|
Tarmoq trafigini ushlab olish moduli. Tarmoq trafigini ushlab olish moduli yordamida ushlab olingan paketlar rasmiy qoidalar generatsiyasi modulining kirishiga kelib tushadi. Keyin paketlar rasmiy qoidalar generatsiyasi moduliga, ya'ni aniq bir tarmoqlararo ekran modeliga bog'lanmagan qoidalarda shakllanadi.
Rasmiy qoidalar generatsiyasi moduli. Qoidalarni rasmiy ko'rinishda shakllantirish jarayonida tarmoqlararo ekran qoidalari formatlari tavsifi kutubxonasidagi axborotdan foydalaniladi. Tarmoqlararo ekran qoidalari formati rasmiy qoidalarni muayyan bir tarmoqlararo ekran formatiga o'tkazuvchi sxemaga ega XML-faylni o'z ichiga oladi. Filtrlash nabori to'plamining ikkilik formatiga ega va uni matnli formatda qilish imkoniyatini taklif etmaydigan bir qator tarmoqlararo ekranlar uchun formatlar bazasida nafaqat XML-faylni o'zgartirish sxemalari qatnashadi, balki qoidalar to'plamining ikkilik formatini matnli va teskari formatga o'zgartirish imkonini beruvchi funksiyalar kutubxonasi ham bo'lishi mumkin.
2.10 – rasm. Trafikni maxsus filtrlash qoidalarida anomaliyalarni aniqlashning modullaring sxemasi.
Agar madadlovchi tizimda zaruriy tarmoqlararo ekran bo'lmasa, foydalanuvchi mustaqil ravishda XML-fayllarni yaratish va kutubxonalarni o'zgartirish imkoniyatiga ega bo'ladi. Bundan keyin filtrlar to'plami orasida filtrlash qoidalarining taqsimlanishi yuz beradi:
Agar qoida ruxsat beruvchi bo'lsa, bu qoida har bir filtrga qo'shilishi kerak.
Agar qoida taqiqlovchi bo'lsa, ketma-ket filtrlar zanjiri uchun bitta qoida yetarli va parallel filtrlar zanjiri uchun har bir zanjirdagi bitta filtrga qoida qo'llanilishi yetarli hisoblanadi.
Agar qoida taqiqlovchi bo'lsa, unga filtrlarning predikat formalarini aniqlash kerak. Bitta zanjirdagi filьtrlar uchun istalgan filtrlarga qoidalar qo'llaniladi va bu yerda filtrlar YOKI(||) orqali predikatda yoziladi. Parallel zanjirlardagi filtrlar uchun qoidalar har biriga qo'llaniladi va bu yerda filtrlar VA(&) orqali predikatda yoziladi. Qabul qilingan rasmiy qoidalar to'plami tahlil qilinadi va shundan so'ng aniqlangan anomaliyalar haqida hisobot shakllantiriladi.
Tarmoq paketlarining ajratish moduli. Tarmoq paketlarining ajratish modulida virtual ulanishlar bajariladi. Har bir virtual ulanish tugashi bilan manbaa va manzil IP-adres, manba va manzil port, trafikni uzatish/qabul qilish hajmi ma'lumotlar bazasida saqlanadi. Bundan faqat ICMP va ARP paketlari mustasno – ular haqidagi ma'lumotlar virtual ulanishlarni birlashtirmasdan bazada saqlanadi. Ma'lumotlar bazasi SQL-so'rovlar yordamida amalga oshiriladi, bu SQL tilidan to'liq darajada va barcha imkoniyatlaridan foydalanish imkoniyatini yaratadi. Tahlil etilayotgan tarmoq trafigini ushlab olish nuqtasida, ma'lumotlar bazasiga kerakli so'rovlarni shakllantirib filtrlash qoidalari naborini qurish uchun barcha kerakli axborotni olish mumkin.
Shunday qilib, taklif etilayotgan trafikni maxsus filtrlash qoidalarida anomaliyalarini aniqlash usuli qoidalarni noto'g'ri sozlash bilan bog'liq axborot xavfsizligi xavf-xatarlarini va filtrlash qoidalarida anomaliyalar sonini kamaytirish imkonini beradi.
Har bir abonent ichki tarmoqning paketlari 2 bosqichdan o'tadi – o’qitish va aniqlash. O’qitish jarayoni ma'lum bir vaqtga to'g'ri keladi va tizim tugagandan so'ng ushbu abonent uchun qadriyatlar jadvali bo'ladi. Aniqlash bosqichiga o'tib, tizim hisob-kitoblarni ma'lum bir vaqt oralig'ida jadvaldagi qiymat bilan taqqoslaydi va anomaliya faoliyatning mavjudligi to'g'risida xulosa chiqaradi. Har bir abonent o'z stoliga ega va har bir abonent o'z o’qitish va aniqlash bosqichlariga egadir.
Mantiqiy komponentlar va ishlash bosqichlari. Mantiqiy komponentlar
Kollektor, Analizator va Regulyatordir. 2.1- jadvalda "DAM" ning ishining bir yoki boshqa bosqichida ishlovchi komponentlar keltirilgan.
Kollektor trafikni to'xtatish, vaqtinchalik kuzatuv birligi uchun sarlavhalardan raqamli qiymatlarni olish bilan shug'ullanadi. Kuzatuv birligi ma'lum bir vaqt oralig'ida bir guruh qiymatlarni bildiradi. Bundan tashqari, kollektor abonentlar uchun trafikni saralash va analizatorni keyingi qayta ishlash uchun qiymatlarni uzatish bilan shug'ullanadi.
2.11 – rasm. Anomaliyalarni aniqlash tizimining algoritmi
Har bir bosqichda ish bosqichlari va komponentlar:
Analizator, o'z navbatida, matematik formulalar kollektoridan olingan qiymatlarni qo'llaydi va keyingi transport bilan nima qilish kerakligini hal qilishi kerak. Buning uchun u abonentning yangi yoki ilgari tizimning nuqtai nazari bo'lganligini tushunishi kerak.
Agar abonent yangi bo'lsa, u uchun tizim ta'lim bosqichiga o'tadi, ya'ni. mos yozuvlar qiymatlarining yangi bo'sh jadvali boshlanadi va uni to'ldirish boshlanadi. Agar abonent allaqachon tizim bazasida bo'lsa, unda analizator qaysi bosqichda ekanligini tushunishi kerak. Agar ta'lim bosqichida mavjud jadvalga yozishni davom ettirish kerak.
O’qitish bosqichi qancha vaqt boshlanganini tushunish uchun jadvaldagi ma'lum bir yacheykadagi vaqt tamg'asi ruxsat etiladi. Agar abonent ta'lim bosqichida bo'lsa, unda u tugaydi. Agar abonent aniqlash bosqichida bo'lsa, uning taqdiri regulyatorga topshiriladi.
Analizatordan olingan qiymatlar bilan ishlaydigan regulyator ularni jadvallardan (o’qitish bosqichida olingan) qiymatlar bilan taqqoslaydi va anomaliyaning mavjudligi yoki yo'qligi haqida xulosa chiqaradi. Agar anomaliya aniqlansa, harakat qo'llaniladi. Harakatlar muayyan sanktsiyalar (masalan, abonent uchun ICMP trafigini cheklash) yoki passiv xatti-harakatlar (tizim administratorini potentsial muammo haqida ogohlantirish) bo'lishi mumkin.
Quyidagi rasmda anomaliyani aniqlash algoritmining sxemasi (2.7-rasm) ko'rsatilgan. Bosqichlarning chegaralari va komponentlarning vakolatlari sxematik tarzda belgilanadi.
Do'stlaringiz bilan baham: | 
