Tarmoqqa noqonuniy kirish, axborotlardan foydalanish va o‘zgartirish, yo‘qotish kabi muammolardan himoya qilish dolzarb masala bo‘lib qoldi

Download 0,52 Mb.

bet	1/3
Sana	01.07.2022
Hajmi	0,52 Mb.
	#726574

1 2 3

Bog'liq
Mustaqil.tarmoq

O‘ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI SAMARQAND FILIALI

“KOMPYUTER INJINIRINGI” FAKULTETI

“Tarmoq xavfsizligi”

fanidan
Mustaqil ish

Mavzu: Tarmoq hujumini tahlil qilish uchun xavfsizlik hodisalari dalillaridan foydalanish modeli

Tekshirdi: Qilichev.D
Bajardi: 103-19KI
O’taganov.X
SAMARQAND _ 2022
Reja:
1.Tarmoq hujumi nima?
2.Xavfsizlik masalasi
3.Xulosa
Tarmoqqa noqonuniy kirish, axborotlardan foydalanish va o‘zgartirish, yo‘qotish kabi muammolardan himoya qilish dolzarb masala bo‘lib qoldi. Ish faoliyatini tarmoq bilan bog‘lagan korxona, tashkilotlar hamda davlat idoralari ma’lumot almashish uchun tarmoqqa bog‘lanishidan oldin tarmoq xavfsizligiga jiddiy e’tibor qaratishi kerak.
Tarmoq xavfsizligi uzatilayotgan, saqlanayotgan va qayta ishlanayotgan axborotni ishonchli tizimli tarzda ta’minlash maqsadida turli vositalar va usullarni qo‘llash, choralarni ko‘rish va tadbirlarni amalga oshirish orqali amalga oshiriladi. Tarmoq xavsizligini ta’minlash maqsadida qo‘llanilgan vosita xavf-xatarni tezda aniqlashi va unga nisbatan qarshi chora ko‘rishi kerak. Tarmoq xavfsizligiga tahdidlarning ko‘p turlari bor, biroq ular bir necha toifalarga bo‘linadi:

axborotni uzatish jarayonida hujum qilish orqali, eshitish va o‘zgartirish (Eavesdropping);
xizmat ko‘rsatishdan voz kechish; (Denial-of-service)
portlarni tekshirish (Port scanning).

Axborotni uzatish jarayonida, eshitish va o‘zgartirish hujumi bilan telefon aloqa liniyalari, internet orqali tezkor xabar almashish, videokonferensiya va faks jo‘natmalari orqali amalga oshiriladigan axborot almashinuvida foydalanuvchilarga sezdirmagan holatda axborotlarni tinglash, o‘zgartirish hamda to‘sib qo‘yish mumkin. Bir qancha tarmoqni tahlillovchi protokollar orqali bu hujumni amalga oshirish mumkin. Hujumni amalga oshiruvchi dasturiy ta’minotlar orqali CODEC (video yoki ovozli analog signalni raqamli signalga aylantirib berish va aksincha) standartidagi raqamli tovushni osonlik bilan yuqori sifatli, ammo katta hajmni egallaydigan ovozli fayllar (WAV)ga aylantirib beradi.
Raqamli jinoyat tergovchilari dalillarni izlaydilar, shuning uchun ular degan umidda potentsial hujum stsenariylarini yaratishi mumkin tomonidan taqdim etilganlardan ko'ra ishonchliroq bo'lishi mumkin mudofaa. Biroq, qarshi hujumlarni boshlagan hujumchilar korporativ tarmoqlar murakkab texnikalardan foydalanishga moyildir ko'p xostli, ko'p bosqichli hujumlar va sud-tibbiyotga qarshi, bu esa ayblovchi dalillarni topishni qiyinlashtiradi. Bundan tashqari, mudofaa huquqiy jihatdan qabul qilinishini shubha ostiga qo'yishi mumkin dalillar keltirdi, keltirgan dalillarni rad etdi ta'qib qilish yoki mos keladigan muqobil stsenariyni taqdim etish aybni oqlaydigan ayblov tomonidan taqdim etilgan dalillar huquqbuzarlikda ayblanuvchi. Binobarin, mavjud foydalanish lekin ko'proq dalillarni topish uchun bulg'angan yoki to'liq bo'lmagan dalillar va bardosh bera oladigan hujum stsenariysini qayta qurish rad etish qiyin. Korxona tizimlari o'z holatini ko'rsatish uchun voqealarni yaratadi anqidiyligi bo'yicha tasniflangan va qayd etilgan o'zgarishlar oqealar jurnallari. Garchi IDS jurnallaridan sud tibbiyoti sifatida foydalanish mavzusi dalillar munozarali bo'lib, ular birinchi darajani ta'minlaydi sud ekspertizasi tahlilchisi uchun ma'lumot [4]. Ko'p tadqiqotchilar ortiqcha ogohlantirishlarni jamlashni va korrelyatsiya qilishni taklif qildilar ularni ko'p bosqichli hujumlarni aniqlash uchun [1, 9]. Biroq, ko'pchilik ma'lum qilingan ishlarda avtomatlashtirilmagan ad-hoc usullardan foydalanilgan. In sud-tibbiy tahlilni qisman avtomatlashtirish maqsadida, Vang va boshqalar. o'zaro bog'lash uchun ierarxik fikrlash tizimini taklif qildi ogohlantirishlar mahalliy qoidalar deb ataladi va ularni global qoidalar deb atalgan holda guruhlaydi [7]. Ushbu ierarxiklikning yakuniy natijasi fikrlash tizimi vizualizatsiya qiluvchi dalil grafigini hosil qiladi korporativ tarmoqdagi ko'p xostli, ko'p bosqichli hujumlar. Foydalanish bo'yicha keng ko'lamli ishlar mavjud bo'lsa-da gipotezani shakllantirishda dalillarni asoslash va jinoiy tergovda dalillar to'plash [2], ga Bizning ma'lumotlarimiz bo'yicha, [7] taklif qilingan kam sonlilardan biridir tomonidan ifodalangan hujum stsenariylarini o'zaro bog'lash uchun fikrlashdan foydalanish xavfsizlik hodisalari haqida ogohlantirishlar. Biroq, bu ish amalga oshirilmadi sud ekspertizasini to'liq avtomatlashtirish uchun end-to-end tizimi tahlil jarayoni. Bundan tashqari, bu ish ikkita muammoni hal etilmagan: (1) o'zgaruvchan muqobil farazlar tushuntirishi mumkin edi vaziyat ostida bir xil hujum stsenariy qaerda the dalillar yo'q qilingan, lekin ulardan faqat bittasi to'g'ri; (2) Xavfsizlik bo'yicha maslahat berishi mumkin bo'lgan dalillar tarmoq administratoriga ruxsat berilmasligi mumkin sud. Hissa sifatida ushbu maqolada biz taklif qilamiz vtomatlashtirish uchun Prolog fikrlashga asoslangan modelni amalga oshirish hujum qilinganda ko'p xostli, ko'p bosqichli zaiflik tahlili korporativ tarmoq. Chunki Prolog bemalol so'ray oladi SQL ma'lumotlar bazasi jadvalidagi ma'lumotlar va ularga yaxshi ma'lum ilan dasturlarni amalga oshirish uchun eng mos vosita bo'lishi aniq domen bilim vakili, bizning model hisoblanadi qoidaga asoslangan loyqa kognitivdan foydalangan [7] dan kuchliroq aritada mulohaza yuritish, u massivlarni osonlikcha boshqarishi mumkin sud ekspertizasi ma'lumotlar bazasidan ma'lumotlar. 2. FOYDALANISH 2.1 Raqamli kriminalistika va sudga qarshi ekspertiza Raqamli sud tibbiyoti ilmiy jihatdan tasdiqlangan usullardan foydalanadi olingan raqamli dalillarni to'plash, tasdiqlash va saqlash raqamli manbalar [20]. Raqamli sud ekspertizasi tergovchilari tahlil qiladi korporativ tizimlardan olingan ma'lumotlar va tasvirlash va tahlildan foydalanish jismoniy yoki saqlash vositalaridan ma'lumotlarni olish uchun vositalar kontentni tahlil qilish uchun xotira [23]. Jonli tahlil paytida kompyuterdan o'zgaruvchan ma'lumotlarni olish xavfi, o'lik tahlil, axshiroq bo'lsa-da, barcha tizim jarayonlarini tugatishni talab qiladi Tarmoq ma'lumotlarini tahlil qilish ba'zi monitoringni nazarda tutadi asboblar tarmoq trafigini yoki voqea jurnallarini saqlagan [24, 25]. Tarmoq IDS ogohlantirishlari potentsial haqida birinchi maslahatlarni beradi hujumlar. Biroq, katta miqdorda va noto'g'ri ijobiy IDS ogohlantirishlari tahlilni qiyinlashtiradi. Yechim sifatida xavfsizlik xususiyatlari va xavfsizligiga asoslangan nosozliklar grafigidan foydalanadi IDS uchun jurnal ma'lumotlariga tuzilmani o'rnatish siyosati sud-tibbiyot ekspertizasiga kirish uchun qanday ma'lumotlar zarurligini hal qilishi mumkin hujumni aniqlashni osonlashtiradigan tarzda tahlil qilish stsenariy va uning ta'siri. Hujumchilar sud-tibbiyotga qarshi vositalardan urinish sifatida foydalanadilar mavjudligi, miqdori va/yoki sifatiga salbiy ta’sir qiladi jinoyat joyidan olingan dalillar yoki ko'zdan kechirish dalillarni olib borish qiyin yoki imkonsizdir [21]. Hozirgi Sud-tibbiyotga qarshi texnikalar (1) ma'lumotlarga hujum qilish va (2) hujum vositalari [21]. Ma'lumotlarga hujum qilish uchun ishlatiladigan texnikalar kiradi saqlangan (meta) ma'lumotlarni qayta yozish, fayllar yoki mediani o'chirish,
ma'lumotni yashirish, steganografiya, shifrlash yoki ajratilmagan (bo'sh) bo'shliqlar va boshqalar Sud-tibbiyot vositalariga hujum qilish uchun ishlatiladigan texnikalar xalaqit beradi yoki tasvirlar yoki ma'lumotlarni yaratish orqali sud-tibbiyot tahlilini noto'g'ri yo'naltirish asboblar bilan yaroqsiz [14]. 2.2 Raqamli sud-tibbiyot ekspertizasida qonuniy qabul qilinishi Sud jarayonida sudyalardan ko'pincha qaror qabul qilish so'raladi raqamli dalillarning maqbulligi. Federal ma'lumotlarga ko'ra [8], elektron dalillarga quyidagi qoidalar qo'llaniladi: (1) Haqiqiylik (901 va 902-qoidalar); (2) Eshitish yoki yo'q (Qoida 801-807); (3) Tegishlilik (401-qoida); (4) xurofot (qoida 403); (5) Asl yozish qoidasi (qoida 1001-1008), unda dolzarbligi asosiy rol o'ynaydi. Binobarin, aniqlik va qonuniylik uchun raqamli dalillardan foydalanishda haqiqiylik masalasi qabul qilinishi mumkinligi Bu erda aniqlik hakamlar hay'atini ta'minlaydi dalillarning haqiqiyligi ehtimolini tushunish. Federal qoida 104(e) ushbu ishonchlilik/og'irlik muammosini hal qiladi, qaysi tomonning ilgari kiritish huquqini cheklamaydi vazn yoki ishonchlilikka taalluqli hakamlar hay'ati dalillari. 2.3 Dalillar grafigi Dalillar grafigi - bu kirishni ko'rsatadigan grafik model uchun ishlatilishi mumkin bo'lgan dalillar va ularning bog'liqligi korxonada ko'p bosqichli, ko'p bosqichli hujumlarni aniqlash tarmoqlar [7]. Biz [11] dan rasmiy ta'rifni o'zgartiramiz ergashadi. Ta'rif 1 (Dalillar grafigi): Dalillar grafigi a sekstuple G=(Nh, Yo'q, E, L, Nh Attr, Ne -Atr,), bu erda Nh va Ne asosiy kompyuterlarni ifodalovchi ikkita ajratilgan tugunlar to'plamidir hujumda ishtirok etganlik va unga tegishli dalillar; E ⊆(Nh ×Ne) ∪(Ne×Nh); L - tugundan uning yorlig'iga xaritalash; Nh –Attr va Ne-Attr xost va dalil tugunlarining atributlari mos ravishda. Xost tugunlari uchun atributlar Xost identifikatori: xost tugunini aniqlang. Davlatlar: Bir yoki bir nechtadan iborat xost tugunlari toifasi Birlashgan xostlar bilan shubhali aloqalari bor tajovuzkor, jabrlanuvchilardan biri yoki pog'onali tosh. c. Vaqt belgilari: hujum holatlarini qayd qiluvchi vaqt belgilari mashinaning. Dalil tugunlari uchun atributlar Umumiy atributlar: Hodisa tashabbuskori, voqea kiradi maqsad, voqea tavsifi va voqea vaqti shtamp(lar). b. Muvofiqlik: hujum muvaffaqiyatiga ta'sirni o'lchash, ahamiyatsiz haqiqiy ijobiy = 0 o'z ichiga oladi, mumkin emas tekshirish = 0,5 va Tegishli haqiqiy ijobiy =1. 2.4 MulVAL, 1-rasmda biz foydalanadigan eksperimental tarmoq topologiyasi keltirilgan ushbu maqolada. 1-jadvalda kompyuterlarning IP manzillari va ularning zaifligi haqidagi ma'lumotlar. 1-rasmda tashqi Xavfsizlik devori 1 Internetdan tarmoqqa kirishni nazorat qiladi korporativ tarmoq, bu erda veb-server ikkita veb-saytga ega xizmatlar -- Port 80 va Apachedagi Apache HTTP server 8080 portidagi Tomcat serveri. Ichki xavfsizlik devori 2 bo'lishi mumkin bo'lgan SQL ma'lumotlar bazasi serveriga kirishni nazorat qiladi veb-server va xodimlarning ish stantsiyalari orqali kirish mumkin tarmoq. Administrator boshqaruv huquqiga ega veb-serverlarda. SNORT IDS va xavfsizlik devori sifatida ishlatiladi ushbu tarmoqda. Biz ikkala veb-serverni ham sozladik va barcha kirish va so'rovlarni qayd qilish uchun ma'lumotlar bazasi serveri. ning namunasi SNORT ogohlantirishlari, veb-serverga kirish yozuvlari va ma'lumotlar bazasi so'rovlar jurnali 1-ilovada ko'rsatilgan.= 5. HUJUM GRAFIKLARI VA ASOBATLARI Hujum grafiklari tarmoq hujumi uchun asos bo'lib xizmat qilishi mumkin niqlash, mudofaa va sud ekspertizasi tahlili [10]. To'plam berilgan tizimdagi zaifliklar, hujumlar grafigini tahlil qilish tergovchilarga potentsial hujum bosqichlarini taqdim etadi hujumchi hujum maqsadlariga erishish uchun olishi mumkin. Ushbu maqolada biz yo'qolganlarni topish uchun yordam vositasi sifatida hujum grafigidan foydalaning dalil. Biz Ou va boshqalarning mantiqiy hujum grafigini qayta aniqladik modeli [15] quyidagicha [11]. Ta'rif 2 (Mantiqiy hujum grafigi): A = (Nr , Np, Nd, E, L, G) - hujum grafigi, bu erda Nr , Np, Nd deyiladi hosila tugunlari, ibtidoiy va hosila fakt tugunlari mos ravishda; E ⊆ ((Np∪Nd)×Nr)∪(Nr ×Nd); L - bu xaritalash tugundan uning yorlig'igacha; G ⊆ Nd - hujumchining yakuniy gollari. Bu modelda mantiqiy gaplar shaklida qo'llaniladi tarmoq konfiguratsiyasini ifodalash uchun ibtidoiy faktlar va zaifliklar. Olingan tugun tomonidan olingan faktlardan iborat o'zaro ta'sir qoidasini boshqa ibtidoiy faktlarga qo'llash va oldindan olingan faktlar. Muvaffaqiyatli shovqin a deyiladi ellips bilan ifodalangan hosila tugun. A olmos va quti olingan tugunni va asosiyni ifodalaydi mos ravishda fakt tugunlari. Mantiqiy hujum grafigiga misol 2-rasmda ko'rsatilgan. 2-rasm: Mantiqiy hujumning namunaviy grafigi Ko'pgina vositalar hujum grafiklari va xavfsizlik tahlilchilari yaratadi tizimlar va tarmoqlarni himoya qilish uchun ulardan foydalaning. Bu vosita 2-rasm deb ataladigan mantiqiy hujum grafigini hosil qiladi MulVAL [13], qaysi XSB foydalanadi [17], a Prolog tizimi, uchun kiritilgan faktlar bo'yicha Datalog o'zaro ta'siri qoidalarini baholang. Datalog - Prologning sintaktik kichik to'plami. MulVAL foydalanadi Modellash uchun ma'lumotlar logining literallari (masalan, L(args)). tarmoq/kompyuter konfiguratsiyasi va kirish sifatida zaiflik faktlar va simulyatsiyani kuzatish uchun Datalog shovqin qoidalaridan foydalanadi barcha hujum texnikasi va xavfsizligini modellashtirish orqali kuzating semantika. Interaktiv qoidalar quyidagi shaklga ega: L(args):- L1(args1),…..Ln(argsn). MulVal shunday tashkil etilganki, bir so'rov/so'rovlar uchun ijro izi hujumni keltirib chiqaradi grafik. Masalan, 2-jadvalda bizda ikkita umumiy namuna mavjud qoidalar. 1-qoida "vakolatli" "Jabrlanuvchi" degan ma'noni anglatadi "H" xost kompyuterida ishlaydi, zararli dasturlarga kirishi mumkin Agar (1) “MaliciousMachine” “H” ga tashrif buyurishi mumkin bo‘lsa, “Software” kiriting "httpProtocol" va "httpPort" tomonidan va (2) tajovuzkor "MaliciousMachine" da joylashgan. 2-qoida degani tajovuzkor asosiy kompyuterda "Perm" ruxsatini oladi “H”, agar xostdagi “Dasturiy taʼminot”da (1) zaiflik mavjud boʻlsa bilan "masofadagi mijoz" orqali erishish mumkin bo'lgan "H" kompyuteri imtiyozlarni oshirish - "privEscalation"; (2) "Jabrlanuvchi" bor "H" asosiy kompyuterida "Perm" ruxsati; va (3) "H" asosiy kompyuterida ishlaydigan vakolatli "jabrlanuvchi" zararli kirishga kirishadi - "Dasturiy ta'minot". Interaktiv qoidalarda har birida kapital identifikatori literal - bu beton tomonidan yaratilgan o'zgaruvchidir Prologning ishlash vaqtidagi shartlar. MulVAL kirish faylidan foydalanadi barcha aniq shartlarni (faktlarni) saqlang. Masalan, 3-jadval 2-jadvaldagi ikkita qoidaga mos keladigan faktlarga ega. Agar a So'rov 2-jadvaldagi 2-qoidaga muvofiq amalga oshiriladi, Prolog tarjimoni qiladi barcha o'zgaruvchilarni 3-jadvaldagi aniq shartlar bo'yicha misol qilib keltiring 2-jadvaldagi mos harflar to'g'ri yoki yo'qligini aniqlang qoidalar bo'yicha baholash muvaffaqiyatli bo'ladi. Agar u muvaffaqiyatli bo'lsa, bu qoida Muvaffaqiyatli hosilani iz fayliga yozib qo'yadi hujum yo‘lini tashkil qiladi. 2-qoida so'rovini kuzatish bosqichlari 3-rasmda hujum grafigini tuzing.

Rule 1	interaction_rule( (accessMaliciousInput(H, Victim, Software) :-
	competent(Victim),
	hacl(H, MaliciousMachine, httpProtocol, httpPort),
	attackerLocated(MaliciousMachine)),
	rule_desc('Browsing a malicious website')).
Rule 2	interaction_rule((execCode(H, Perm) :-
	vulExists(H, _, Software, remoteClient, privEscalation),
	hasAccount(Victim, H, Perm),
	accessMaliciousInput(H, Victim, Software)),
	rule_desc('remote exploit for a client program')).

attackerLocated(internet).

Download 0,52 Mb.

Do'stlaringiz bilan baham:

1 2 3