Xujumlarni aniqlash;
Tarmoq axborotini taxlillash usullari. Mohiyati bo‘yicha, xujumlarni aniqlash jarayoni
korporativ tarmoqda bo‘layotgan Shubhali harakatlarni baholash jarayonidir. Boshqacha
aytganda xujumlarni aniqlash- hisoblash yoki tarmoq resurslariga yo‘naltirilgan shubhali
harakatlarni identifikatsiyalash va ularga reaksiya ko‘rsatish jarayoni.
Hozirda xujumlarni aniqlash tizimida quyidagi usullar ishlatiladi:
- statistik usul;
- ekspert tizimlari;
- neyron tarmoqlari.
Statistik usul.
Statistik yondashishning asosiy afzalligi allaqachon ishlab chiqilgan va
o‘zini tanitgan matematik statistika apparatini ishlatish va sub’ekt xarakteriga moslash.
Ekspert tizimlari. Ekspert tizimi odam-ekspert bilimlarini qamrab oluvchi qoidalar nabori-
dan tashkil topgan. Ekspert tizimidan foydalanish xujumlarni aniqlashning keng tarqalgan
usuli bo‘lib, xujumlar xususidagi axborot qoidalar ko‘rinishida ifodalanadi. Bu qoidalar
harakatlar ketma-ketligi yoki signaturalar ko‘rinishida yozilishi mumkin. Bu qoidalarning
har birining bajarilishida ruxsatsiz faoliyat mavjudligi xususida qaror qabul qilinadi. Bun-
day yondashishning muhim afzalligi – yolg‘on trevoganing umuman bo‘lmasligi. Ekspert
tizimining ma’lumotlari bazasida hozirda ma’lum bo‘lgan aksariyat xujumlar ssenariya-
si bo‘lishi lozim. Ekspert tizimlari, dolzarblikni saqlash maqsadida, ma’lumotlar bazasini
muttasil yangilashni talab etadi. Garchi ekspert tizimlari qaydlash jurnallaridagi ma’lumo-
tlarni ko‘zdan kechirishga yaxshi imkoniyatni tavsiya qilsada, so‘ralgan yangilanish e’ti-
borsiz qoldirilishi yoki ma’mur tomonidan qo‘lda amalga oshirilishi mumkin.
Bu eng kamida, ekspert tizimi imkoniyatlarining bo‘Shashiga olib keladi. Ekspert
tizimlarining kamchiliklari ichida eng asosiysi – noma’lum xujumlarni akslantira olmasligi.
Bunda oldindan ma’lum xujumning xatto ozgina o‘zgarishi xujumlarni aniqlash tizimining
ishlashiga jiddiy to‘siq bo‘lishi mumkin. Neyron tarmoqlari. Xujumlarni aniqlash usullarin-
ing aksariyati qoidalar yoki statistik yondashish asosida nazoratlanuvchi muhitni tahlillash
Shakllaridan foydalanadi.
Nazoratlanuvchi muhit sifatida qaydlash jurnallari yoki tarmoq trafigi ko‘rilishi mum-
kin. Bunday taxlillash ma’mur yoki xujumlarni yaniqlash tizimi tomonidan yaratilgan, old-
indan aniqlangan qoidalar naboriga tayanadi. Xujumni vaqt bo‘yicha yoki bir necha niyati
buzuq odamlar o‘rtasida har qanday bo‘linishi ekspert tizimlar yordamida aniqlashga qi-
yinchilik tug‘diradi. Xujumlar va ular usullarining turli-tumanligi tufayli, ekspert tizimlari
qoidalarining ma’lumotlar bazasining hatto doimiy yangilanishi ham xujumlar diapazoni-
ni aniq identifikatsiyalashni kafolatlamaydi. Neyron tarmoqlaridan foydalanish ekspert
tizimlarining Yuqorida keltirilgan muammolarni bartaraf etishning bir usuli hisoblanadi.
Ekspert tizimlari foydalanuvchiga ko‘rilayotgan xarakteristikalar qoidalar ma’lumotlari
bazasidagiga mos kelishi yoki mos kelmasligi xususida aniq javob beraolsa, neyrotarmoq
axborotni taxlillaydi va ma’ulmotlarning u aniqlashga o‘rgangan xarakteristikalarga mos
kelishini baholash imkoniyatini taqdim etadi. Neyrotarmoqli ifodalashning moslik daraja-
si 100%ga etishi mumkin, ammo tanlash xaqiqiyligi tamoman qo‘yilgan masala misollarini
taxlillash sifatiga bog‘liq. Yuqorida tavsiflangan xujumlarni aniqlash usullarining har biri
67
afzalliklarga va kamchiliklarga ega. SHu sababli, hozirda tavsiflangan usullarning faqat bit-
tasidan foydalanuvchi tizimni uchratish qiyin. Odatda, bu usullar birgalikda ishlatiladi. Xu-
jumlarni aniqlash tizimlarining turkumlanishi. Xujumlarni aniqlash tizimlari IDS(Intrusion
Detection System)da ishlatiluvchi xujumlarni aniqlovchi mexanizmlar bir necha umumiy
usullarga asoslangan. Ta’kidlash lozimki, bu usullar bir-birini inkor etmaydi. Aksariyat
tizimlarda bir necha usullarning kombinatsiyasidan foydalaniladi.
Xujumlarni aniqlash tizimlari quyidagi alomatlari bo‘yicha turkumlanishi mumkin:
- reaksiya ko‘rsatish usuli bo‘yicha;
- xujumlarni fosh etish usuli bo‘yicha;
- xujum xususidagi axborotni yig‘ish usuli bo‘yicha.
Reaksiya ko‘rsatish usuli bo‘yicha passiv va aktiv IDSlar farqlanadi. Passiv IDS lar xujum
faktlarini qaydlaydi, ma’lumotlarni jurnal fayliga yozadi va ogohlantirishlar beradi. Aktiv
IDSlar, masalan, tarmoqlararo ekranni qayta konfiguratsiyalash yoki marShrutizatordan
foydalanish ruyxatini generatsiyalash bilan xujumga qarShi harakat qilishga urinadi.
Xujumlarni fosh etish usuli bo‘yicha IDSlarni quyidagi ikkita kategoriyaga ajratish qa-
bul qilingan:
- anomal hatti-harakatni aniqlash (anomaly-based);
- suiiste’molliklarni aniqlash (misuse detection yoki signature-based).
Anomal hatti-harakatni aniqlash yo‘li bilan xujumlarni aniqlash texnologiyasi quyidagi
gipotezaga asoslangan. Foydalanuvchining anomal hatti-harakati (ya’ni xujumsi yoki qa-
ndaydir g‘arazli harakati) – normal hatti-harakatdan chetlashish. Anomal hatti-harakatga
misol tariqasida qisqa vaqt oralig‘ida ulanishlarning katta sonini, markaziy protsessorning
yuqori yuklanishini va h. ko‘rsatish mumkin. Ushbu texnologiya asosidagi tizimdan foyda-
lanilganda ikkita keskin holat yuz berishi mumkin:
- xujum bo‘lmagan anomal hatti-harakatni aniqlash va uni xujumlar sinfiga kiritish;
- anomal hatti-harakat ta’rifiga mos kelmaydigan xujumlarni o‘tkazib yuborish. Bu ho-
lat xujum bo‘lmagan anomal hatti harakatni xujumlar sinfiga kiritishga nisbatan xavfliroq
hisoblanadi. Bu kategoriya tizimlarini sozlashda va ekspluatatsiyasida ma’mur quyidagi
qiyinchiliklarga duch keladi:
- foydalanuvchi profilini qurish sermehnat masala bo‘lib, ma’murdan katta dastlabki
ishlarni talab etadi.
- Yuqorida keltirilgan ikkita keskin harakatlardan birining paydo bo‘lishi ehtimollig-
ini pasaytirish uchun foydalanuvchi hatti-harakatining chegaraviy qiymatlarini aniqlash
zarur.
Anomal hatti-harakatlarni aniqlash texnologiyasi xujumlarning yangi xilini aniqlashga
mo‘ljallangan. Uning kimchiligi - doimo “o‘rganish” zaruriyati. Suiiste’molliklarni aniqlash
yo‘li bilan xujumlarni aniqlash texnologiyasining mohiyati xujumlarni signatura ko‘rin-
ishida tavsiflash va ushbu signaturani nazoratlanuvchi makonda (tarmoq trafigida yoki
qaydlash jurnalida) qidirishdan iborat. Xujumlarni aniqlash tizimlari ikkita arxitektura –
“avtonom agent” va “agent-menedjer” arxitekturalari asosida quriladi. Birinchi holda
tarmoqning har bir himoyalanuvchi uzel va segmentlariga tizim agentlari o‘rnatilib, bu
agentlar o‘zaro axborot almasha olmaydilar, hamda ularni yagona konsol orqali marka-
68
zlashtirilgan holda boshqarib bo‘lmaydi. “Agent-menedjer” arxitekturasi bu kamchiliklar-
dan xoli. Buholda katta tarmoqning turli qismlarida joylashgan ko‘pgina IDSdan iborat xu-
jumlarni aniqlashning taqsimlangan tizimi dIDS (distributed IDS)da ma’lumotlarni yig‘ish
serverlari va markaziy taxlillovchi server qaydlanuvchi ma’lumotlarni markazlashtirilgan
yig‘ishni va taxlillashni amalga oshiradi. dIDS modullarini boshqarish boshqarishning
markaziy konsoli orqali amalga oshiradi. Filiallari turli xududlar, hatto Shaxarlar bo‘yicha
tarqalgan yirik tashkilotlar uchun bunday arxitekturaning ishlatilishi jiddiy ahamiyatga
ega. Ma’lumotlarni guruxlashni quyidagi parametrlar bo‘yicha amalga oshirish mumkin:
- xujumlovchining IP-adresi;
- qabul qiluvchining porti;
- agent nomeri;
- sana, vaqt;
- protokol;
- xujum xillari va h.
IDSdan foydalanish samaradorligiga qandaydir Shubxalar bo‘lishiga qaramay, foydal-
anuvchilar IDSning ochiq tarqatiluvchi va tijorat vositalaridan keng foydalanadilar.
|
