Амалий иш № 4 Мавзу: Норавшан Нейрон тармоқ таснифлагични қуриш Ишнинг мақсад: Норавшан Нейрон тармоқ классификаторини қуриш усули билан танишиш.
Саволлар: 1.Имзони таҳлил қилиш усулига асосланган нейрон тармоқ ҳужумларини аниқлаш тизимини яратиш муаммоси қандай ҳал қилинади? Ушбу муаммони ҳал қилиш учун мисоллар келтиринг.
2.Нейрон тармоқлар ёрдамида аномалияларни аниқлаш муаммосини ҳал қилишнинг хусусиятлари қандай?
Жавоблар: 1- саволга жавоб. Имзоларни таҳлил қилиш усуллари. Ушбу усуллар ҳар бир ҳужумни маълум қоидалар тўпламидан фойдаланган ҳолда ёки бирон бир расмий модел, яъни белгилар қатори, маълум бир тилдаги семантик ифода ва бошқалар ёрдамида тавсифланиши мумкин деган тахминга асосланади. Бу ҳолда ҳужумларни (суиистеъмолларни) аниқлаш фойдаланувчининг жорий ҳаракатларини ёки кирувчи / чиқувчи трафикни махсус билимлар базасида сақланадиган маълум ҳужум нақшлари (имзолар) билан солиштиришга қисқартирилади. Масалан, турли портларга эга бўлган ТCП уланишларининг кўплиги шундан далолат беради. кимдир ТCП портларини сканерлаши. Тармоқ ҳужумининг яна бир мисоли СЙН Флоод ҳужуми бўлиб, тажовузкор веб-серверни кўп сонли ТCП СЙН пакетлари (уланишни бошлайди) билан тўлдиради. жабрланувчини жуда кўп уланишларни кутишда қолдириш ва шу билан қонуний фойдаланувчига хизмат кўрсатишни рад этиш (Хизматни рад этиш, ДоС). Имзо таҳлилига асосланган замонавий СОАларнинг билим базаси одатда анча кенгдир (масалан, Реал Сеcуре тармоқ мониторинги ёрдамида 700 тагача ҳужум стсенарийлари аниқланади).
Имзо таҳлилига асосланган усулларнинг афзалликлари:
билимлар базасини доимий равишда янги ҳужумлар имзолари билан тўлдириш керак, чунки акс ҳолда "ҳужумни ўтказиб юбориш" (нотўғри ижобий) хавфи мавжуд;
қасддан ортиқчалик туфайли (хужумларнинг барча мумкин бўлган, илгари кузатилган турларини эслаб қолиш ва ҳисобга олишга уринишлар), ушбу технологиядан фойдаланиш катта ҳисоблаш харажатларини талаб қилади - тармоқ трафигининг 50% гача.
2- саволга жавоб. Аномалияларни аниқлаш усуллари. Ушбу усулларнинг моҳияти шундан иборатки, СОА фойдаланувчининг оддий (мунтазам) хатти-ҳаракати ёки тармоқ уланишларининг табиати ҳақида маълум билимлар тўпламига эга. Маълум бир фойдаланувчи ёки тармоқ трафигининг ҳаракатларини этарлича узоқ вақт давомида кузатиб бориш орқали уларнинг профилини яратиш мумкин, яъни. мунтазам технологик операцияларни бажаришда ахборот тизимининг нормал ишлаши тасвири (модели). Ушбу профилдан ҳар қандай оғиш тизимнинг аномал ҳаракати сифатида қабул қилинади. Ушбу аномалия аниқлангандан ва унинг хавфлилик даражасини баҳолагандан сўнг, қарор қабул қилинади бу ҳужумнинг натижасими ёки бу оғиш қабул қилинади.
Фойдаланувчи профили ёки тармоқ трафигини яратишда қуйидаги кўрсаткичлар мавжуд:
вақт бирлиги учун ҳимояланган тизим элементи учун қайта ишланган аудит ёзувларининг ўртача сони;
аудит ёзувларида файлларга кириш, киритиш-чиқариш операциялари ва бошқалар билан боғлиқ ҳар хил турдаги ҳаракатларни тақсимлаш;
фойдаланувчининг ҳар бир жисмоний жойлашувидан тизимда рўйхатдан ўтишнинг нисбий частотаси (логинлар);
маълум вақт оралиғида фойдаланувчи томонидан фойдаланилган файллар сони;
кириш учун муваффақиятсиз уринишлар сони ва бошқалар.
Аномалияларни аниқлаш усулларининг афзалликлари:
улар имзолари ҳали ишлаб чиқилмаган ҳужумларнинг янги турларини аниқлаш имконини беради;
улар имзоларни ва ҳужумларни аниқлаш қоидаларини янгилашлари шарт эмас;
улар ҳар доим маълум бир фойдаланувчига, унинг индивидуал хулқ-атвор хусусиятларини ҳисобга олган ҳолда мослаштирилиши мумкин.
Ушбу усулларнинг камчиликлари:
узоқ муддатли ва сифатли таълимни талаб қилади;
ҳали ҳам жуда секин ишлайди ва катта ҳисоблаш харажатларини талаб қилади;
аномал хатти-ҳаракатларнинг аниқ таърифининг ноаниқлиги туфайли улар кўпинча 1-тоифа хатоларга олиб келади (яъни, "нотўғри сигналлар", аномал хатти-ҳаракатлар ҳали ҳужум бўлмаганда ва тизим уни ҳужум сифатида тан олади).
Эътибор беринг, бу ёъналиш умуман олганда кам ўрганилган ва ҳали имзолаш усуллари каби кенг тарқалмаган. Шуни таъкидлаш керакки, сўнгги йилларда ҳужумни аниқлашнинг юқоридаги иккита ёъналиши (имзоларни қидириш ва аномалияларни аниқлаш) афзалликларини бирлаштирган бирлаштирилган СОАларни қуришга қизиқиш ортиб бормоқда.
Бундай имкониятлар, хусусан, ҳужумларни таҳлил қилиш учун истиқболли нейрон тармоқ технологияларидан фойдаланилганда тақдим этилади. Бунга Миллий Ассамблеянинг ана шундай афзалликлари ёрдам бермоқда.
