Murodov ma’murjon ma’rupovich axborot kommunikatsiya texnologiyalarida xavfsizlik insidentlarini tahlil qilish asosida kiberhujumlarni aniqlash algoritmi

Download 0,93 Mb.

bet	14/17
Sana	21.07.2022
Hajmi	0,93 Mb.
	#834227

1 ... 9 10 11 12 13 14 15 16 17

Bog'liq
MY Dist Murodov M

III BOB. AXBOROT XAVFSIZLIGI INSIDENTLARINI TAHLILLASH ALGORITMLARI

Ikkinchi bob bo‘yicha xulosalar

Tarmoq anomaliyalarini aniqlash umumiy algortim sxemasi o’rganib chiqildi. Tahlil qilish uchun ma'lumotlar odatda IP darajasida bo'lingan tarmoq paketlari to'plami sifatida taqdim etilgan tarmoq trafigi bo’lib, yig'ilgan dastlabki ma'lumotlar keyinchalik tahlil qilish uchun kerakli ma'lumotlarni shakllantirishda manba bo'lib xizmat qilishi aniqlandi.
Hujumni aniqlash usullarining klassifikatsiyasi tahlil qilindi.

III BOB. AXBOROT XAVFSIZLIGI INSIDENTLARINI TAHLILLASH ALGORITMLARI

3.1 Axborot xavfsizligi insidentlarining pretsedent tahlili
Mening magistrlik dissertatsiya ishimning so’ngi bobida Keys tahlilidan foydalangan holda axborot tizimlarida axborot xavfsizligi insidentlariga javob berish strategiyasini aniqlashning dolzarb amaliy muammosini hal qilish ko'rsatilgan. Insidentlarni boshqarishga texnologik yondashuv va uning asosiy bosqichlari ko'rib chiqiladi. Insidentlarni boshqarish jarayoni, normativ hujjatlar talablariga muvofiq, to'rt bosqichni o'z ichiga oladi: hodisani aniqlash, hodisaga javob berish, tergov va tuzatish harakatlari. Hodisalarni boshqarish jarayonining ikkinchi bosqichida axborot xavfsizligi insidentlariga tezkor javob berishning dolzarb muammosi mavjud. Berilganlar to'plamidan qaysi strategiyani tanlashni hal qilish yoki kerakli strategiya mavjud emasligini va uni shakllantirish kerakligini aniqlash kerak. Javob strategiyasini tanlash muammosini hal qilish uchun vaziyatni tahlil qilish apparatidan foydalanish taklif etiladi. Ushbu muammoni hal qilish uchun javob ssenariylarini moslashtirish bosqichini o'z ichiga olmaydi, pretsedentlarga asoslangan soddalashtirilgan fikrlash siklini qo'llash taxmin qilinadi. Tasniflash topilgan analogiyalar soni va o'xshashlik darajasining qiymatiga asoslanadi. Hodisalar har bir sinfda topilgan analogiyalar asosida vaziyat sinflaridan foydalanish uchun xaritaga tushiriladi. O'xshashlik darajasining qiymatiga ko'ra, hodisa sinfdan ma'lum bir pretsedent va tegishli javob strategiyasi bilan bog'liq. Taklif etilayotgan hodisalarni tahlil qilish konsepsiyasiga muvofiq, axborot tizimlarida axborot xavfsizligi insidentlarini holatlar va statistik tahlillar asosida tasniflashning yangi algoritmi ishlab chiqildi. Ishlab chiqilgan algoritm ma'lum algoritmlardan ROC tahlilidan foydalangan holda optimal chegara qiymatini avtomatlashtirilgan tanlash bilan farq qiladi. Algoritm birinchi va ikkinchi turdagi xatolarning ruxsat etilgan qiymatiga qarab tasniflagichning maksimal sifati uchun mezonni tanlash imkoniyatini beradi. Ishlab chiqilgan algoritmning samaradorligi test ma'lumotlari to'plami bo'yicha baholandi. Ishlarni tahlil qilish tizimini yaratish bo'yicha taklif etilayotgan kontseptsiya axborot xavfsizligi insidentlarini boshqarish jarayonida tezkorlikni oshirish va ilgari to'plangan tajribadan qayta foydalanish imkonini beradi.
Axborot xavfsizligi insidentlarini boshqarish jarayoni axborot xavfsizligi tizimining samaradorligini tahlil qilish va uning ishlashini yaxshilashni rejalashtirish uchun muhim ma'lumotlar manbai hisoblanadi. Hodisalarni boshqarish zarurati nafaqat axborot xavfsizligini ta'minlash doirasida, balki butun axborot texnologiyalari infratuzilmasini boshqarishda ham paydo bo'ladi. GOST ISO/IEC 20000-2005 xalqaro standartlari turkumi axborot texnologiyalari infratuzilmasidagi insidentlarni boshqarish uchun bir qator talablarni tavsiflaydi. Xalqaro amaliyotda axborot xavfsizligi insidentlarini boshqarishning muayyan masalalarini hal qiluvchi ko'plab tavsiyalar mavjud. Shubhasiz, ma'lum bir tashkilot uchun mavjud metodologiyalar turli xil samaradorlikka ega. Shu bilan birga, qo'llaniladigan metodologiya ISO / IEC 27001 va ISO 20000 kabi boshqaruv tizimlarining asosiy zamonaviy standartlariga mos kelishi kerak.
GOST R ISO / IEC 27001-2013 talablariga muvofiq axborot xavfsizligi insidentlarini boshqarish jarayoni Demming tsikliga (Plan-Do-Study-Act - PDSA) asoslanadi va quyidagi bosqichlarni o'z ichiga oladi: insidentni aniqlash va ro'yxatga olish, insidentlarga javob berish, tekshirish, tuzatish va oldini olish. Axborot xavfsizligi tizimining faoliyati nuqtai nazaridan birinchi ikki bosqich alohida qiziqish uyg'otadi.
Avvalo, hodisani o'z vaqtida aniqlash kerak, aks holda unga imkon qadar tezroq javob berish mumkin emas. Shu bilan birga, aniqlangan va ro'yxatga olingan insidentlar uchun ko'pincha aniq javob berish tartib-qoidalari mavjud emas. Bunday vaziyatlarni hal qilish uchun uzoq vaqt kerak bo'ladi. Himoya tizimining insident va javob senariysini aniqlash qobiliyati uning tahdidlarga moslashishini va umuman uning ishlash sifatini belgilaydi. Shunday qilib, axborot xavfsizligi insidentlarini avtomatlashtirilgan boshqarishda dolzarb muammo yuzaga keladi - oldindan belgilanganlar to'plamidan qaysi javob senariysi qo'llanilishini aniqlash yoki tegishli senariy mavjud emas va uni shakllantirish kerak degan xulosaga kelish.
Axborot xavfsizligi insidentlarining pretsedent tahlili. Pretsedentlar asosida xulosalash (Case-Based Reasoning – CBR) - bu allaqachon ma'lum bo'lgan muammoning yechimidan foydalanib yoki unga moslashtirgan holda yangi, noma'lum muammoni hal qilish imkonini beruvchi yondashuv. Shunday qilib, to'plangan tajribadan takroran foydalanish amalga oshiriladi. Pretsedentlarga asoslangan tizimlarda muammoning yechimini izlash analogiya tushunchasiga (xususiydan xususiyga qarab) asoslanadi. Analogiyaga asoslangan fikrlash - bu bir nechta berilgan ob'ektlar o'rtasidagi o'xshashlikni aniqlashga imkon beradigan va ba'zi ob'ektlar uchun haqiqiy bo'lgan faktlarni (bilimlarni) boshqa ob'ektlarga o'xshashlikka asoslangan holda, muammoni hal qilish usulini aniqlash yoki noma'lum faktlarni bashorat qilish usuli.
Ishonchli mulohaza yuritish usuli hodisani boshqarish jarayonini avtomatlashtirish uchun yaxlit vosita sifatida vaziyatni tahlil qilish tizimidan foydalangan holda axborot xavfsizligi insidentlariga javob berish muammosini hal qiladi. Ushbu yondashuv javob senariylarini qidirish samaradorligini oshiradi va umuman axborot xavfsizligini boshqarish jarayoniga yanada oqilona yondashadi.
Axborot xavfsizligi insidentlarini boshqarish jarayonini takomillashtirish uchun pretsedent tahlilni qo'llash quyidagilardan iborat: juda ko'p ma'lum bo'lgan hodisalar K va ularga javob berish strategiyalari to'plami R. Ishlar bazasi G - xaritalash G : K → R, ya'ni bu axborot tuzilmasi. hodisani va uni hal qilish algoritmini tavsiflovchi ma'lumotlardan iborat. Yangi Hodisa sodir bo'lganda, uning uchun hozirgi hodisaga yetarlicha yaqin bo'lgan hodisa tavsifini o'z ichiga olgan pretsedent qidiriladi. Topilgan holatga kiritilgan javob senariysi yangi hodisani hal qilish uchun ishlatiladi yoki moslashtiriladi. Pretsedentlarga asoslangan fikrlash siklining mantiqiy tuzilishi (CBR-tsikl) 3.1-rasmda ko'rsatilgan. Taklif etilayotgan kontseptsiya axborot xavfsizligi insidentlarini aniqlash va identifikatsiyalash muammosini hal qilish uchun yaroqliligini ko'rsatdi.
Oldindan ma'lum bo'lmagan va aniq javob strategiyasi mavjud bo'lmagan insidentlar anomal insidentlar deb ataladi. Bunday insidentlarning himoya vositalari bilan tayinlangan sinfda o'xshashi yo'q. Insidentning anomal tabiati haqidagi xulosa uni batafsil tahlil qilishga imkon beradi. Matematik dasturiy ta'minotning asosiy muammosi - bu ishlarni tasvirlash muammosi bo'lib, u holatlar tavsifiga kiritilishi kerak bo'lgan ma'lumotlarni aniqlash, ish mazmunini tavsiflash uchun mos tuzilmani topish, shuningdek, ushbu mavzu bo'yicha bilimlar bazasini aniqlashdan iborat. Ishlarni samarali qidirish va boshqa ko'p narsalar uchun tartiblash va indekslash kerak. Pretsedentlarni taqdim etishda turli xil yondashuvlar mavjud: ma'lumotlar bazalaridagi yozuvlar, daraxt tuzilmalari, predikatlar va ramkalargacha.

3.1-rasm. Pretsedentlarga asoslangan mulohazalar halqasi

Axborot xavfsizligi vositalari nuqtai nazaridan axborot xavfsizligi insidentsi ko'p o'lchovli vektor bo'lib, uning raqamli parametrlari axborot tizimi, tarmoq ulanishi yoki xizmat holatini tavsiflaydi. Vektor parametrlariga misol sifatida tarmoqqa ulanish vaqti, protokol turi, TCP ulanishi doirasida uzatilgan/yuborilgan baytlar soni va boshqalar kiradi. Shunga asoslanib, axborot xavfsizligi insidentlarini aniqlash va tahlil qilish bo'yicha pretsedentlarni ko'rsatish uchun eng samarali tuzilma ko'p o'lchovli vektor bilan parametrik tasvir bo'ladi:
CASE = (x₁, x₂, ..., x_p,R),
bu erda x1, …, xp - bu pretsedentda tasvirlangan axborot xavfsizligi insidentining parametrlari; R - tegishli hodisaga javob berish uchun bir yoki bir nechta senariy.
Parametrik ko'rinishda pretsedentlarni ajratib olish o'xshashlik funktsiyasi (metrikasi) F ta'rifiga asoslanadi, uning qiymati ma'lumotlar bazasidan axborot xavfsizligi insidentsi va pretsedent o'rtasidagi o'xshashlikni belgilaydi. Xususiyat maydonida maqsadli muammoga mos keladigan nuqta aniqlanadi va foydalanilgan ko'rsatkich doirasida eng yaqin pretsedent tanlanadi. Rasmiy ravishda g = (x_g1,x_g2,…,x_gp) pretsedent va hozirgi holat k = (x_k1,x_k2,...,x_kp) oʻrtasidagi oʻxshashlik shakl funksiyasi bilan tavsiflanadi.
SIM ₍g, k₎= F₍sim(x_g1, x_k1),..., sim(x_gp_,x_kp)),
Bu yerda sim (x_gi, x_ki) - pretsedent g ning i-xususiyati va joriy holat k ning i-xususiyati qiymatlarining mahalliy o'xshashligi. F funksiyasi pretsedentning hozirgi holatga o'xshashligini ifodalaydi. Shunday qilib, vaziyatni tahlil qilish topilgan analogiyalar soniga asoslanib, hodisalarni normal va g'ayritabiiy toifalarga ajratish vazifasiga qisqartiriladi. G = {g₁, ..., g_n} pretsedentlar to‘plami bo‘lsin; g_i = (x₁,...,x_p, r_i) yagona pretsedent; K = {k₁,..., k_m } – qayd etilgan hodisalar to‘plami; k_j = (x₁,..., x_p) - bitta insident; F(g_i, k_j) o'xshashlik funktsiyasi; G₁= {g_i : F(g_i, k_j ) ≤ ≤ d_lim} - o'xshash pretsedentlar to'plami (d _lim - masofaning chegara qiymati, pretsedent va insidentning o'xshashlik funktsiyasining maksimal qiymati, ular o'xshash deb hisoblanadi). Har bir xi parametri hodisani tavsiflovchi ba'zi xarakteristikani ifodalaydi (tarmoq ulanishining davomiyligi, uzatilgan baytlar soni, protokol identifikatori) va r_i - unga mos keladigan javob senariysi. Keyin hodisani pretsedentlar to'plami sifatida tasniflash sharti quyidagicha shakllantiriladi:
k _j G  G1  p_lim,
boshqa tomondan, anormallik sharti teskari tengsizlikdir
_kj G  G₁ p_lim
Bu erda p_lim - pretsedentlar sinfida topilgan o'xshashliklar sonining chegara qiymati, bunda hodisa ushbu sinfga nisbatan normal hisoblanadi.
Hodisa G sinfiga tegishli bo'lish sharti (ya'ni, hodisaning ma'lum sinf ichida normal ekanligi haqidagi xulosa) quyidagicha aniqlanadi: Elementlari hodisaga yetarlicha oʻxshash pretsedentlar boʻlgan G1 kichik toʻplami mavjud boʻlsa va bunday pretsedentlar soni hech boʻlmaganda berilgan son boʻlsa, hodisa G sinfiga kiradi.
Axborot xavfsizligi insidentlarini tasniflash bo'yicha tuzilgan vazifa vaziyatni tahlil qilish algoritmini ikkilik tasniflagich sifatida belgilaydi. Tahlil qilinayotgan to'plam tasniflash jarayoni natijasida ikki sinfga bo'linadi. Oddiy hodisalar - bu pretsedent asosda aniqlangan sinfga xos bo'lgan hodisalar. Bunday hodisalar uchun javob senariysi avtomatik ravishda qo'llanilishi mumkin.
Tahlil algoritmining samaradorligi bevosita d_lim va p_lim asosiy parametrlarini tanlashga bog'liq. Algoritm parametrlarini tanlash juda ziddiyatli. Bir tomondan, plimning ortishi oddiy hodisalarni tasniflashning aniqligini oshiradi, lekin sinflar orasidagi chegaralar kamroq aniq bo'ladi. dlim parametrini kamaytirish ham aniqroq tasnifga olib keladi, lekin ikkinchi turdagi xatolar ehtimolini oshiradi.
Pretsedentlarning statistik tahlili. Vaziyatni tahlil qilish bir sinf ichida pretsedentlar bir-biriga yetarlicha yaqin degan taxminga asoslanadi. Demak, g1, g2  G1 va g3  G2 ixtiyoriy sinflarning har qanday uchta pretsedenti uchun F(g₁, g₂)  F (g₁, g₃) va F(g₁, g₂)  F (g₂, g₃) tengsizliklari oʻrinli boʻlishi kerak. Biroq, ba'zi hollarda bu shart buziladi. Ushbu kamchilikni bartaraf etish uchun ishonchli xulosa nafaqat chegaraviy yaqinlik indeksiga, balki yaqin atrofdagi ob'ektlarning chegaraviy soniga ham asoslanadi.
d_lim parametri anomaliyani aniqlashda asosiy parametr hisoblanadi. Dastlabki tadqiqotlar shuni ko'rsatadiki, ushbu parametrning kichik diapazonda o'zgarishi tasniflash modelining sifatiga sezilarli ta'sir qiladi. Bunga asoslanib, chegaraviy masofani hisoblash tartibini rasmiylashtirish uchun chegaraviy masofaning sinfning statistik xususiyatlariga bog'liqligini aniqlash kerak.
Biz quyidagi parametrlarning ta'rifini rasmiylashtiramiz: pretsedentning sinfgacha bo’lgan o'rtacha masofasi va sinfning masofasi (sinf masofasi).
Biz pretsedentning sinfgacha bo'lgan o'rtacha masofasini ko'rib chiqamiz

ya'ni, ma'lum bir i-holatning mos keladigan sinfning qolgan holatlariga masofalari qiymatlarining o'rtacha qiymati. Demak, sinf masofasi quyidagicha aniqlanadi

ya'ni, mos keladigan sinfga nisbatan barcha holatlarning masofalarining o'rtacha qiymati.
Shunday qilib, analogiya funksiyasining cheklovchi qiymati sifatida sinf masofasini olamiz. Pretsedentlarning har bir klassi sinf xususiyatlarining o'ziga xos statistik baholariga ega, shuning uchun sinf masofasi va standart og'ish har bir sinf uchun hisoblanadi. Shu bilan birga, qo'pol yondashuvda biz buni taxmin qilamiz
F ₍t_j, g_i₎ d_class  t _j G.
Sinfning birlamchi statistik tahlili sinf masofasi va standart og'ishlarni hisoblashdan iborat. Shu bilan birga, F _t_j, g_i_ d_class  t _j  G sharti asosida sinfdagi anomaliyalar soni tahlil qilindi. Evklid metrikasiga ko'ra hisoblashda tahlil natijalari 2-rasmda ko'rsatilgan. Pretsedentlarning sinfgacha bo'lgan masofalarini baholashning grafik natijalariga ko'ra, sinf misollarining asosiy qismining masofalari standart og'ishning yuqori chegarasi oralig'iga mos kelishini ko'rish mumkin. Ushbu misolda anomaliya o'z sinfidan masofasi oshib ketadigan sinfning namunasidir. Olingan ko'rsatkichlar bir sinf ichida pretsedentlarning o'xshashligini, bundan tashqari, pretsedentlarning sinfga bo'lgan masofalari ma'lum diapazonda o'zgarib turishini aytishga imkon beradi. Ideal holat o'rtacha masofa va standart og'ish nolga moyil bo'lgan holatdir. Tasniflash natijalari sinf ichidagi anomaliyalar kamroq bo'lgan sharoitlarda aniqroq bo'ladi. Bunday holda, ma'lum bir sinf uchun p_lim sinfdagi anomaliyalar qiymatiga teskari bog'liq bo'lishi aniq.
Shunday qilib, turli ko'rsatkichlar uchun sinf statistikasi hisoblanadi. Muayyan sinf uchun anomaliyalar soni minimal bo'lgan metrikadan foydalaniladi.
Taklif etilgan yondashuvning samaradorligini o'rganish uchun KddDataset'99 ma'lumotlar manbasidan foydalanildi. Metrik tasniflagich sifatida k-eng yaqin qo'shnilar usuli ishlatilgan. Ushbu bosqichda har bir parametrning yakuniy natijaga ta'siri noma'lum bo'lganligi sababli, og'irlik koeffitsientlarisiz metrikani tanlash tavsiya etiladi.
Algoritmning sinov senariysi quyidagi bosqichlarni o'z ichiga oladi (3.2-rasm):

Hodisa ro'yxatga olingandan so'ng, u normallashtiriladi:

Algoritm parametrlarini ishga tushirish: metrikani tanlash, dlim chegaraviy masofani aniqlash va alim analogiyalarining chegaraviy qiymati. Sinf bo'yicha masofa dlim ning boshlang'ich qiymati sifatida qabul qilinadi

bu yerda d_cp - bitta foydalanish holatining sinfdan o'rtacha masofasi

Ob'ektlar orasidagi masofalarni ko'rsatkichlar bo'yicha hisoblash

d _gk≤ d _lim rost bo'lgan ob'ektlar juftligini aniqlash (pretsedent g va k hodisasi o'xshash hisoblanadi).

Har bir k_j hodisasi uchun d _gk≤ d _lim qanoatlantirilgan holatlar soni a hisoblab chiqiladi.
a ≤ a_lim bo'lganda k_j hodisasi anomaliya deb hisoblanadi.

3.2-rasm. Boshqarish jarayonida insident tahlilini amalga oshirish algoritmi

Tasniflash natijasi asosida keyingi harakatlar amalga oshiriladi: hodisalarni batafsil tahlil qilish yoki eng o'xshash pretsedentga mos keladigan javob strategiyasini qo'llash.Algoritmning parametrlari tizimning ishlashi davomida o'zgarib turadi, buning natijasida pretsedentlar bazasini to'ldirish bilan birga tizim o'qitiladi.

Pretsedent tahlil tizimining arxitekturasi. Dasturiy ta'minotni amalga oshirish nuqtai nazaridan vaziyatni tahlil qilish tizimi modulli tuzilishga ega va quyidagi komponentlarni o'z ichiga oladi (3.3-rasm):
1) keyingi qayta ishlashni kutayotgan ro'yxatga olingan hodisalarning yozuvlarini o'z ichiga olgan Hodisa ma'lumotlar bazasi;
2) ro'yxatga olingan hodisalar ma'lumotlar bazasini pretsedentlar ma'lumotlar bazasi tuzilishiga mos ravishda o'zgartiradigan ma'lumotlarni normallashtirish moduli;
3) hodisalar va pretsedentlarning o'xshashlik o'lchovini hisoblash funktsiyasini amalga oshiradigan ekstraksiya moduli;
4) tasniflash natijasini belgilaydigan va hisoblangan o'xshashlik ko'rsatkichlari asosida hodisani bir yoki bir nechta pretsedentlarga belgilaydigan qaror moduli;

3.3-rasm. Pretsedent tahlil qilish tizimi arxitekturasi
5) tahlil jarayonini to'g'rilash va ishlab chiqilgan strategiyani ilgari noma'lum sharoitlarga moslashtirish uchun mo'ljallangan operator konsoli.
Shunday qilib, taklif etilayotgan ishlarni tahlil qilish konsepsiyasini axborot xavfsizligi insidentlarini boshqarish jarayonini takomillashtirish vositasi sifatida qo‘llash to‘plangan tajribani takroran qo‘llash orqali hodisalarga javob berish samaradorligini oshiradi. Bundan tashqari, ushbu yondashuv eng muhim bo'lgan va batafsil o'rganishni talab qiladigan anomal hodisalarni aniqlash muammosini hal qilishga imkon beradi.
Anomaliyalarni qidirish uchun tavsiya etilgan hodisalarni tasniflash yondashuvi yuqori aniqlik va noto'g'ri pozitivlarning past darajasini birlashtiradi, bunga har bir hodisa klassi uchun algoritm parametrlarini individual tanlash orqali erishiladi.
Pretsedent tahlilini qo'llashning afzalliklari to'plangan tajribani qayta qo'llash va shunga o'xshash hodisalar uchun javob senariylarini qidirish vaqtini qisqartirishdir. Taklif etilgan kontseptsiya vaziyatni batafsil o'rganishni talab qiladigan g'ayritabiiy hodisalarni aniqlash muammosini hal qilishga va bilimlar pretsedentlar bazasida mavjud bo'lgan hodisalar uchun echim olish jarayonini avtomatlashtirishga imkon beradi.

Download 0,93 Mb.

Do'stlaringiz bilan baham:

1 ... 9 10 11 12 13 14 15 16 17