Amaliy ish №3 Mavzu: Noravshan Neyron tarmoq tasniflagichni qurish Ishning maqsad


Download 11.46 Kb.
Sana23.12.2022
Hajmi11.46 Kb.
#1044761
Bog'liq
3-amaliy


Amaliy ish № 3


Mavzu: Noravshan Neyron tarmoq tasniflagichni qurish
Ishning maqsad: Noravshan Neyron tarmoq klassifikatorini qurish usuli bilan
tanishish.


Savollar

  1. Imzoni tahlil qilish usuliga asoslangan neyron tarmoq hujumlarini aniqlash tizimini yaratish muammosi qanday hal qilinadi? Ushbu muammoni hal qilish uchun misollar keltiring.

  2. Neyron tarmoqlar yordamida anomaliyalarni aniqlash muammosini hal qilishning xususiyatlari qanday?



Javoblar
1. Imzolarni tahlil qilish usullari.
Ushbu usullar har bir hujumni ma'lum qoidalar to'plamidan foydalangan holda yoki biron bir rasmiy model, ya'ni belgilar qatori, ma'lum bir tildagi semantik ifoda va boshqalar yordamida tavsiflanishi mumkin degan taxminga asoslanadi. Bu holda hujumlarni (suiiste'mollarni) aniqlash foydalanuvchining joriy harakatlarini yoki kiruvchi / chiquvchi trafikni maxsus bilimlar bazasida saqlanadigan ma'lum hujum naqshlari (imzolar) bilan solishtirishga qisqartiriladi. Masalan, turli portlarga ega bo'lgan TCP ulanishlarining ko'pligi shundan dalolat beradi. kimdir TCP portlarini skanerlashi. Tarmoq hujumining yana bir misoli SYN Flood hujumi bo'lib, tajovuzkor veb-serverni ko'p sonli TCP SYN paketlari (ulanishni boshlaydi) bilan to'ldiradi. jabrlanuvchini juda ko'p ulanishlarni kutishda qoldirish va shu bilan qonuniy foydalanuvchiga xizmat ko'rsatishni rad etish (Xizmatni rad etish, DoS). Imzo tahliliga asoslangan zamonaviy SOAlarning bilim bazasi odatda ancha kengdir (masalan, Real Secure tarmoq monitoringi yordamida 700 tagacha hujum stsenariylari aniqlanadi).

Imzo tahliliga asoslangan usullarning afzalliklari:


ma'lum hujumlarni aniqlashda yuqori samaradorlik:
oz sonli "noto'g'ri signallar" (noto'g'ri salbiy).

Ushbu usullarning kamchiliklari:


faqat ma'lum bo'lgan hujumlar aniqlanadi;
bilimlar bazasini doimiy ravishda yangi hujumlar imzolari bilan to'ldirish kerak, chunki aks holda "hujumni o'tkazib yuborish" (noto'g'ri ijobiy) xavfi mavjud;

qasddan ortiqchalik tufayli (xujumlarning barcha mumkin bo'lgan, ilgari kuzatilgan turlarini eslab qolish va hisobga olishga urinishlar), ushbu texnologiyadan foydalanish katta hisoblash xarajatlarini talab qiladi - tarmoq trafigining 50% gacha.



2. Anomaliyalarni aniqlash usullari. Ushbu usullarning mohiyati shundan iboratki, SOA foydalanuvchining oddiy (muntazam) xatti-harakati yoki tarmoq ulanishlarining tabiati haqida ma'lum bilimlar to'plamiga ega. Ma'lum bir foydalanuvchi yoki tarmoq trafigining harakatlarini etarlicha uzoq vaqt davomida kuzatib borish orqali ularning profilini yaratish mumkin, ya'ni. muntazam texnologik operatsiyalarni bajarishda axborot tizimining normal ishlashi tasviri (modeli). Ushbu profildan har qanday og'ish tizimning anomal harakati sifatida qabul qilinadi. Ushbu anomaliya aniqlangandan va uning xavflilik darajasini baholagandan so'ng, qaror qabul qilinadi bu hujumning natijasimi yoki bu og'ish qabul qilinadi.
Foydalanuvchi profili yoki tarmoq trafigini yaratishda quyidagi ko'rsatkichlar mavjud:
vaqt birligi uchun himoyalangan tizim elementi uchun qayta ishlangan audit yozuvlarining o'rtacha soni;
audit yozuvlarida fayllarga kirish, kiritish-chiqarish operatsiyalari va boshqalar bilan bog'liq har xil turdagi harakatlarni taqsimlash;
foydalanuvchining har bir jismoniy joylashuvidan tizimda ro'yxatdan o'tishning nisbiy chastotasi (loginlar);
ma'lum vaqt oralig'ida foydalanuvchi tomonidan foydalanilgan fayllar soni;
kirish uchun muvaffaqiyatsiz urinishlar soni va boshqalar.
Anomaliyalarni aniqlash usullarining afzalliklari:
ular imzolari hali ishlab chiqilmagan hujumlarning yangi turlarini aniqlash imkonini beradi;
ular imzolarni va hujumlarni aniqlash qoidalarini yangilashlari shart emas;
ular har doim ma'lum bir foydalanuvchiga, uning individual xulq-atvor xususiyatlarini hisobga olgan holda moslashtirilishi mumkin.
Ushbu usullarning kamchiliklari:
uzoq muddatli va sifatli ta'limni talab qiladi;
hali ham juda sekin ishlaydi va katta hisoblash xarajatlarini talab qiladi:
anomal xatti-harakatlarning aniq ta'rifining noaniqligi tufayli ular ko'pincha 1-toifa xatolarga olib keladi (ya'ni, "noto'g'ri signallar", anomal xatti-harakatlar hali hujum bo'lmaganda va tizim uni hujum sifatida tan oladi).
E'tibor bering, bu yo'nalish umuman olganda kam o'rganilgan va hali imzolash usullari kabi keng tarqalmagan. Shuni ta'kidlash kerakki, so'nggi yillarda hujumni aniqlashning yuqoridagi ikkita yo'nalishi (imzolarni qidirish va anomaliyalarni aniqlash) afzalliklarini birlashtirgan birlashtirilgan SOAlarni qurishga qiziqish ortib bormoqda.
Bunday imkoniyatlar, xususan, hujumlarni tahlil qilish uchun istiqbolli neyron tarmoq texnologiyalaridan foydalanilganda taqdim etiladi. Bunga Milliy Assambleyaning ana shunday afzalliklari yordam bermoqda. Qanday:
qasddan hujumlarning xususiyatlarini o'rganish qobiliyati:
turli xil ta'sirlarga, shu jumladan ilgari noma'lum bo'lganlarga dinamik javob berish qobiliyati:
ilgari noma'lum bo'lgan hujumlarni aniqlash va ularni yanada tasniflash qobiliyati;
to'liq bo'lmagan va buzilgan ma'lumotlarni tahlil qilish, ma'lumotlarni filtrlash imkoniyati;
parallel (ko'p protsessorli) ma'lumotlarni qayta ishlash imkoniyati.


Download 11.46 Kb.

Do'stlaringiz bilan baham:



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling