Microsoft Word uzk axborot xavfsizligi doc
Download 0.58 Mb. Pdf ko'rish
|
Axbotor xawsizligi
|
тўсиқ бўлиши мумкин.
Нейрон тармоқлари. Хужумларни аниқлаш усулларининг аксарияти қоидалар ёки статистик ёндашиш асосида назоратланувчи муҳитни таҳлиллаш шаклларидан фойдаланади. Назоратланувчи муҳит сифатида қайдлаш журналлари ёки тармоқ трафиги кўрилиши мумкин. Бундай тахлиллаш маъмур ёки хужумларни яниқлаш тизими томонидан яратилган, олдиндан аниқланган қоидалар наборига таянади. Хужумни вақт бўйича ёки бир неча нияти бузуқ одамлар ўртасида ҳар қандай бўлиниши эксперт тизимлар ёрдамида аниқлашга қийинчилик туғдиради. Хужумлар ва улар усулларининг турли-туманлиги туфайли, эксперт тизимлари қоидаларининг маълумотлар базасининг ҳатто доимий янгиланиши ҳам хужумлар диапазонини аниқ идентификациялашни кафолатламайди. Нейрон тармоқларидан фойдаланиш эксперт тизимларининг юқорида келтирилган муаммоларни бартараф этишнинг бир усули ҳисобланади. Эксперт тизимлари фойдаланувчига кўрилаётган характеристикалар қоидалар маълумотлари базасидагига мос келиши ёки мос келмаслиги хусусида аниқ жавоб бераолса, нейротармоқ ахборотни тахлиллайди ва 49 маъулмотларнинг у аниқлашга ўрганган характеристикаларга мос келишини баҳолаш имкониятини тақдим этади. Нейротармоқли ифодалашнинг мослик даражаси 100%га етиши мумкин, аммо танлаш хақиқийлиги тамоман қўйилган масала мисолларини тахлиллаш сифатига боғлиқ. Юқорида тавсифланган хужумларни аниқлаш усулларининг ҳар бири афзалликларга ва камчиликларга эга. Шу сабабли, ҳозирда тавсифланган усулларнинг фақат биттасидан фойдаланувчи тизимни учратиш қийин. Одатда, бу усуллар биргаликда ишлатилади. Хужумларни аниқлаш тизимларининг туркумланиши. Хужумларни аниқлаш тизимлари IDS(Intrusion Detection System)да ишлатилувчи хужумларни аниқловчи механизмлар бир неча умумий усулларга асосланган. Таъкидлаш лозимки, бу усуллар бир-бирини инкор этмайди. Аксарият тизимларда бир неча усулларнинг комбинациясидан фойдаланилади. Хужумларни аниқлаш тизимлари қуйидаги аломатлари бўйича туркумланиши мумкин: - реакция кўрсатиш усули бўйича; - хужумларни фош этиш усули бўйича; - хужум хусусидаги ахборотни йиғиш усули бўйича. Реакция кўрсатиш усули бўйича пассив ва актив IDSлар фарқланади. Пассив IDS лар хужум фактларини қайдлайди, маълумотларни журнал файлига ёзади ва огоҳлантиришлар беради. Актив IDSлар, масалан, тармоқлараро экранни қайта конфигурациялаш ёки маршрутизатордан фойдаланиш руйхатини генерациялаш билан хужумга қарши ҳаракат қилишга уринади. Хужумларни фош этиш усули бўйича IDSларни қуйидаги иккита категорияга ажратиш қабул қилинган: - аномал ҳатти-ҳаракатни аниқлаш (anomaly-based); - суиистеъмолликларни аниқлаш (misuse detection ёки signature-based). Аномал ҳатти-ҳаракатни аниқлаш йўли билан хужумларни аниқлаш технологияси қуйидаги гипотезага асосланган. Фойдаланувчининг аномал ҳатти-ҳаракати (яъни хужумси ёки қандайдир ғаразли ҳаракати) – нормал ҳатти-ҳаракатдан четлашиш. Аномал ҳатти-ҳаракатга мисол тариқасида қисқа вақт оралиғида уланишларнинг катта сонини, марказий процессорнинг юқори юкланишини ва ҳ. кўрсатиш мумкин. Ушбу технология асосидаги тизимдан фойдаланилганда иккита кескин ҳолат юз бериши мумкин: 50 - хужум бўлмаган аномал ҳатти-ҳаракатни аниқлаш ва уни хужумлар синфига киритиш; - аномал ҳатти-ҳаракат таърифига мос келмайдиган хужумларни ўтказиб юбориш. Бу ҳолат хужум бўлмаган аномал ҳатти ҳаракатни хужумлар синфига киритишга нисбатан хавфлироқ ҳисобланади. Бу категория тизимларини созлашда ва эксплуатациясида маъмур қуйидаги қийинчиликларга дуч келади: - фойдаланувчи профилини қуриш сермеҳнат масала бўлиб, маъмурдан катта дастлабки ишларни талаб этади. - юқорида келтирилган иккита кескин ҳаракатлардан бирининг пайдо бўлиши эҳтимоллигини пасайтириш учун фойдаланувчи ҳатти-ҳаракатининг чегаравий қийматларини аниқлаш зарур. Аномал ҳатти-ҳаракатларни аниқлаш технологияси хужумларнинг янги хилини аниқлашга мўлжалланган. Унинг кимчилиги - доимо "ўрганиш" зарурияти. Суиистеъмолликларни аниқлаш йўли билан хужумларни аниқлаш технологиясининг моҳияти хужумларни сигнатура кўринишида тавсифлаш ва ушбу сигнатурани назоратланувчи маконда (тармоқ трафигида ёки қайдлаш журналида) қидиришдан иборат. Хужумларни аниқлаш тизимлари иккита архитектура – "автоном агент" ва "агент-менеджер" архитектуралари асосида қурилади. Биринчи ҳолда тармоқнинг ҳар бир ҳимояланувчи узел ва сегментларига тизим агентлари ўрнатилиб, бу агентлар ўзаро ахборот алмаша олмайдилар, ҳамда уларни ягона консол орқали марказлаштирилган ҳолда бошқариб бўлмайди. "Агент-менеджер" архитектураси бу камчиликлардан холи. Бу ҳолда катта тармоқнинг турли қисмларида жойлашган кўпгина IDSдан иборат хужумларни аниқлашнинг тақсимланган тизими dIDS (distributed IDS)да маълумотларни йиғиш серверлари ва марказий тахлилловчи сервер қайдланувчи маълумотларни марказлаштирилган йиғишни ва тахлиллашни амалга оширади. dIDS модулларини бошқариш бошқаришнинг марказий консоли орқали амалга оширади. Филиаллари турли худудлар, ҳатто шахарлар бўйича тарқалган йирик ташкилотлар учун бундай архитектуранинг ишлатилиши жиддий аҳамиятга эга. Маълумотларни гурухлашни қуйидаги параметрлар бўйича амалга ошириш мумкин: - хужумловчининг IP-адреси; - қабул қилувчининг порти; 51 - агент номери; - сана, вақт; - протокол; - хужум хиллари ва ҳ. IDSдан фойдаланиш самарадорлигига қандайдир шубхалар бўлишига қарамай, фойдаланувчилар IDSнинг очиқ тарқатилувчи ва тижорат воситаларидан кенг фойдаланадилар. Download 0.58 Mb. Do'stlaringiz bilan baham: 
|