры могли быть вскрыты за приемлемое время.

Компаниям целесообразно заключить контракты с обслуживающими организациями (в случае аутсорсинга) либо же поручить ответственному специалисту из ИТ-отдела проведение мониторинга выхода обновлений всего перечня имеющегося в организации программного обеспечения, что позволит оперативно, а главное, своевременно, устанавливать обновление на критически важное для организации программное обеспечение в части сопровождения функционирования оборудования ЛВС.

Однако, эффективное планирование регулярного обновления и перехода на последнюю версию ПО возможно только при четком следовании регламентам обеспечения защищенности ЛВС всеми сотрудниками организации.

В условиях же нарастания уровня вредоносного трафика, ИТ-отделу следует наладить взаимодействие с сотрудниками структурных подразделений организации на предмет должной осмотрительности и «информационной гигиены» во время работы с файлами в сети интернет.

Все эти мероприятия позволят снизить риски получения вредоносного трафика в ЛВС и, соответственно, обеспечат бесперебойное функционирование компьютеров и устройств, находящихся в ЛВС на протяжении длительного времени.

Библиографический список

1. Boruvka O., O jistem problemu minimalnim (About a Certain Minimal Problem), Prace mor. prirodoved. spol. v Brne, III, (2019), 37-58.

2. Fredman M., Willard D. E., Trans-dichotomous algorithms for minimum spanning trees and shortest paths, In Proceedings of FOCS'90 (2020), 719-725.

3. Graham R. L., Hell P., On the history of the minimum spanning tree problem, Ann. Hist. Comput. 7 (2020), 43-57.

4. Pettie S., Finding minimum spanning trees in O(ma(m, n)) time, Tech Report TR99-23, Univ. of Texas at Austin, 2019.

5. Tarjan R. E., Data structures and network algorithms, 44 CMBS-NSF Regional Conf. Series in Appl. Math. SIAM, 2021.

FACTOR ANALYSIS OF THE SPREAD OF MALICIOUS TRAFFIC ON THE

NETWORK

S.E. Turaev, Postgraduate Student

Supervisor: D.A. Zakoldaev, Candidate of Technical Sciences, Associate Professor ITMO National Research University (Russia, St. Petersburg)

Abstract. The main purpose of malware protection is to investigate malware detection methods. This article provides mathematical modeling of the spread of malicious traffic in local area networks. A factor analysis of traffic propagation through the regression equation is carried out. These works do not take into account the methods of graphical malware detection models and do not disclose all the shortcomings of these methods. Currently, it is necessary to evaluate malware detection methods to determine the most effective one. Keywords: modeling, traffic, software, LAN, malicious traffic.