13.3.4. Intrusionlarni aniqlash va oldini olish uchun ma'lumotlarni intellektual tahlil qilish Kompyuter tizimlarimiz va ma'lumotlarimiz xavfsizligi doimiy xavf ostida. Internetning keng miqyosda o'sishi va tarmoqlarga kirish va hujum qilish uchun vositalar va hiyla-nayranglarning ko'payishi hujumlarni aniqlash va oldini olishning tarmoq tizimlarining muhim tarkibiy qismiga aylanishiga turtki bo'ldi. Tarmoq resursining (masalan, foydalanuvchi hisoblari, fayl tizimlari, tizim yadrolari va boshqalar) yaxlitligi, konfidensialligi yoki mavjudligiga tahdid soladigan har qanday harakatlar to'plami sifatida kirishni aniqlash mumkin. Bosqinlarni aniqlash tizimlari va hujumni oldini olish tizimlari zararli harakatlar uchun tarmoq trafigini va/yoki tizimning bajarilishini nazorat qiladi. Biroq, birinchisi hisobotlarni ishlab chiqaradi, ikkinchisi esa tarmoqqa joylashtiriladi va aniqlangan hujumlarni faol ravishda oldini oladi/bloklaydi. Buzg'unchilikni oldini olish tizimining asosiy funktsiyalari zararli faoliyatni aniqlash, ushbu faoliyat haqida ma'lumotni jurnalga kiritish, faoliyatni bloklash/to'xtatishga urinish va faoliyat haqida xabar berishdir.
Buzg'unchilikni aniqlash va oldini olish tizimlarining aksariyati imzoga asoslangan aniqlash yoki anomaliyaga asoslangan aniqlashdan foydalanadi.
■ Imzoga asoslangan aniqlash: Bu aniqlash usuli domen mutaxassislari tomonidan oldindan tuzilgan va oldindan belgilab qo'yilgan hujum namunalari bo'lgan imzolardan foydalanadi. Imzoga asoslangan bosqinning oldini olish tizimi ushbu imzolarga mos keladigan tarmoq trafigini nazorat qiladi. Moslik topilgach, hujumni aniqlash tizimi anomaliya haqida xabar beradi va bosqinning oldini olish tizimi qo'shimcha tegishli harakatlarni amalga oshiradi. E'tibor bering, tizimlar odatda juda dinamik bo'lganligi sababli, dasturiy ta'minotning yangi versiyalari kelganda yoki tarmoq konfiguratsiyasidagi o'zgarishlar yoki boshqa vaziyatlar yuzaga kelganda imzolar mashaqqatli ravishda yangilanishi kerak. Yana bir kamchilik shundaki, bunday aniqlash mexanizmi faqat imzolarga mos keladigan holatlarni aniqlashi mumkin. Ya'ni, u yangi yoki ilgari noma'lum bo'lgan kirish fokuslarini aniqlay olmaydi.
■ Anomaliyaga asoslangan aniqlash: Bu usul oddiy tarmoq xatti-harakatlari modellarini (profillar deb ataladi) quradi, keyinchalik ular profillardan sezilarli darajada chetga chiqadigan yangi naqshlarni aniqlash uchun ishlatiladi. Bunday og'ishlar haqiqiy hujumlarni ko'rsatishi yoki profillarga qo'shilishi kerak bo'lgan yangi xatti-harakatlar bo'lishi mumkin. Anomaliyalarni aniqlashning asosiy afzalligi shundaki, u hali kuzatilmagan yangi hujumlarni aniqlashi mumkin. Odatda, inson tahlilchisi haqiqiy bosqinlarni ifodalovchi og'ishlarni aniqlashi kerak. Anomaliyalarni aniqlashning cheklovchi omili noto'g'ri musbatlarning yuqori foizidir. Imzoga asoslangan aniqlashni yaxshilash uchun imzolar to'plamiga yangi kirish shakllari qo'shilishi mumkin.
Ma'lumotlarni yig'ish usullari hujumni aniqlash va oldini olish tizimiga uning ishlashini turli usullar bilan yaxshilashga yordam beradi.
■ Buzg'unchilikni aniqlash uchun yangi ma'lumotlar intellektual tahlil qilish algoritmlari: Ma'lumotlarni qidirish algoritmlari imzoga asoslangan va anomaliyaga asoslangan aniqlash uchun ishlatilishi mumkin. Imzoga asoslangan aniqlashda o'quv ma'lumotlari "oddiy" yoki "buzilish" sifatida belgilanadi. Keyinchalik ma'lum bo'lgan hujumlarni aniqlash uchun klassifikator olinishi mumkin. Ushbu sohadagi tadqiqotlar tasniflash algoritmlarini qo'llash, assotsiatsiya qoidalarini intellektual tahlil qilish va xarajatlarni hisobga olgan holda modellashtirishni o'z ichiga oladi. Anomaliyaga asoslangan aniqlash oddiy xatti-harakatlar modellarini yaratadi va undan sezilarli og'ishlarni avtomatik ravishda aniqlaydi. Usullar klasterlash, chetni tahlil qilish va tasniflash algoritmlari va statistik yondashuvlarni qo'llashni o'z ichiga oladi. Amaldagi usullar samarali va kengaytiriladigan bo'lishi va yuqori hajmli, o'lchovli va heterojenlikdagi tarmoq ma'lumotlarini qayta ishlashga qodir bo'lishi kerak.
■ Assotsiatsiya, korrelyatsiya va diskriminativ naqsh tahlillari diskriminativ tasniflagichlarni tanlash va yaratishga yordam beradi: tarmoq ma'lumotlarini tavsiflovchi tizim atributlari o'rtasidagi munosabatlarni topish uchun assotsiatsiya, korrelyatsiya va diskriminativ naqshni intellektual tahlil qilish qo'llanilishi mumkin. Bunday ma'lumotlar hujumni aniqlash uchun foydali atributlarni tanlash haqida tushuncha berishi mumkin. Birlashtirilgan ma'lumotlardan olingan yangi atributlar ham foydali bo'lishi mumkin, masalan, ma'lum bir naqshga mos keladigan trafikning umumiy soni.
■ Oqim ma'lumotlarini tahlil qilish: Intrusionlar va zararli hujumlarning vaqtinchalik va dinamik xarakterli hujumlari tufayli ma'lumotlar oqimi muhitida tajovuzni aniqlashni amalga oshirish juda muhimdir. Hodisa o'z-o'zidan normal bo'lishi mumkin, lekin hodisalar ketma-ketligining bir qismi sifatida qaralsa, zararli hisoblanadi. Shunday qilib, qanday hodisalar ketma-ketligi bilan tez-tez uchrashishini o'rganish, ketma-ketlik naqshlarini topish va chet elliklarni aniqlash kerak. Rivojlanayotgan klasterlarni topish va ma'lumotlar oqimlarida dinamik tasniflash modellarini yaratish uchun boshqa ma'lumotlarni qidirish usullari ham real vaqt rejimida hujumni aniqlash uchun zarurdir.
■ Taqsimlangan ma'lumotlarni yig'ish: Intrusionlar bir nechta turli joylardan ishga tushirilishi va ko'plab turli yo'nalishlarga mo'ljallangan bo'lishi mumkin. Ushbu tarqatilgan hujumlarni aniqlash uchun bir nechta tarmoq joylaridan tarmoq ma'lumotlarini tahlil qilish uchun tarqatilgan ma'lumotlarni qidirish usullaridan foydalanish mumkin.
■ Vizualizatsiya va so'rov vositalari: Vizualizatsiya vositalari aniqlangan anomaliyalarni ko'rish uchun mavjud bo'lishi kerak. Bunday vositalar assotsiatsiyalarni, diskriminativ naqshlarni, klasterlarni va tashqi ko'rsatkichlarni ko'rish uchun xususiyatlarni o'z ichiga olishi mumkin. Buzilishlarni aniqlash tizimlari, shuningdek, xavfsizlik tahlilchilariga tarmoq ma'lumotlari yoki hujumni aniqlash natijalari bo'yicha so'rovlar berish imkonini beruvchi grafik foydalanuvchi interfeysiga ega bo'lishi kerak.
Xulosa qilib aytganda, kompyuter tizimlari doimiy ravishda xavfsizlikni buzish xavfi ostida. Ma'lumotni intellektual tahlil qilish texnologiyasi imzo yoki anomaliyaga asoslangan aniqlashni qo'llashi mumkin bo'lgan kuchli hujumlarni aniqlash va oldini olish tizimlarini ishlab chiqish uchun ishlatilishi mumkin.