Murodov ma’murjon ma’rupovich axborot kommunikatsiya texnologiyalarida xavfsizlik insidentlarini tahlil qilish asosida kiberhujumlarni aniqlash algoritmi

Hodisalar va axborot xavfsizligi insidentlarining o'zaro bog'liqligi usullarini tahlil qilish

Download 0,93 Mb. bet 13/17 Sana 21.07.2022 Hajmi 0,93 Mb. #834227

2.3. Hodisalar va axborot xavfsizligi insidentlarining o'zaro bog'liqligi usullarini tahlil qilish Ayni paytda yirik muassasa va kompaniyalarda, shuningdek, o‘rta va kichik tashkilotlarda axborot xavfsizligini ta’minlashga tobora ko‘proq e’tibor qaratilmoqda. Himoyalangan ob'ektlar turli xil kirish darajalariga, hisoblash muhitlari uchun turli joylashtirish variantlariga va turli xil tarmoq o'zaro ta'sir topologiyalariga ega. Hujumlarni aniqlash va oldini olishning universal vositalaridan foydalangan holda xavfsizlikni ta'minlash vazifasi, jumladan, foydalanuvchilar sonining tez o'sishi va qurilmalar turlarining xilma-xilligi, bulutli texnologiyalardan foydalanish va hujumlarning ko'payishi hisobiga murakkablashmoqda. axborotni uzatish va qayta ishlash hajmi va tezligi. Har qanday darajadagi tizimlar va qurilmalar to'plamining xavfsizligini ta'minlashga imkon beruvchi vositalar sinflaridan biri bu xavfsizlik ma'lumotlari va hodisalarni boshqarish tizimlari (Security Information and Event Management, SIEM). Ushbu yechimlarning afzalligi dasturning moslashuvchanligi va yakuniy himoyalangan infratuzilma uchun spetsifikatsiyalar va platformalar to'plamidan mustaqillikdadir. Umuman olganda, SIEM tizimlarining tarkibiy qismlari o'rtasidagi o'zaro ta'sir sxemasi har doim qo'llaniladigan xavfsizlik mexanizmlarining asosiy elementi bo'lgan axborot va xavfsizlik hodisalarining o'zaro bog'liqligi modulini o'z ichiga oladi. Keng ma'noda korrelyatsiya komponentlarining ishi hujumlar, zararli harakatlar va xavfsizlik siyosatining buzilishini aniqlashga qaratilgan. Tor ma'noda korrelyatsiya komponenti xavfsizlik hodisalari va boshqa xavfsizlik ma'lumotlari o'rtasidagi bog'lanishlar, bog'liqliklar va sabab-oqibat munosabatlarini izlash uchun mo'ljallangan. Ushbu komponent tizimning o'ziga xos amalga oshirilishiga qarab hodisalar korrelyatsiyasi funktsiyalarini ham, ularni oldindan qayta ishlashni ham bajaradi. Hodisalar va xavfsizlik ma'lumotlarini boshqarish zaruriyatini hisobga olgan holda, korrelyatsiya komponentini turli nuqtai nazardan ko'rib chiqish mumkin. Korrelyatsiya yoki uni jarayon sifatida ko'rib chiqish nuqtai nazaridan yoki korrelyatsiya moduli ichida o'zgartiriladigan kirish va chiqish ma'lumotlari to'plami nuqtai nazaridan taqdim etiladi. Birinchi holda, korrelyatsiya - bu muayyan yechimni olish uchun maxsus belgilangan va butun tizimning ishlashiga nisbatan uzluksiz bo'lgan hodisalar bo'yicha operatsiyalar ketma-ketligi. Ikkinchi holda, korrelyatsiya hodisa turlari to'plami orqali aniqlanadi, bir nechta hodisalar yana bir murakkab hodisani tashkil qilishi va tizim tomonidan bo'linmas sifatida qabul qilinishi mumkin bo'lgan tarzda o'zgartiriladi. Shuni ta'kidlash kerakki, korrelyatsiya jarayoni ikkita asosiy turdagi operatsiyalar (funktsiyalar) yordamida ifodalanishi mumkin: (1) xavfsizlik hodisalarini yagona meta-hodisaga birlashtirish; (2) noto'g'ri yoki foydasiz xavfsizlik hodisalarini aniqlash va olib tashlash (yoki belgilash). Muhim korrelyatsiya operatsiyalari, shuningdek, xavfsizlik hodisalarini taqdim etish va ish paytida korrelyatsiya tizimini o'qitish (qayta tayyorlash) hisoblanadi. Shu bilan birga, bu turdagi operatsiyalar korrelyatsiya jarayonining turli bosqichlarida turli xil harakatlarni amalga oshiradi. Bu ish asosan korrelyatsiya usullarini batafsil o‘rganish hisobiga ularni tahlil qilishga, korrelyatsiya modulining asosiy komponentlarining ishlash tamoyillarini aniqlashga, tarkibiy qismlarni asosiy belgilariga ko‘ra tasniflash va keyinchalik bir-biri bilan taqqoslashga bag‘ishlangan. Ishning maqsadi korrelyatsiyaning asosiy bosqichlarini belgilash va zamonaviy SIEM yechimlarini amalga oshirish uchun jahon amaliyotida qo'llaniladigan turli korrelyatsiya usullarining afzalliklari va kamchiliklarini aniqlashdir. Xavfsizlik hodisalarini ketma-ket amalga oshirilgan bosqichlar shaklida korrelyatsiya qilish jarayonini taqdim etish mavzusi so'nggi 20 yil davomida faol ravishda o'rganilmoqda. Bu vaqt mobaynida turli xil ma'lumotlarni qayta ishlash usullari va past darajadagi hodisalarni yuqori darajadagi korrelyatsiya qilish jarayonida konvertatsiya qilish, shuningdek, korrelyatsiya jarayonini tasvirlaydigan mumkin bo'lgan sxemalar ko'rib chiqildi. Ushbu mavzuni rivojlantirish bilan birga, xavfsizlik hodisalari korrelyatsiyasi jarayonining bosqichlarini tasniflashga bag'ishlangan ishlar chop etildi. Amalga oshirilgan vazifalar uchun korrelyatsiya jarayonini taqsimlashni taklif qiladi. Jarayonning quyidagi tarkibiy qismlari ajratiladi: siqish, hisob, bosim, mantiqiy almashtirish va umumlashtirish. Siqilish bir nechta bir xil hodisalarning bir xavfsizlik hodisasiga aylantirilishini anglatadi. Hisob-faktura shunga o'xshash xavfsizlik Hodisalarini bir yangi Hodisa bilan almashtirishdir va bostirma xavfsizlik hodisasini yuqori ustuvorlikka ega bo'lgan xavfsizlik hodisalarini qayta ishlashni tugatgunga qadar past darajadagi ustuvor ishlarni kechiktirishni amalga oshirishdir. Mantiqiy almashtirish jarayoni ma'lum bir mantiqiy naqshni qondiradigan ba'zi bir tadbirlarni yangi hodisaga aylantirishdir. Umumlashma natijasida xavfsizlik hodisasi xabarning zarur ahamiyatini qondirish uchun yuqori darajadagi vakillik ga o'tkaziladi. Ishning shubhasiz afzalligi – bu qat'iy deterministik yondashuvlarga asoslangan bo'lsada, xavfsizlik hodisalari korrelyatsiyasining tavsiflangan modeliga statistik usullarni qo'shish imkoniyati. Taqdim etilgan ishning kamchiliklari ushbu vazifalar orasida xatolarning oldini olish elementi va buzilishlarning oldini olish elementi mavjud emas. Intrusionlarni aniqlash tizimlari uchun ogohlantirishlarning korrelyatsiyasi sohasidagi ishlarni ko'rib chiqishda. Xususan, korrelyatsiya jarayonining bosqichlari va operatsiyalari ko'rib chiqiladi, Intrusion Detection Message Exchange Format (IDMEF) ma'lumotlar modeli tavsiflanadi va umumiy hujumlarni aniqlash uchun korrelyatsiya jarayoniga misol keltiriladi. Ushbu maqoladagi korrelyatsiya jarayoni shartli ravishda uch bosqichga bo'linadi: (1) dastlabki ishlov berish; (2) signalni tahlil qilish; (3) signal korrelyatsiyasi. Ikkinchi bosqichda o'xshash xususiyatlarni o'lchash (o'xshashlik o'lchovlari), klasterlash, ma'lumotlarni yig'ish, o'chirish, qisqartirish va birlashtirish kabi korrelyatsiya jarayonining usullari va bosqichlari ajratiladi. Shuni ta'kidlash kerakki, uchta bosqichning har biri natijasida mos ravishda oddiy hodisalar, meta-hodisalar va hujum senariylari hosil bo'ladi va korrelyatsiya jarayoni oxirida hisobot hosil bo'ladi. Ayrim manbalarda korrelyatsiya jarayonining olti bosqichi ajratilgan: (1) normallashtirish, (2) agregatsiya, (3) korrelyatsiya, (4) noto'g'ri ogohlantirishni kamaytirish, (5) hujum strategiyasini tahlil qilish va (6) ustuvorlik. To'rtta asosiy korrelyatsiya usullari tavsiflanadi: (1) hujum senariylariga asoslangan; (2) qoidalarga yo'naltirilgan; (3) statistik va (4) vaqtinchalik. Izlanuvchilar xavfsizlik hodisalarini korrelyatsiya qilish jarayoniga quyidagi beshta yondashuvni aniqladilar: (1) o'xshashlik; (2) oldindan belgilangan hujum senariylari asosida; (3) old shartlar va oqibatlarga asoslangan ko'p darajali hisob-kitoblar (ko'p bosqichli); (4) bir nechta axborot manbalaridan foydalanish; (5) filtrlash. Birinchi yondashuv bu hodisalar bilan bog'liq atributlar asosida ikkita xavfsizlik hodisasining o'xshashlik qiymatini hisoblashdir. O'xshashligi yetarlicha katta bo'lgan hodisalar guruhlanadi. Ikkinchi yondashuv oldindan belgilangan hujum senariysi shablonlari asosida tegishli hujum bosqichlarini tartiblashdan iborat. Ushbu yondashuv xavfsizlik tahdidlarining umumiy va yuqori darajadagi ko'rinishini olish uchun ishlatiladi. Uchinchi yondashuv bosqichlardan biri ikkinchisi uchun zaruriy shart bo'lgan taqdirda, ularni amalga oshirishning alohida bosqichlarini bog'lash orqali hujum senariylarini shakllantirishga asoslanadi. To'rtinchi yondashuv xavfsizlik hodisalari ma'lumotlarining manbasiga qarab xavfsizlik hodisalari oqimlarini ustuvorlik va toifalarga ajratishga qaratilgan. Beshinchi yondashuv oldindan belgilangan qoidalar (filtrlar) bo'yicha hodisalarni korrelyatsiya jarayonidan olib tashlashga asoslangan. Hodisani korrelyatsiya jarayonidan olib tashlash to'g'risida qaror uning bir yoki bir nechta atributlarining qiymatlari asosida qabul qilinadi. Mutaxasislar tomonidan taqdim etilgan xavfsizlik hodisalari korrelyatsiyasi modeli ikki qismdan iborat: (1) hujum grafigiga asoslangan yondashuv va (2) o'xshashlikka asoslangan yondashuv. Bunday holda, birinchi yondashuv ma'lum hujumlar natijasida yuzaga kelgan xavfsizlik hodisalarini o'zaro bog'lash, shuningdek, ehtimol aniqlanmagan yoki o'tkazib yuborilgan xavfsizlik hodisalari haqida faraz qilish uchun ishlatiladi. O'z navbatida, ikkinchi yondashuv noma'lum hujumlar natijasida yuzaga kelgan xavfsizlik hodisalarini korrelyatsiya qilish, shuningdek, ma'lum bo'lgan hujum grafiklarini takomillashtirish uchun ishlatiladi. Krugel, Valeur va Vignada ular jarayonning bosqichiga qarab ogohlantirishlarni o'zaro bog'lash usullari va yondashuvlarini ochib beradi, ularning afzalliklari va kamchiliklarini, shuningdek, bahsli fikrlarni ko'rsatadi. Ishda Ogohlantirishni korrelyatsiya qilish jarayoni sensorli ogohlantirishlarni bosqinchilik hisobotlariga aylantiruvchi va korrelyatsiya jarayonining turli jihatlarini maqsad qilgan bosqichlar sifatida taqdim etiladi (2.4-rasm). Aynan shu sxema ko'plab boshqa ishlarda (shu jumladan ushbu maqolada) korrelyatsiya jarayonining bosqichlarini va ularning ketma-ketligini ifodalash uchun asos bo'lib olinadi. Tajovuzni aniqlash tizimida (IDS) ogohlantirish korrelyatsiyasi usullari ko'rib chiqiladi, ular SIEM tizimlarida ham qo'llaniladi, garchi ogohlantirishlar faqat alohida hodisa turidir. Boshqacha qilib aytganda, qayta ishlangan hodisalar turlarini kengaytirish orqali SIEM tizimlari korrelyatsiya doirasida bosqinlarni aniqlash tizimlarini kengaytiradi. Ushbu rejada shuningdek, ogohlantirishlarni o'zaro bog'lash jarayonining bosqichlarini ularning maqsadlariga qarab tarkibiy bo'linishi amalga oshiriladi. 2.4-rasm. Ogohlantirish korrelyatsiyasi jarayonini taqdim etish Masalan: yig'ish, yig'ish va tekshirish, yuqori darajadagi tuzilmalarni tahlil qilish, katta miqyosdagi korrelyatsiya, baholash. Hujumni aniqlash doirasida quyidagi turdagi tizimlar beriladi: (1) suiisteʼmollarga asoslangan (notoʻgʻri foydalanishga asoslangan; bilimlar bazasi asosga qoʻyiladi; maʼlumotlar bazasi yozuvi kiritilgan maʼlumotlar parametrlariga mos kelganda hujum aniqlanadi); (2) anomaliyalarga asoslangan (anomaliyaga asoslangan; joriy holat og'ish ehtimolini baholashdan foydalangan holda mos yozuvlar bilan taqqoslanadi). Korrelyatsiya jarayonida ogohlantirishlar mantiqiy bloklar sifatida ifodalanadi. Mutaxasislar quyidagi bloklarni ajratib ko'rsatishadi: ma'lumotlarni normallashtirish birligi, filtrga asoslangan korrelyatsiya birligi, ma'lumotlarni qisqartirish birligi, niyatni aniqlash va ta'sir tahlili. Download 0,93 Mb. Do'stlaringiz bilan baham: