9.3. Hujumlarni aniqlash
Tarmoq axborotini tahlillash usullari Mohiyati bo'yicha, hujum-lami aniqlash jarayoni korporativ tarmoqda bo'layotgan shubhali hara-katlami baholash jarayonidir. Boshqacha aytganda hujumlarni aniqlash hisoblash yoki tarmoq resurslariga yo'naltirilgan shubhali harakatlarni identifikatsiyalash va ularga reaksiya ko'rsatish jarayoni. Hozirda hu-jumlami aniqlash tizimida quyidagi usullar ishlatiladi:
statistik usul;
ekspert tizimlari;
neyron tarmoqlari.
Statistik usul. Statistik yondashishning asosiy afzalligi - allaqachon ishlab chiqilgan va o'zini tanitgan matematik statistika apparatini ish-latish va subyekt xarakteriga moslash.
Avval tahlillanuvchi tizimning barcha subyektlari uchun profillar aniqlanadi. Ishlatiladigan profillaming etalondan har qanday chetlanishi ruxsat etilmagan foydalanish hisoblanadi. Statistik usullar universal hisoblanadi, chunki mumkin bo'lgan hujumlarni va ular foydalanadigan zaifliklami bilish talab etilmaydi. Ammo bu usullardan foydalanishda bir qancha muammolar paydo bo'ladi:
Statistik tizimlar hodisalar kelishi tartibiga sezuvchanmaslar; ba’zi hollarda bir hodisaning o‘zi, kelishi tartibiga ko‘ra anomal yoki normal faoliyatni xarakterlashi mumkin.
Anomal faoliyatni adekvat identifikatsiyalash maqsadida hu-jumlami aniqlash tizimi tomonidan kuzatiluvchi xarakteristikalar uchun chegaraviy (bo‘sag‘aviy) qiymatlami berish juda qiyin.
Statistik usullar vaqt o‘tishi bilan buzg‘unchilar tomonidan shunday «o'rganilishi» mumkinki, hujum harakatlari normal kabi qabul qilinadi.
Ekspert tizimlari. Ekspert tizimi odam-ekspert bilimlarini qamrab oluvchi qoidalar to‘plamidan tashkil topgan. Ekspert tizimidan foydalan ish hujumlami aniqlashning keng tarqalgan usuli boMib, hujumlar xususidagi axborot qoidalar ko‘rinishida ifodalanadi. Bu qoidalar hara katlar ketma-ketligi yoki signaturalar ko‘rinishida yozilishi mumkin. Bu qoidalaming har birining bajarilishida ruxsatsiz faoliyat mavjudligi xususida qaror qabul qilinadi. Bunday yondashishning muhim afzalligi - yolg‘on shov-shuvning umuman boMmasligi.
Ekspert tizimining ma’lumotlari bazasida hozirda ma’lum boMgan aksariyat hujumlar senariyasi boMishi lozim. Ekspert tizimlari, dol-zarblikni saqlash maqsadida, ma’lumotlar bazasini muttasil yangilashni talab etadi. Garchi ekspert tizimlari qaydlash jumallaridagi ma’lumot lami ko'zdan kechirishga yaxshi imkoniyatni tavsiya qilsa-da, so‘ralgan yangilanish e’tiborsiz qoldirilishi yoki ma’mur tomonidan qoMda amalga oshirilishi mumkin. Bu eng kamida, ekspert tizimi imkoniyat-larining bo'shashiga olib keladi.
Ekspert tizimlarining kamchiliklari ichida eng asosiysi - noma’lum hujumlami akslantira olmasligi. Bunda oldindan ma’lum hujumning hatto ozgina o‘zgarishi hujumlami aniqlash tizimining ishlashiga jiddiy to‘siq boMishi mumkin.
Neyron tarmoqlari. Hujumlami aniqlash usullarining aksariyati qoi dalar yoki statistik yondashish asosida nazoratlanuvchi muhitni tahlil lash shakllaridan foydalanadi. Nazoratlanuvchi muhit sifatida qaydlash jumallari yoki tarmoq trafigi ko‘rilishi mumkin. Bunday tahlillash ma’mur yoki hujumlami aniqlash tizimi tomonidan yaratilgan, oldindan aniqlangan qoidalar to‘plamiga tayanadi.
Hujumni vaqt bo‘yicha yoki bir necha niyati buzuq odamlar o‘rtasida har qanday boMinishi ekspert tizimlar yordamida aniqlashga qiyinchilik tug'diradi. Hujumlar va ular usullarining turli-tumanligi tu-fayli, ekspert tizimlari qoidalarining ma’lumotlar bazasining, hatto do-
imiy yangilanishi ham hujumlar diapazonini aniq identifikatsiyalashni kafolatlamaydi.
Neyron tarmoqlaridan foydalanish ekspert tizimlarining yuqorida keltirilgan muammolami bartaraf etishning bir usuli hisoblanadi. Ekspert tizimlari foydalanuvchiga ko‘rilayotgan xarakteristikalar ma’lumotlar bazasidagi qoidalarga mos kelishi yoki mos kelmasligi xususida aniq javob beraolsa, neyrotarmoq axborotni tahlillaydi va ma’lumotlarni aniqlashga o‘rgangan xarakteristikalariga mos kelishini baholash imkoniyatini taqdim etadi. Neyrotarmoqli ifodalashning mos-lik darajasi 100%ga yetishi mumkin, ammo tanlash haqiqiyligi tamoman qo‘yilgan masala misollarini tahlillash sifatiga bog‘liq.
Awal predmet sohasining oldindan tanlab olingan misolida neyro-tarmoqni to‘g‘ri identifikatsiyalashga «o‘rgatishadi». Neyrotarmoq reak-siyasi tahlillanadi, qoniqarli natijalarga erishish maqsadida tizim sozla-nadi. Neyrotarmoq ham vaqt o‘tishi bilan, predmet sohasi bilan bogMiq ma’lumotlarni tahlillashni o'tkazishiga qarab «tajriba orttiradi».
Neyrotarmoqlarning suiiste’mol qilinishni aniqlashdagi muhim afzalligi, ularning atayin qilinadigan hujumlar xarakteristikalarini «o'rganish» va tarmoqda oldin kuzatilganiga o‘xshamagan elementlarni identifikatsiyalash qobiliyatidir.
Yuqorida tavsiflangan hujumlami aniqlash usullarining har biri afzalliklarga va kamchiliklarga ega. Shu sababli, hozirda tavsiflangan usullarning faqat bittasidan foydalanuvchi tizimni uchratish qiyin. Odatda, bu usullar birgalikda ishlatiladi.
Do'stlaringiz bilan baham: |