Факторный анализ распространения вредоносного трафика в сети

Информация является основным ресурсом любого предприятия или организации, не зависимо от профиля его работы. Информация, как и всякий ресурс, нуждается в защите. Поэтому обеспечение информационной безопасности является важной задачей предприятия [1].

Для совместного использования информации пользователями, работающими на удаленных друг от друга компьютерах, и для организации информационного обмена практически во всех организациях компьютеры объединены в локальную вычислительную сеть (ЛВС). Поэтому обеспечение безопасности ЛВС является одной из важнейших задач предприя-тия/организации. Одним из видов угроз безопасности информации в ЛВС является вредоносное программное обеспечение.

Вредоносное программное обеспечение делится на следующие группы (рис. 1):

• -    вирусы;

• -    черви;

• -    трояны;

• -    прочее вредоносное ПО (руткит, бэк-дор и др.) [2].

Представители данных классов вредоносного ПО различаются по способу распространения, признакам проявления.

Известные методы противодействия вредоносному программному обеспечению не всегда эффективны, так как вредоносное ПО постоянно совершенствуется и мутирует, поэтому не всегда может быть однозначно распознано.

В настоящее время, в эпоху распространения информационных систем и технологий, проникновение компьютеров в повседневную жизнь домохозяйств и организаций стало повсеместно.

Однако, вместе с увеличением числа персональных компьютеров, распространение получили и вредоносные программы, ставящие своей целью похищение персональной информации, затруднение работы технических устройств и периферийного оборудования.

В связи с этим, актуальным становится вопрос распространения вредоносного трафика в локальные сети предприятий и организаций. Для понимания потенциального ущерба, смоделируем влияние вредоносного трафика на ЛВС.

Для этого выделим основные факторы, оказывающие влияние на степень распространения вредоносного программного обеспечения по локальным сетям организаций:

• Х1    - Незащищенный выход в интернет

Х2 - Спам

Х3 - Зараженное программное обеспечение

Х4 – Зараженные документы

Х5 – Зараженные носители информации

Х6 – Вредоносная рассылка

Х7 – Атака вредоносного ПО

Х8 – Отсутствие антивируса на ПК

Х9 – Отсутствие брандмауэра на ПК

Х10 – Невыполнение регулярных проверок ПК

• Х11    – Отсутствие обновлений антивируса

Х12 – Отсутствие обновлений брандмауэра

Х13  – Отсутствие аутентификации пользователей на ПК

Х14 – Подключение к незащищенным сетям

Х15 – Антивирусный комплаенс

Смоделируем влияние каждого фактора на распространение вредоносного трафика в ЛВС.

Таблица 1. Результаты моделей упорядоченной логистической регрессии (A) и (A1)

Факторы	Модель (A) (без включения макропеременных)	Модель (А1) (с включением макропеременных)
X2	0.8409366	1.294814
X4	.6707794	0.3211425
X7	-4.097292	-2.462702
X9	.0533709	-0.0006308
X11	-2.646766	-3.919701
X12	-1.877836*	-2.362536**
X13	-1.56807***	-1.730384***
X14	1)    базовая переменная 2)    1.92862 3)    -4.744601**	1)    базовая переменная 2)    1.865604 3)    -5.183422**
X15	-	-33.34503**
AIC	597.3047	589.5899
BIC	663.4701	659.0635
LogL	-278.65235	-278.15966
Variance	9.989594	11.6542
St. Error	4.122099	4.696855
LR тест	chibar2(01) = 72.15, Prob >= chibar2 = 0.0000	chibar2(01) = 78.45 Prob >= chibar2 = 0.0000
*** - значимость на 1%, ** - значимость на 5%, * - значимость на 10%

Выше приведены результаты моделей упорядоченной логистической регрессии (А) и (А1).

Представленные тесты вероятностного соотношения показывают, что существует вариативность в данных в пользу случайного эффекта упорядоченной логистической регрессии, а не стандартной упорядоченной логистической регрессии. Также был проведен тест на квадратуру аппроксимации для того, чтобы посмотреть влияет ли изменение количества точек интегрирования на результаты. Максимальная относительная разница составила 0,02% у переменной CIR, это хороший результат, в связи с этим можно интерпретировать результаты полученных моделей.

По полученным значениям информационных критериев AIC и BIC можно сделать вывод о том, что модель с включенной макропеременной инфляции (A1) дает более качественный результат. В связи с этим доказана гипотеза (1) о значимом влиянии показателей защищенности ЛВС.

Остальные факторы не приведены в итоговой модели, так как являлись незначимыми в различных вариациях с финансовыми детерминантами кредитного риска, а также корпоративной переменной, характеризующей тип собственности банка. В соответствии с этим, дальнейшая оценка будет производиться для модели (A1).

Далее проверим переменные модели (A1) на мультиколлинеарность.

Таблица 2. Проверка переменных модели (A1) на мультиколлинеарность

Переменная	VIF	SQRT VIF	Tolerance	R - squared
X2	1.41	1.19	0.7102	0.2898
X4	1.59	1.26	0.6291	0.3709
X7	1.37	1.17	0.7297	0.2703
X9	1.02	1.01	0.9838	0.0162
X11	1.27	1.13	0.7901	0.2099
X12	1.23	1.11	0.8143	0.1857
X13	1.59	1.26	0.6281	0.3719
X14	1.14	1.07	0.8789	0.1211
X15	1.02	1.01	0.9781	0.0219
Среднее значение VIF	1.29

По результатам теста мульти коллени-арность не обнаружена. В связи с эти можно производить интерпретацию коэффициентов модели.

Значимыми являются коэффициенты при показателе диверсификации средств защиты (-2.362536**), регулярном обновлении ПО (-1.730384***), наличии защищенного соединения с интернетом (5.183422**) (базовой переменная – бранд- мауэр), а также проверка документов и носителей антивирусом (-33.34503**).

Далее произведен анализ предельных эффектов для значимых переменных модели, а именно диверсификации доходов, размера банка и инфляции. Категориальная переменная, характеризующая тип собственности, будет рассмотрена отдельно.

Таблица 3. Предельные эффекты значимых переменных

Рейтинговая шкала	dy/dx
	X12	X13	X15
1	0.1039014**	0.0761002***	1.466473**
2	0.0113615	0.0083215	0.1603572
3	-0.0028322	-0.0020744	-0.0399741
4	-0.0027042	-0.0019806	-0.0381674
5	-0.0009422	-0.0006901	-0.013299
6	-.0101549	-0.0074377	-0.1433266
7	-0.0132142	-0.0096784*	-0.1865061
8	-0.0122408	-0.0089655*	-0.1727676
9	-0.0074428	-0.0054513*	-0.1050488
10	-0.027011*	-0.0197836***	-0.381236*
11	-0.0387205**	-0.0283599***	-0.5465047**
*** - значимость на 1%, ** - значимость на 5%, * - значимость на 10%

Как и было показано раннее рост показателя диверсификации средств защиты повышает вероятность противостояния вредоносному трафику на 10,39%, при этом вероятность оказаться в дефолте сокращается на 3,87%.

Увеличение частоты обновлений ПО на 1% увеличивает уровень защищенности ЛВС на 7,61% и снижает шансы получения вредоносного трафика на 2,83%.

Если говорить о показателе проверки документов и носителей антивирусом, то ее рост также увеличивает вероятность защиты от вредоносного трафика в ЛВС и снижает вероятность заражения ПК на 64,65%.

Далее приведены предельные эффекты категориальной переменной, характеризующий тип собственности: государственный (базовая переменная), частный и иностранный. Ниже представлена таблица с результатами.

Таблица 4. Предельные эффекты влияния вредоносного трафика на ЛВС

Рейтинговая шкала	dy/dx Государственный тип собственности (базовая переменная)
	Частный	Иностранный
1	-0.053839	0.2788937*
2	-0.0445455	0.0724754**
3	-0.0222033	-0.0023729
4	-0.009343	-0.0782887
5	0.0139285	-0.0744382**
6	0.0276995	-0.0810496*
7	0.0204741	-0.0408348
8	0.014208	-0.0224741
9	0.0071952	-0.0100613
10	0.0225317	-0.0254413*
11	0.0238939	-0.0164084
*** - значимость на 1%, ** - значимость на 5%, * - значимость на 10%

По приведенным в таблице данным можно сделать вывод о том, что при смене типа и уровня защиты от вредоносного трафика вероятность повышения уровня защищённости возрастает на 27,88%. В связи с этим доказана гипотеза о положительном влиянии предельного эффекта нового поколения антивирусной защиты на уровень пресечения вредоносного трафика в ЛВС.

Анализ показал, что для эффективного противостояния вредоносному трафику в ЛВС, необходимо регулярное обновление и переход на последнюю версию ПО.

Планирование регулярного обновления и перехода на последнюю версию ПО всегда являлось одним из важных инструментов обеспечения эффективности защищенности ЛВС.

Эффективное планирование регулярного обновления и перехода на последнюю версию ПО позволяет заранее наиболее рациональным образом распределить имеющиеся ресурсы и принять решение о приобретении последней модели ПО.

В настоящее время разработаны различные протоколы обмена, позволяющие защитить сетевое соединение и зашифровать трафик. К сожалению, они ещё не сменили старые протоколы и не стали стандартом для каждого пользователя.

В определённой степени их распространению помешали существующие в ряде стран ограничения на экспорт средств сильной криптографии.

Из-за этого реализации данных протоколов либо не встраивались в программное обеспечение, либо значительно ослабля- лись (ограничивалась максимальная длина ключа), что приводило к практической бесполезности их, так как шифры могли быть вскрыты за приемлемое время.

Компаниям целесообразно заключить контракты с обслуживающими организациями (в случае аутсорсинга) либо же поручить ответственному специалисту из ИТ-отдела проведение мониторинга выхода обновлений всего перечня имеющегося в организации программного обеспечения, что позволит оперативно, а главное, своевременно, устанавливать обновление на критически важное для организации программное обеспечение в части сопровождения функционирования оборудования ЛВС.

Однако, эффективное планирование регулярного обновления и перехода на последнюю версию ПО возможно только при четком следовании регламентам обеспечения защищенности ЛВС всеми сотрудниками организации.

В условиях же нарастания уровня вредоносного трафика, ИТ-отделу следует наладить взаимодействие с сотрудниками структурных подразделений организации на предмет должной осмотрительности и «информационной гигиены» во время работы с файлами в сети интернет.

Все эти мероприятия позволят снизить риски получения вредоносного трафика в ЛВС и, соответственно, обеспечат бесперебойное функционирование компьютеров и устройств, находящихся в ЛВС на протяжении длительного времени.