I-bob. Axborot kommunikatsiya tizimlarida axborotning himoyalanganligini baholash usul va vositalari tahlili 8

Axborot kommunikatsiya vositalarining matematik modeli

Download 1,39 Mb. bet 15/24 Sana 13.07.2022 Hajmi 1,39 Mb. #784573

Bu sahifa navigatsiya:

• 2.3. Korxonada xodimlarning ish faoliyatini kuzatish va tahlil qilish

2.2. Axborot kommunikatsiya vositalarining matematik modeli Yuqoridagida aytilganlardan va graflar nazariyasidan foydalanib axborot kommunikatsiya vositalarining formal matematik modelini shakillantirib ko’ramiz. Zamonaviy kompyuter tarmoqlari tuzilmasi bir biridan mustaqil ravishda, ammo o‘zaro aloqada ishlovchi tarqatilgan telekommunikatsiya tarmog‘ini elementlaridan (kompyuterlar, serverlar, kommunikatsiya qurilmalari (kommutator, marshrutizator), printerlar, xavfsizlik va nazotar apparat-dasturiy qurilmalar va h.k.) iborat. Shu kabi tuzilmalar tizimidagi asosiy vazifalardan biri tarmoqda oqim harakatini samarali tashkil etishdir. 2.2.1-rasm Kompyuter tarmog‘i tuzilmasi Kompyuter tarmog‘i tuzilmasining matematik modelini quyidagi qurilmalar tashkil etadi: Bu yerda: - ko‘plab kompyuterlar - ko‘plab serverlar - ko‘plab kommutatorlar - ko‘plab ofis uskunalari (printerlar, skanerlar, fakslar) - xavfsizlik va nazotar apparat-dasturiy qurilmalar - barcha qurilmalarni yagona tarmoqqa birlashtiruvchi ko‘plab aloqa kanallari. - tarmoq qurilmalarini maqsadli muloqot qilish(ma’lumot uzatish/qabul qilish) uchun ko‘plab aloqa kanallari ishlatilinadi. qurilmalar “1” rost va “0” yolg‘on qiymatlarini qubul qiladi. Bunda, , shu qatorda , , aloqa kanalining orasidagi normal ishlashini aniqlaydi. tarmoq tarkibiy qismlari o‘rtasidagi aloqa yo‘qlini bildiradi. Tarmoq tarkibiy qismlari o‘rtasidagi munosabatlar quyidagi matematik ifodalar bilan tavsiflanadi: , bu yerda va 2.3. Korxonada xodimlarning ish faoliyatini kuzatish va tahlil qilish Xodimlarning xulq-atvorini kuzatish va tahlil qilish tizimi ma'lumotlar to'plash, yig'ilgan ma'lumotlarning statistik hisobotlari va intellektual tahlilini (ma'lumotlar konstruktsiyasini) ishlab chiqishni ta'minlaydi, ya'ni: uyushmalar va xatti-harakatlar modellarini yaratish, alohida hisoblash tizimida va umuman tarmoq doirasida faoliyatdagi g’ayritabiiyliklarni qidiruvchi tizim bu ko’p-agent hisoblanadi. 2.3.1-rasm Xodimlarning xulq-atvorini monitoring va tahlil qilish Tizim birlashtiruvchi serverlardan, yig'uvchi agentlardan va analitik ish stantsiyasidan iborat. Resurslar ma'lumotlari kompyuter tizimidagi yozuvlar agentlari tomonidan o'qiladi va serverda to'planadi. Yig'ilgan ma'lumotlar asosida statistik ko'rsatkichlar aniqlanadi, ma'lumotlar tahlil qilinadi. Statistik hisobotlar, topilgan o’xshashliklar, tuzilgan modellar va aniqlangan g’ayritabiiyliklar interaktiv dinamik hisobot shaklida tahlillarga yuboriladi. Analitikning ish joyi foydalanuvchi bilan tizimni ta'minlovchi dasturiy moduldir. Quyidagi imkoniyatlar taqdim etiladi: agentlarni o'rnatish va sozlash, ma'lumotlarni tahlil qilish boshqaruvi (ma'lumotni filtrlash, tahlil algoritmlarini tayyorlash va boshqalar), hisobotlarni hisobot parametrlari bo'yicha ko'rish. Ombordagi barcha log yozuvlarini birlashtirilib, birlashtirilgan ma'lumotlar interfeysining serverda to’plangan ma'lumotlarning tuzilishiga bog'liq bo'lmagan holda birlashtirish masalasini qayd qilish jurnallari qaydlarini to’plash quyi tizimi- OS va dasturiy ta'minot jurnallaridan ma'lumotlarni to'plash va ularni qayta ishlash tizimi tomonidan hal qilinadi. Konsolidatsiya quyi tizimi ikki qismdan iborat: server qismi (konsolidatsiya serveri) va log fayllari to'planadigan kompyuterlarda ishlaydigan agentlar. Agentlar turli platformalarda ishlashlari va turli jurnallardan ma'lumot to'plashlari mumkin. Tizim yangi agentlaringizni qo'shishi yoki birlashma serverini qayta ishga tushirmasdan mavjud bo'lganlarni o'zgartirish imkonini beradi. Agent ma'lumotlarni yig'ish sozlamalari bilan bog'liq bo'lsa, to'plangan ma'lumotlarning oraliq buferlanishi uchun mahalliy xotirani o'z ichiga oladi. Agent kompyuterga o’rnatilgan har xil OS va dasturiy ta'minot jurnallaridan hodisalar haqidagi ma'lumotlarni to'playdi. Yig'ilgan yozuvlarni XML asosida ishlab chiqilgan universal formatga o'zgartiradi [12] va ma'lumotlar jadvalga muvofiq serverga o'tkaziladi. Agent tomonidan to'plangan ma'lumotni uzatish quyidagi strategiyalardan biriga muvofiq amalga oshirilishi mumkin: 1. Ma'lumotlar miqdorini belgilash. Agent ma'lum miqdordagi ma'lumotni yoki jurnal yozuvlarini biriktirib, so'ng ularni serverga o'tkazadi. 2. Teng miqdordagi vaqt oralig’ida. Agent, ma’lum vaqt oralig’ida, barcha ma'lumotlarni uning hajmini hisobga olmagan holda mahalliy saqlash omboriga yuboradi. 3. Jadvalga ko'ra. Agent ma'lumotlar faqat belgilangan vaqtda uzatadi. 4. Haqiqiy vaqt rejimida. Agent darhol jurnaldagi har bir yangi o'qilgan yozuv haqidagi ma'lumotlarni uzatadi. Ushbu strategiya resurslarga nisbatan eng talabchanidir. Server agentdan ma'lumotlar olinganida, server yozuvlarni ichki formatga o'zgartiradi va ularni ma’lumotlar omboriga joylashtiradi. Ma’lumotlar omboridagi yuk yangi olingan ma'lumotlar jurnali fayllari va tahlil qilish uchun ma'lumotlarni yig'ish yukidan iborat. Bu harakatlarning tabiati turlicha. Ma'lumotni olish, odatda, barcha to'plangan yozuvlarni ma'lum bir vaqt oralig'ida tezkor qabul qilishni nazarda tutadi va bu muammo yozuvlarni tartiblashtirilgan sana tartibida joylashtirish yo'li bilan hal etiladi. Biror birlashtiruvchi server ma'lumotlarni ko'p sonli agentlardan va ko'p miqdordagi log fayllaridan birlashtirishi kerakligi sababli, yangi olingan ma'lumotlarni qo'shish bilan vaziyat murakkabroq kechadi. Ma’lumotlarni birlashtiruvchi server “agentni almashtirish” va birlashtiruvchi serveriga noto'g'ri ma'lumotlar yuklanishidan himoyalanishni ta'minlash maqsadida faqat ro'yxatdan o'tgan agentlar bilan ishlaydi. Serverning faoliyati yetarli bo'lmasa, qidiruv ma’lumotlarni birlashtiruvchi serverlaridan foydalanish mumkin. Ma’lumotlarni birlashtiruvchi server va ombor axborotni tahlil qilish usullari va log ma'lumotlariga qo'llanilishi mumkin bo'lgan quyi mexanizmlar va metodlarga hech qanday cheklovlar qo'ymaydi. Turli analitik vositalarni ulash mumkin: statistikani yaratish, uyushish qoidalarini belgilash, g’ayritabiiyliklar va istisnolarni aniqlash va h.k. Tizim quyidagi "Xulq modellari" dan foydalaniladi. Tipik xulq-atvorni tavsiflovchi fakt atributlarida korrelyatsiyalarni (o’xshashlik) topish. Shu maqsadda birlashma qoidalariga asoslangan algoritm ishlatiladi [9]. Ushbu yondashuvning asosiy g'oyasi, bizning holatda fakt atributlari qiymatlari o'rtasidagi korrelyatsiyaga mos keladigan, tranzaksiya va elementlar o'rtasidagi korrelyatsiyalarni aniqlash uchun assotsiatsiya qoidalarini qidirish algoritmlaridan foydalanishdir. Har qanday x fakt n attributlar (xarakteristikalar) to’plami bilan ifodalansin, bunda atributlarni aniqlash sohasi, (2.3.1). deb belgilansin. Algoritm faoliyati natijasi  (2.2). ko’rinishidagi m assotsiativ qoidalardan iborat: Bu yerda - funksiyasining , -atributi uchun tayinlanish shartlarini belgilaydigan elementlar, xususan, ular raqamli atributlar uchun diapason qiymati (masalan, "Duarion = 77-1384") va diskret atributlar uch⃓ (2.3). aniq qiymatlar (masalan " Process = cmd.exe") bo’lishi mumkin; - qoida ishonchliligi quyidagicha aniqlanadi: birlashtiruvchi qoidani quyidagi kabi izohlash mumkin: “agar faktlari atributlari predikatlarini qondirsa, elementlarini ham qondirish ehtimoli bor”. Qoidalarning o'zlarini oddiy va samarali talqin qilishidan tashqari, kuchli birlashtiruvchi yondashuv “tez-tez qaytariluvchi epizod” ya'ni, ko’p uchrovchi turg’un atributlar kombinatsiyasining oddiy va samarali ta'rifini beradi,. Har qanday “Tez-tez sodir qaytariluvchi epizod” to'g'ridan-to'g'ri R(x) assotsiatsiya qoidasi bilan belgilanadi, bu yerda chastota qoidaning qo'llab-quvvatlash qiymati sifatida belgilanadi. Qurilgan uyushmalar yoki qoidalar yoki bog’liq tarmoqlari ko'rinishida bo’lishi mumkin. Har bir qoida "agar ..., keyin ...", deb ifodalanadi. Bundan tashqari, har bir qoida uchun uning ehtimoli aniqlanadi. Qoidalarni "old shartlar" va ehtimol bo'yicha filtrlash mumkin, shuningdek, ehtimollik bilan filtrlarni o'rnatish mumkin. Bog’liq tarmoq "attribut = qiymat" juftligining oldingi va keyingi natijalarini aniq ko’rsatadi. G’ayritabiiyliklarni aniqlash usullarini qo'llashning asosiy g'oyasi - tizim foydalanuvchilari faoliyatining monitoringi va uning matematik modeli yaratilganligidir, bu esa xavfsizlik siyosatining buzilishi va foydalanuvchi harakatlaridagi g’ayritabiiyliklarni aniqlash imkonini beradi. Ko'plab kompyuter mutaxassislarining ko'rsatmalari bo'yicha, bu yondashuv, ayniqsa ichki ogohlantirishlarni aniqlashda samara beradi, chunki bu yerda ogohlantirish tizimini (early warning) yaratishga imkon beradi. Bunday tizimlarni qo’llash tajribasi shuni ko'rsatadiki, aksariyat hollarda foydalanuvchining harakati to'g'ridan-to'g'ri muhim axborotni o'g'irlash yoki hujumdan avval uning avvalgi faoliyatiga yoki shu guruhning foydalanuvchilar faoliyati xos bo'lmagan harakatni bajarishi mumkin. G’ayritabiiyliklarni aniqlash algoritmi tanlangan o'quv majmuasida "tarbiyalangan". Keyinchalik algoritm yangi qabul qilingan yozuvlarga nisbatan qo'llaniladi, ularni an'anaviy yoki g'ayritabiiy deb tasniflaydi. Zarur bo'lsa, tahlilchi algoritmni "qayta o’rgatishi" mumkin. G’ayritabiiyliklarni qidirish uchun qurilgan moslashtirish qoidalaridan foydalanishi mumkin[9]. Buni bajarish uchun avval foydalanuvchining oldingi faoliyatiga moslashtirish qoidalarni izlovchi algoritm qo’llniladi,  asosida moslashtirish qoidalarining modeli quriladi, u ushbu faoliyatni tasvirlaydi.Bu model foydalanuvchining hozirgi harakatlariga qo’llaniladi, ular va atributlarning qanchalik anomal ekanligini, oldingilaridan qanchalik farqlanishini belgilaydi. Moslashtirish qoidalariga asoslangan modeldan g’ayritabiiyliklarni qidirish g’oyasi shunga tayanadiki,  moslashtirish qoidalarini bitta atributga qarb boshqalarini bashorat qilish uchun ishlarish mumkin. Buning uchun  qoidalar tizimi bo’yicha  (2.6). funksiyasi quriladi, u boshqa atributlarga tayanib 1-atribut qiymati ehtimolligini hisoblaydi. 2.3.2-rasm. Foydalanuvchi faoliyatini nazorat qiluvchi modelini yaratish strukturasi Eng oddiy holatda bunday funksiya quyidagi tarzda aniqlanishi mumkin.  (2.6). -atrubitni aniqlash sohasi s ta turli  qiymatlarga ega bo’lsin, agarda -atribut diskret yoki s son intervallaridan, agar -atribut uzulishsiz bo’lsa. Bu holatda qoidaning eng yuqori ishonchli ekanligi deb aniqlanish ehtimoli quyidagichadir: Bu holatda, real kuzatilgan i artributiga asosan kutilayotgan natijaning haqqoniyligi : Shubhasiz, agar i-attributning qiymati kutilganiki, ya'ni ilgari topilgan moslashtirish modeli asosida bashorat qilingan atribut bilan mos keladigan bo'lsa, bunday xususiyatning ishonch darajasi bir, ya'ni to’liq kutilgan qiymatga teng bo’ladi. Agar bunday qiymat oldin hech qachon uchramagan bo'lsa, shartli ehtimollik nolga teng bo'ladi va attributning ishonch darajasi ham mutanosib "g’ayritabiiy" qiymatga mos keladi. Boshqa hollarda, ishonch qiymati 0 dan 1 ga qadar o'zgaradi, bu qiymat qancha kichikroq bo'lsa, attribut qiymati shunchalik g’ayritabiiy bo'ladi. Barcha hodisalarning ishonchliligi bu holatning ishonchli qiymatlari atribut sifatida aniqlanishi mumkin:  . Bunday yondashuv nafaqat g’ayritabiiy voqealarni aniqlashni, balki anashu g’ayritabiiyliklarning sababini ya'ni oldingi foydalanuvchi faoliyati nuqtai nazaridan normal bo'lmagan xususiyatlarni topish imkonini beradi. Korxonada har bir xodimni kompyuter tarmoqlarida qanday faoliyat bilan mashg’ul bo’layotganini nazorat qiladigan, jarayonlarni tahlillaydigan tizimlar axborot hujumlaridan himoyalanish uchun yoki ishlab chiqaruvchi korxonalarda ish samaradorligini oshirish uchun muhim omillardan biri hisoblanadi. Algoritimning ishlash jarayoni kompyuterlarga o’rnatilgan agentlarning vazifalari turli xil har biri o’ziga belgilangan vazifalarni bajaradi. Kompyuter ishga tushishi va lokal tarmoq faoliyati yuritilishi bilan agentlar ishga tushadi. Agentlar ma’lumotlar bazasidan doimiy ishlash jarayonlarini taqqoslaydi, ish faoliyatida agentlar g’ayritabiiy holatlarni aniqlashi kk. Bu esa kiberxujumlarni oldini olishi yoki xodimlarni ish vaqtini qanday yuritayotganini aniqlashga yordam beradi. G’ayritabiiyliklar aniqlanmasa algaritim yana jarayonlarni ma’lumotlar bazasi bilan tahlillashga o’tadi. Tarmoqlarni tahlil qilishning bu usulining kompyuter tarmoqlarining arxitekturasining barcha darajalaridagi g’ayritabiiy vaziyatlarni aniqroq, minimal darajadagi yolg’on ogohlantiruvchi signallarni aniqlash imkonini beradi. Shu bilan bir qatorda taklif qilingan algoritm kompyuter tarmoqlarini holatini tahlil qilish va boshqarishga imkon beradi. 2.3.3-rasm. Xodimarni nazorat qilish algoritmlari Download 1,39 Mb. Do'stlaringiz bilan baham: