|
HUJUMLARNI ANIQLASH TIZIMLARIDA YOLG‘ONDAN TASDIQLASH KO‘RSATGICHI VA UNI KAMAYTIRISH ZARURATI
Bozorov S.M. (TATU, Kriptografiya kafedrasi assistenti)
Keng tarqalgan va doimiy kiberhujumlar potentsial halokatli ta'sir ko‘rsatishda davom etmoqda. Axborot tizimlari va ularni bog‘lovchi tarmoqlar xavfsizligi bugun avvalgidan ko‘ra muhimroq bo‘lib bormoqda, chunki axborot xavfsizligi bilan bog‘liq hodisalar soni muttasil ortib bormoqda. Firewall va ma’lumotlarni shifrlash bilan an'anaviy himoya usullari endilikda yetarli va samarali emas. Ma'lumotlar va ularni saqlaydigan tizimlar xavfsizligi uchun himoyani ta’minlashda hujumlarni aniqlash va oldini olish tizimi (IDPS) asosiy vosita hisoblanadi.
Elektron ma'lumotlarning xavfsizligi, maxfiyligi axborot xavfsizligi sohasining asosiy muammolaridan biridir. Hukumat va harbiy idoralar, korporatsiyalar, moliya va tibbiyot muassasalari va xususiy korxonalar o‘z xodimlari, mijozlari, mahsulotlari, tadqiqot va moliyaviy ahvoli haqida juda ko‘p ma'lumot to‘playdi. Bugungi kunda ma'lumotlarning katta qismi elektron kompyuterlarda to‘planadi, qayta ishlanadi va saqlanadi va tarmoqlar orqali uzatiladi. IDPS yordamida potentsial hujumni aniqlash va tahdidni qabul qilish uchun tegishli xodimlarni ogohlantirish yoki oldini olish mumkin [1].
Yolg‘ondan ogohlantirishlar yoki yolg‘ondan tasdiqlash koeffitsienti, odatda FAR (False Alarm Rate) qisqartmasi bilan ham qo‘llaniladi va ma'lum bir holatdagi ogohlantirishlarning umumiy soniga to‘g‘ri keladigan yolg‘on ogohlantirishlar soni hisoblanadi.
IDSda yolg‘ondan tasdiqlash, noto‘g‘ri aniqlangan hujum ogohlantirishi hisoblanadi. Ideal aniqlash tizimi 100% hujumni aniqlash bilan 0% yolg‘ondan tasdiqlash xususiyatiga ega bo‘lgan tizimdir. Biroq, mavjud aniqlash tizimlarda yolg‘ondan tasdiqlash ko‘rsatkichi yuqori va hujumni aniqlash darajasi past [2]. IDSni yolg‘ondan tasdiqlash darajasini kamaytirish uchun sozlanish mumkin, ammo bu hujumlarni aniqlash darajasini pasayishiga olib kelishi mumkin. Odatda anomaliyaga asoslangan IDSda anomaliya shubhali faoliyat va normallik o‘rtasidagi masofani o‘lchash yo‘li bilan aniqlanadi va kuzatilgan xatti-harakatlar tanlangan chegara asosida tasniflanadi. Ushbu chegarani oshirish yolg‘ondan tasdiqlash darajasini ko‘payishiga olib keladi.
Tjhai va boshqalar [3] Self – Organizing Map (SOM) neyron tarmoqlari va k-means algoritmidan foydalangan holda ogohlantirishlarni o‘zaro bog‘lash va ularni haqiqiy yoki yolg‘on signallar sinflariga tasniflashning ikki bosqichli tizimini ishlab chiqdilar. Dastlabki tajribalar shuni ko‘rsatadiki, bu yondashuv barcha keraksiz va shovqinli ogohlantirishlarni samarali ravishda kamaytiradi va bu ko‘pincha yolg‘ondan ogohlantirishlarning 50% dan ortig‘ini tashkil qiladi.
Spathoulas va Katsikas [4] NIDS tizimlarida yolg‘ondan tasdiqlash sonini kamaytirish uchun qayta ishlashdan keyingi filtrni taklif qilishdi. Filtr uchta komponentdan iborat bo‘lib, ularning har biri kiritilgan ogohlantirishlar to‘plamining statistik xususiyatlariga asoslanadi. Haqiqiy hujumlarga mos keladigan ogohlantirishlarning maxsus tavsiflaridan foydalanadi. Filtr yolg‘ondan tasdiqlash darajasini 75% gacha kamaytiradi.
Anuar va Sallehudin [5] data mining and decision tree klassifikatorlaridan foydalangan holda gibrid statistik yondashuvga asoslangan hujum va oddiy trafikning statistik tahlilini o‘z ichiga olgan aniqlash strategiyasini taklif qildilar. Ularning ishi natijasida statistik tahlil yolg‘ondan tasdiqlash darajasini kamaytirish va trafik ma'lumotlari uchun hujumlar va yolg‘ondan tasdiqlashni ajratish uchun ishlatilishi mumkin.
Hujumlarni aniqlash tizimlari kompyuterga aloqador zararli harkatlarni aniqlovchi, bartaraf etuvchi va kerak bo‘lgan teskari reaksiya ko‘rsatuvchi samarali himoya vositasidir. Yuqorida aytilganidek FAR yuqoriligi sababli tarmoq administrtorlari tez-tez IDS dan yo‘lgon agohlantirish olishadi. Bu esa tabiiyki ish samaradorligini kamaytiradi.
Tarmoq hujumga uchraganida, IDS erkin hujum holatidan o‘zini farqli tutadi. Bu fakt shuni ko‘rsatadiki, tizim hujumga uchraganida hosil bo‘lgan ogohlantirishlar ketma-ketligini oddiy vaziyatda hosil bo‘lgan ketma-ketliklardan ajratish mumkin. Uzoq vaqt davomida tez-tez sodir bo‘ladigan xatti-harakatlar normal bo‘lishi mumkin. Bir xil tartibda va ma'lum vaqt oralig‘ida muntazam ravishda paydo bo‘ladigan ma'lum turdagi trafik oqimi, hech qachon ko‘rilmagan trafik oqimining keskin ko‘tarilishidan ko‘ra kamroq shubhali hisoblanadi. Ogohlantirishlar sonini kamaytirishning har qanday usuli quyidagi talablarga javob berishi kerak:
Masshtablilik: IDSlar kuniga minglab ogohlantirishlarni yaratishi mumkinligi sababli, ularni kamaytirish algoritmi juda ko‘p sonli ogohlantirishlarni boshqara olishi kerak.
Shovqinli ma'lumotlar: IDS trigger signallari juda shovqinli bo‘lgani uchun, ularni kamaytirish modeli IDS ogohlantirishlarining ushbu xususiyatini hisobga olishi kerak.
Signal atributlari: Model ogohlantirishlarda mavjud bo‘lgan har qanday turdagi atributlarni qo‘llab-quvvatlashi kerak.
Mustaqillik: Aniqlash va kamaytirish jarayonlari mustaqil bo‘lishi kerak, bu esa kamaytirish algoritmini IDSning istalgan turiga qo‘llash imkonini beradi.
Tejamkorlik: Avtomatlashtirilgan kamaytirishni qo‘llab-quvvatlash uchun model hisoblash xarajatlari nuqtai nazaridan tejamkor bo‘lishi kerak.
Yolg‘ondan tasdiqlash ko‘rsatgichi – yolg‘ondan tasdiqlangan holatlarning umumiy holatlar soniga nibati bilan o‘lchanadi. Shu bilan birga u yolg‘ondan aniqlash ehtimolligi deb ham ataladi va quyidagicha aniqlanadi.
(2) (1)
Quyida bir nechta hujumlarni aniqlash tizimlarining (IDS) yo‘lgondan tasdiqlash ko‘rsatgichlari tahlil qilinadi. Tanlab olingan tizimlar: Snort IDS, Suricata IDS va Bro IDS.
Quyidagi jadvalda nomi keltirilgan IDS tizimlarning DoS va DDoS hujumlariga nisbatan yolg‘ondan tasdiqlash ko‘rsatkichi ko‘rishimiz mumkin [6].
1 – jadval
IDS tizimlarining yolg‘ondan tasdiqlash ko‘rsatgichlari
Do'stlaringiz bilan baham: |
