Kirish magistrlik dissertatsiya mavzusining asoslanishi va uning dolzarbligi

Download 2,78 Mb.

bet	7/24
Sana	17.07.2022
Hajmi	2,78 Mb.
	#813059

1 2 3 4 5 6 7 8 9 10 ... 24

Bog'liq
1 (3) (2)

OSI modeli sathlari	Tunnellashning bazaviy protokoli
Shifrlash vositalari
Seans sathi	SOCKS	Quyidagi protokollardan foydalanadi
Transport sathi	SSH	AES, 3DES, Blowfish
Transport sathi	SSL/TLS	AES, 3DES, IDEA, RC4 va h.
Tarmoq sathi	IPSec (ESP)	AES, 3DES va h.
Kanal sathi	L2TP	Yuqoridagi protokollardan foydalanadi.
Kanal sathi	PPTP	MPPE (RC4)

Ma’lumotlarning sirqib chiqishini oldini olish tizimlari (Data Leakage Prevention, DLP). Ushbu tizimlardan, tarkibida tijoriy, kasbiy yoki boshqa turdagi sir bo‘lgan ma’lumotlarning noqonuniy tarzda tashqi tarmoqqa jo‘natilishini aniqlashda va blokirovkalashda foydalaniladi. DLP tizimlar ulanish sxemasi bo‘yicha IDS – yechimlarga o‘xshash – tahlillanuvchi axborot tarmoq sathida yoki host sathida yig‘ilishi mumkin.
Axborot oqimlarini, ularda konfidensial axborotning mavjudligini aniqlash maqsadida, nazoratlashning ikkita usuli qo‘llaniladi:

hujjatda berilgan belgilar bo‘yicha aniqlash;
ma’lumotlar nabori kontenti bo‘yicha aniqlash.

1.11-rasm. DLP ning tarmoqda joylashuv arxitekturasi
Birinchi usul bo‘yicha axborotni dastlabki kategoriyalash va markirovkalash amalga oshiriladi. Bunda konfidensial hujjatga (masalan, faylga, ma’lumotlar bazasi yozuviga va h.) qandaydir ajralmaydigan formal alomat (masalan, nazorat yig‘indisi, inventar nomeri, konfidensiallik grifi) moslashtiriladi. So‘ngra, uzatiluvchi axborot oqimida ushbu alomat aniqlansa, mos hujjat blokirovkalanadi. Bunday yondashish hujjatni faqat butunligicha himoyalashga qodir. Yondashishning afzalligi sifatida huquqiy risklarning pasayishini va turli xil yolg‘on nishonlar ishlashi darajasining yuqori emasligini ko‘rsatish mumkin.
Suqilib kirishlarni aniqlash tizimlari (Intrusion Detection System, IDS). IDSning asosini tarkibida mos shablonlar, signaturalar yoki profillar bo‘lgan hujumlarning ma’lumotlar bazasi tashkil etadi va aynan ushbu baza bilan sensorlardan olingan ma’lumotlar taqqoslanadi. Shu sababli, IDSning samaradorligi hujumlarning ma’lumotlar bazasining nufuziga bog‘liq. Suqilib kirishlarni aniqlashda quyidagi usullardan foydalanish mumkin:

signatura usuli – qandaydir hujumga xarakterli ma’lumotlar nabori bo‘yicha suqilib kirishlarni aniqlash;
anomallarni aniqlash usuli –normal holatiga harakterli bo‘lmagan alomatlarni aniqlash;
xavfsizlik siyosatiga asoslangan usul – xavfsizlik siyosatida belgilangan parametrlarning buzilganligini aniqlash.

Monitoring darajasi bo‘yicha IDS – tizimlar quyidagilarga bo‘linadi:

tarmoq sathi IDSi (Network based IDS, NIDS);
uzel sathi IDSi (Host based IDS, HIDS).

NIDS tarmoq segmentiga ulangan bir necha xostlardan keluvchi tarmoq trafigini monitoringlash orqali ushbu xostlarni himoyalashi mumkin. HIDS yagona kompyuterda yig‘ilgan, asosan operatsion tizimning va axborotni himoyalash tizimining jurnallaridan, foydalanuvchi profilidan va h. yig‘ilgan, axborot bilan ish ko‘radi. Shu sababli NIDSdan kompyuter hujumlarini oldinroq aniqlashda foydalanish qulay hisoblansa, HIDSdan ruxsatsiz foydalanishning ishonchli faktini qaydlashda foydalaniladi [4].

1.12-rasm. Tarmoq IDS va host IDS larning tarmoqda joylashuv arxitekturasi
Antivirus vositalari. Zararli dasturiy vositalarni aniqlashda asosan uchta yondashuvdan foydalaniladi. Birinchisi va eng keng tarqalgani signaturaga asoslangan aniqlash bo‘lib, zararli dasturdagi shablon yoki signaturani topishga asoslanadi. Ikkinchi yondashuv o‘zgarishlarni aniqlashga asoslangan bo‘lib, o‘zgarishga uchragan fayllarni aniqlaydi. O‘zgarishi kutilmagan fayl o‘zgarganida zararlangan deb topiladi. Uchinchi yondashuv anomaliyaga asoslangan, noodatiy yoki virusga o‘xshash fayllarni va holatlarni aniqlashga asoslanadi.
Signaturaga asoslangan aniqlash. Signatura bu – faylda topilgan bitlar qatori bo‘lib, maxsus belgilarni o‘z ichiga oladi. Bu o‘rinda ularning xesh qiymatlari ham signatura sifatida xizmat qilishi mumkin. Biroq, bu usul kam moslashuvchanlik darajasiga ega bo‘lib, virus yozuvchilari tomonidan osongina chetlanib o‘tilishi mumkin.
Masalan, W32/Beast virusi (1999 yilda aniqlangan Microsoft Word hujjatini zararlashga qaratilgan virus) uchun 83EB 0274 EBOE 740A 81EB 0301 0000 signaturasi foydalanilgan. Bu holda tizimdagi barcha fayllar ichida ushbu signatura qidiriladi.
Sababi, biror virus bo‘lmagan fayl tarkibida ham ushbu signatura bo‘lishi mumkin. Biroq, kompyuter dasturlari va ma’lumotlar ichidagi bitlar tasodifiylikdan yiroq va bu ehtimolni yanada ortishini anglatadi.
Signaturaga asoslangan aniqlash usuli virus aniq bo‘lganida va umumiy bo‘lgan signaturalar ajratilgan holatda juda yuqori samaradorlikka ega. Bundan tashqari, ushbu usulga binoan foydalanuvchi va ma’murga minimal yuklama yuklanadi va ularga faqat signaturalarni saqlash va uzluksiz yangilash vazifasi qo‘yiladi.
Biroq, signaturalar saqlangan faylning hajmi katta bo‘lib, 10 yoki 100 minglab signaturaga ega fayl yordamida skanerlash juda ko‘p vaqt oladi. Bundan tashqari, biror aniqlangan virusni kichik o‘zgartirish orqali ushbu usulni osonlik bilan aldab o‘tish mumkin.
O‘zgarishlarni aniqlovchi usul. Zararli dasturlar ma’lum manzilda joylashganligi sababli, tizimdagi biror joyda o‘zgarish aniqlansa, zararlangan joyini ko‘rsatish mumkin. Ya’ni, agar o‘zgarishga uchragan fayl aniqlansa, u virus orqali zararlangan bo‘lishi mumkin.
O‘zgarishlarni qanday aniqlash muammosini yechishda xesh-funksiyalar mos keladi. Faraz qilaylik, tizimdagi barcha fayllar xeshlanib, xesh qiymatlari xavfsiz manzilda saqlangan bo‘lsin. U holda vaqti-vaqti bilan ushbu faylning xesh qiymatlari qaytadan hisoblanadi va dastlabkilari bilan taqqoslanadi. Agar faylning bir yoki bir nechta bitlari o‘zgarishga uchragan bo‘lsa, xesh qiymatlar bir biriga mos kelmaydi va fayl virus tomonidan zararlangan hisoblanadi.
Ushbu usulning afzalliklaridan biri shuki, agar fayl zararlangan bo‘lsa, uni to‘liq aniqlash mumkin. Bundan tashqari, oldin noma’lum bo‘lgan zararli dasturni ham aniqlash mumkin. Biroq, ushbu usul kamchiliklarga ham ega. Tizimdagi fayllar odatda tez-tez o‘zgarib turadi va natijada yolg‘ondan zararlangan deb topilgan holatlar soni ortadi. Agar virus tizimdagi tez-tez o‘zgaruvchi fayl ichiga joylashtirilgan bo‘lsa, ushbu usulni osonlik bilan aylanib o‘tish mumkin. Bu holda ushbu fayldagi o‘zgarishni log fayl orqali aniqlash ko‘p vaqt talab qiladi va bu signaturaga asoslangan usuldagi kabi muammolarga olib keladi. Shuning uchun anomaliyalarni aniqlash maqsadida ML algoritmlaridan foydalanilmoqda.
Anomaliyaga asoslangan aniqlash. Anomaliyaga asoslangan usul noodatiy yoki virusga o‘xshash yoki bo‘lishi mumkin bo‘lgan zararli harakatlarni yoki xususiyatlarni topishni maqsad qiladi. Ushbu g‘oya IDS tizimlarida ham foydalaniladi.
Ushbu usulning fundamental muammosi - qaysi holatni normal va qaysi holatni normal bo‘lmagan deb topish hamda ushbu ikki holat orasidagi farqni aniqlash hisoblanadi. Bundan tashqari, normal holatning o‘zgarishi va tizimning bu holatga moslashish muammosi ham mavjud. Bu esa ko‘plab noto‘g‘ri signallarni paydo bo‘lishiga sabab bo‘ladi. Ushbu usulning afzalligi sifatida oldin noma’lum bo‘lgan zararli dasturlarni aniqlash imkonini ko‘rsatish mumkin.

Download 2,78 Mb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8 9 10 ... 24