MÖvzu informasiyanin təHLÜKƏSİZLİYİ problemləRİ


VERİLƏNLƏRİN ŞİFRƏLƏNMƏSİNİN



Yüklə 18,48 Mb.
səhifə8/39
tarix18.05.2020
ölçüsü18,48 Mb.
#31216
1   ...   4   5   6   7   8   9   10   11   ...   39
4. İnformasiyanın qorunması və kriptologiyası


VERİLƏNLƏRİN ŞİFRƏLƏNMƏSİNİN

BLOK ALQORİTMİ
Verilənlərin şifrələnməsi üçün istifadə edilən DES alqoritmi (Data Encryption Standard) 1977-ci ildə jurnalların birində çap olunmuşdur. İndiki zamana kimi geniş yayılmış kommersiya xarakterli informasiyanın müdafiə sistemlərində istifadə olunan simmetrik blok alqoritmi hesab edilir.

DES alqoritmi Feystel şəbəkə üsuluna uyğun yaradılmışdır və ardıcıllıqla, növbə ilə bir-birini əvəz etməklə, “əvəz etmə” və “başqasının yerinə qoyulma” prinsipinə əsaslanır. DES alqoritmi 64-bitlik açarın köməyilə 64-bitlik verilənlər blokunu şifrələyir (burada 56 bit əhəmiyyətli, qalan 8 bit isə yoxlama bitləridir).

Şifrələmə prosesi 64-bitlik blokda bitlərin yerinin dəyişdirilməsi ilə başlayır. Şifrələmə 16 dövrədən (raunddan) ibarətdir (şəkil 2.).

DES-də yerinə yetirilən şifrələmə əks şifrələmə əməliyyatından ibarətdir, yəni şifrələmə əməliyyatın yerinə yetirilmə ardıcıllığının əksinə olaraq təkrarlanması ilə yerinə yetirilir.

DES alqoritminin əsas üstünlükləri aşağıdakılardan ibarətdir:


  • Alqoritmdə ancaq bir 56 bitlik açardan istifadə olunur;

  • Alqoritmin nisbi sadəliyi onun verilənləri yüksək sürətlə təhlil etməsinə imkan verir;

  • Bir proqram paketindən istifadə etməklə məlumatı şifrələdikdən sonra DES alqoritminə uyğun olan digər proqram paketindən istifadə etməklə onu şifrədən azad etmək mümkündür;

  • Alqoritmin kriptodavamlığı əksər kommersiya xarakterli əlavələrin informasiya təhlükəsizliyini təmin etməyə kifayət qədər imkan verir.

Müasir mikroprosessor texnikası pisniyyətli insanlara 40 bitlik uzuluğa malik açarları “sındırmağa” imkan verir. Pisniyyətli insan tərəfindən həyata keçirilən “sındırma” əməliyyatı üçün tam izafi üsuldan – bütün istifadə olunan mümkün açarların hamısını əhatə etməklə, sınanmış üsuldan (“kobud güc” üsulundan) istifadə edilir. Yaxın keçmişə kimi DES alqoritmi şifrələmənin təhlükəsiz alqoritmi hesab olunurdu.

Son zamanlar kombinə edilmiş blok alqoritmlərindən istifadə edilir. Alqoritm daha dayanıqlı üsul hesab olunur. Belə üsullardan biri dəfələrlə şifrələmə üsuludur. Üsulda açıq mətnli eyni bir blokun müxtəlif açarlarla şifrələnməsindən istifadə edilir. Məsələn, üçqat şifrələmədə üç müxtəlif açardan istifadə olunur.

3-DES alqoritmi (Triple DES – üçqat DES) DES alqoritminin etibarlığı lazımı səviyyədə olmadıqda istifadə edilir.

Bu gün müasir kriptodayanıqlı alqoritmlərdə ABŞ-da istehsal olunmuş AES (Advanced Encryption Standard-Blok şifrələməsinin simmetrik alqoritmi) alqoritmindən və DÜST 28147-89 standart şifrələməsindən istifadə olunur.



DÜST 28147-89 standart şifrələməsi aparat və proqram realizasiyası üçün nəzərdə tutulmuşdur. Standart kriptoqrafik tələblərə cavab verir və müdafiə edilən informasiyanın gizliliyinə məhdudiyyət qoymur. Alqoritm 256-bit açarlı 64-bitlik blok alqoritmindən ibarətdir.

Şifrələnmək üçün nəzərdə tutulmuş verilənləri 64-mərtəbəli bloklara bölürlər. Bu bloklar hər biri 32 bit olan iki N1N2 subbloklara bölünür (şəkil 3.).



N1 subbloku müəyyən qaydalara uyğun olaraq təhlil edilir və onun təhlil olunmuş qiyməti N2 subblokunun qiyməti ilə cəmlənir (üst-üstə qoyulur) – cəmləmə 2 moduluna əsaslanaraq XOR məntiqi əməliyyatının köməyilə yerinə yetirilir, sonra subbloklar yerlərini dəyişirlər (XOR məntiqi əməliyyatdır, “VƏ YA” məntiqi əməliyyatının tərsidir). Yerinə yetirilən dəyişmə, alqoritmin işləmə rejimindən asılı olaraq müəyyən dəfə (raund) – 16 və ya 32 dəfə həyata keçirilir.

Hər bir raundda iki əməliyyat yerinə yetirilir.



Birinci əməliyyat – açarın üst-üstə qoyulması. N1 subblokuna aid olanlar Kx açarının 32-bitlik hissəsinə uyğun 232 moduluna görə cəmlənir (üst-üstə yığılır). Şifrələmənin tam açarı 32-bitlik altaçarlardan (K0, K1, K2, K3, K4, K5, K6, K7) ibarət olmaqla konkatensiya görkəmində təqdim olunur. Şifrələmə prosesində verilmiş altaçarların birindən istifadə edilir. İstifadə raundun nömrəsindən və iş rejimindən asılıdır.

İkinci əməliyyat – cədvəldən istifadə etməklə əvəzetmə. Açar üst-üstə qoyulduqdan sonra N1 subbloku 4 bitdən ibarət 8 hissəyə bölünür. Hər bir hissənin qiyməti subbloka uyğun olan dəyişmə cədvəli vasitəsilə əvəz olunur. Sonra isə subblokun 11 bit sola sürüşməsi yerinə yetirilir.

DÜST 28147-89 standartını dəstəkləyən alqoritm dörd rejimdə işləyir: sadə əvəzetmə, qammalama, əks əlaqəli qammalama və imitasiya olunan calağın generasiyası. Hər bir rejim şifrələmədə müəyyən məqsəd üçün istifadə olunur.

DÜST 28147-89 standartını dəstəkləyən alqoritm dayanlqlı alqoritm hesab olunur. Alqoritmin dayanıqlı olma uzunluğu 256 bit açardan istifadə ilə bağlıdır.

Şifrələmə üçün istifadə olunan AES standartı. AES standartı ABŞ-da geniş yayılmış standartdır. Standartın yaradılmasında dünyanın kriptologiya ilə məşğul olan ən böyük mərkəzləri iştirak etmişdir.

Qalib çıxmış AES standartına aşağıdakı tələblər qoyulmuşdu:



  • Alqoritm simmetrik olmalıdır;

  • Alqoritm blok şifrələməli olmalıdır;

  • Alqoritm üç açarı (128, 192 və 256 bit) dəstəkləməklə 128 bit uzunluğa malik blokdan ibarət olmalıdır;

  • Həm aparat baxımından (mikroçiplərdə), həm də ki, proqram baxımından (fərdi kompüterlərdə və serverlərdə) alqoritm rahat yerinə yetirilməlidir;

  • Alqoritm 32 mərtəbəli mikroprosessorlarda istifadə edilməlidir;

  • Şifrələmə sadə aparılmalı, istifadəçi ondan rahat istifadə etməlidir.

AES alqoritmi bir çox alqoritmlərdən (“Feystel şəbəkəsi” və DÜST 28147-89 alqoritmlərindən) tamamilə fərqlənir.

AES alqoritmi müəyyən sayda raundlardan ibarətdir (10-dan 14-ə kimi – raundların sayı blokun ölçüsündən və açarın uzunluğundan asılıdır) və dörd çevrilməni yerinə yetirir:



  • BS (ByteSub) – massivin hər bitinin cədvəllə əvəzlənməsi (şəkil 4.);

  • SR (ShiftRow) – massivin sətrinin sürüşdürülməsi (şəkil 5.). Bu əməliyyatda birinci sətr dəyişməz qalır, digərləri isə baytlarla dövrü olaraq massivin ölçüsündən asılı olaraq qeyd olunmuş baytlar sayı qədər sola doğru sürüşürlər. Məsələn, ölçüsü 4x4 massivində 2, 3 və 4 sətirləri uyğun olaraq 1, 2 və 3 bayt sola sürüşür;

  • MC (MixColumn) – massivin asılı olmayan sütunları üzərində əməliyyat (şəkil 6.). Burada hər bir sütun müəyyən olunmuş qayda ilə qeyd olunmuş c(x) matrisinə vurulur;

  • AK (AddRoundKey) – açarın əlavə edilməsi. Massivin hər bir biti raundun bit açarının 2 moduluna uyğun üst-üstə yığılır və müəyyən növbə ilə şifrələmə açarından hesablanır (şəkil 7.).

AES şifrələməsi riyazi qanunlara əsaslanır və bu qanunlara ciddi əməl olunur. AES-in strukturu və yerinə yetirilən əməliyyatlar ardıcıllığı ondan 8-bitli və 32-bitli mikroprosessorlarda səmərəli istifadəyə imkan verir. Alqoritmin strukturu bəzi əməliyyatları paralel yerinə yetirdiyi üçün çoxprosessorlu işçi stansiyalarda şifrələmə sürətini 4 dəfə artırmağa imkan yaranır.

AES alqoritmi verilənlərin şifrələnməsi üçün yeni standart hesab olunur və digər alqoritmlərə nəzərən müəyyən üstünlüklərə malikdir. AES alqoritmi bütün platformalarda (proqram və aparat realizəsində) şifrələməni yüksək sürətlə yerinə yetirir. Bununla yanaşı alqoritmin işləməsi üçün resurslara olan tələbat da minimuma endirilmişdir. Bu isə məhdud hesablama imkanlarına malik olan qurğularda alqoritmdən səmərəli istifadə etməyə imkan verir.

AES alqoritminin çatışmazlığı onun qeyri-ənənəvi sxemə malik olmasıdır. Nəzərə almaq lazımdır ki, “Feystel şəbəkəsi”nə əsaslanan alqoritmlər tutarlı səviyyədə araşdırılmışlar, onlardan fərqli olaraq AES alqoritmi isə müəyyən gizli məqamlara malik olduğu üçün yəqin ki, bir müddət keçəndən sonra onun haqqında lazımı fikirləri söyləmək mümkün olacaqdır.

Qeyd etmək lazımdır ki, verilənlərin şifrələnməsindən ötrü digər simmetrik alqoritmlərdən də istifadə olunur.


SİMMETRİK BLOK ALQORİTMİNİN

ƏSAS İŞ REJİMİ
Əksər simmetrik bloklu kriptoalqoritmlər bilavasitə 64-bitlik açıq giriş mətnini 64-bitlik şifrələnmiş çıxış mətninə çevirirlər. Əməliyyatda istifadə olunan verilənlər 64 mərtəbə ilə məhdudlaşır.

Alqoritmdən istifadə etməklə müxtəlif kriptoqrafik məsələləri həll etmək üçün dörd işçi rejim işlənib hazırlanmışdır:



  • ECB (Electronic Code Book) elektron kod kitabı;

  • CBC (Cipher Block Chaining) şifrənin bir-birinə qarışma bloku;

  • CFB (Cipher Feed Back) şifrəli mətnlə əks əlaqə;

  • OFB (Output Feed Back) çıxışı ilə əks əlaqə.

İşçi rejimlər əvvəlcə blok tipli DES alqoritmi üçün nəzərdə tutulmuşdu, sonralar isə onlardan digər alqoritmlərdə də istifadə edilməsinə imkan yaradıldı.
ASİMMETRİK KRİPTOALQORİTMLƏR
Asimmetrik kriptoqrafiyanın yarandığı 30 il ərzində alqoritm müxtəlif sahələrə uğurla tətbiq olunduğu üçün hal-hazırda ondan informasiya texnologiyalarının bütün sahələrində simmetrik alqoritmlərdən istifadə edilyi kimi istifadə edilir.
RSA ŞİFRƏLƏMƏ ALQORİTMİ
RSA kriptoalqoritmi üç tanınmış alım: R.Rivest, A.Şamir və Л.M.Адлеман tərəfindən təklif olunmuşdur. Alqoritm ilk açıq açarlı alqoritm sayıla bilər. Alqoritm verilənlərin şifrələnməsi rejimində, həmçinin elektron rəqəmsal imza rejimində işləyə bilir.

RSA alqoritminin etibarlığı böyük ədədlərin faktorlaşdırılması çətinliyinə və sonuncu sahə də diskret loqarifmlərin hesablanma çətinliyinə əsaslanır.

RSA alqoritmində KB açıq açarı, kB gizli açarı, M məlumatı və C kriptoqramması tam ədədlər çoxluğuna məxsusdur
ZN = {0, 1, 3, ..., N-1},
burada N –moduldur.
N = PQ.
PQ – təsadüfi böyük sadə ədədlərdir. Maksimal təhlükəsizliyi təmin etmək üçün PQ eyni uzunluqda seçilir və gizli saxlanılır.

Z çoxluğu N modulu vasitəsilə toplama və vurma əməliyyatlarının köməyilə N modullu hesab əmələ gətirir.

KB açıq açarını təsadüfi elə seçirlər ki, aşağıdakı şərt yerinə yetirilsin:
1 < KB ≤ φ(N), HOD (KB , φ(N)) = 1;
φ(N) = (P – 1) (Q – 1),
burada φ(N) – Eyler funksiyasıdır.

Eyler funksiyası φ(N) 1-dən N -ə qədər intervalında müsbət ədədlərin sayını göstərir, bu ədədlər N ilə əlaqədə sadədirlər. Deməli, açıq KB açarı və Eyler funksiyası qarşılıqlı sadə olmalıdır.

Sonra Evklidin genişləndirilmiş alqoritmindən istifadə etməklə kB gizli açarı hesablanır:
kB • KB = 1 (mod φ(N)) və ya
kB = (mod (P – 1) (Q – 1)).
Deməli belə alınır ki, istifadəçi B bir cüt (P,Q) sadə ədədi bilir və φ(N) –ni asanlıqla tapa bilər. Nəzərə almaq lazımdır ki, kB N qarşılıqlı sadə olmalıdırlar.

Açıq KB açarı verilənlərin şifrələnməsi üçün, kB gizli açarı isə verilənlərin şifrədən azad edilməsi üçün istifadə edilir.

Şifrələmə proseduru (KB,M) cütlüyündən istifadə etməklə C kriptoqramını aşağıdakı düsturun köməyilə müəyyən edir:
C = .
C kəmiyyətinin qiymətini tez hesablayan alqoritm kimi tam M-in (M modulundan istifadə etməklə) M -ə vurulan kvadrata ardıcıl yüksəltmə üsulundan istifadə edilir.

(kB,C) cütlüyündən istifadə etməklə C kriptoqramını şifrədən azad etmək üçün aşağıdakı düsturdan istifadə edilir:


M =
RSA kriptoqramı hərtərəfli təhlil edilmiş və açarın kifayət qədər uzunluğunda dayanıqlı alqoritm sayılır. İndiki zamanda açarın uzunluğu -1024 bit – məqbul variant hesab olunur. Bəzi ədəbiyyatlarda qeyd edilir ki, istehsal olunan prosessorların gücünün artması ilə RSA kriptoalqoritmi ona edilən hücumlara dayanıqlığını itirir. Digər tərəfədən prosessorun gücünün artması daha uzun açarların istifadə edilməsinə imkan verir, nəticədə RSA alqoritminin dayanıqlığı artır.

Asimmetrik RSA kriptosistemində istifadə edilən açarların sayı ilə abonentlərin sayı arasında xətti asılılıq vardır, yəni N sayda istifadəçi 2N sayda açardan istifadə edir (simmetrik sistemlərdə bu asılılıq kvadrat şəklindədir).

Qeyd etmək lazımdır ki, RSA alqoritminin işləmə sürəti DES alqoritminin işləmə sürətindən hiss olunacaq dərəcədə aşağıdır. Amma RSA kriptoalqoritminin proqram və aparat realizəsi isə DES kriptoalqoritminə nəzərən xeyli mürəkkəbdir. Bu baxımdan da RSA kriptosistemi adətən çoxda böyük olmayan ölçüdə məlumatın ötürülməsində istifadə olunur.
RƏQƏMSAL İMZA ALQORİTMİ
Qeyd etmək lazımdır ki, informasiya təhlükəsizliyi ilə bağlı olan bu sahədə Rusiyada istehsal olunan bir sıra standartlardan geniş istifadə olunur. Dərs vəsaitində onlardan bəziləri haqqında qısa məlumat verilir.

DÜST P 34.10 – 94 standartı. Standart 1995-ci ildən istifadə edilir, ilk Rusiya rəqəmsal imza standartı sayılır. Standartda aşağıdakı parametrlərdən istifadə olunur:

P – uzunluğu 509÷512 bit olan (və ya 1020÷1024 bit) böyük sadə ədəd;

q – uzunluğu 254÷256 bit olan, (p - 1) ədədinin sadə vuruğu;

a – (p -1)-dən kiçik istənilən ədəd (burada ap mod p = 1);

x - q - dən kiçik bəzi ədəd;

y = ax mod p.


Bununla yanaşı alqoritmdə biristiqamətli H(x) xeş-funksiyadan istifadə olunur.

Qeyd etmək lazımdır ki, Qərb ölkələrində q parametrinin uzunluğu 160 bit götürülür. q parametrinin uzunluğunun böyük götürülməsi daha təhlükəsiz imza əldə etməyə imkan verir (DÜST – Dövlət Ümumi Standartı).



DÜST P 34.10 – 2001. Stardart 2001-ci ildə qəbul edilmişdir. Əvvəlki standartdan prinsipial fərqi ondan ibarətdir ki, bütün hesablamanın generasiyası və elektron rəqəmsal imzanın alqoritmi elleptik əyridəki nöqtələr qrupunun köməyindən istifadə etməklə yerinə yetirilir.

Nəzərə almaq lazımdır ki, yerinə yetirilən hesablama prinsipi DÜST P 34.10 – 94 standartına uyğun şəkildə həyata keçirilir, yəni öncə təsadüfi kəmiyyət generasiya olunur, sonra isə onun köməyilə elektron rəqəmsal imza hesablanır, daha sonra isə gizli açarın və imzalanacaq verilənlərin xeş-kəmiyyətinin qiymətləri hesablanır.

Elleptik əyrilərə əsaslanan kriptosistemlərin gələcəkdə geniş istifadəsi nəzərdə tutulur. Buna səbəb onların elektron rəqəmsal imzaları bu sahədən tədricən “sıxışdırıb” çıxarmasıdır.

Elleptik əyrilər bazasında yaradılmış alqoritmlər hiss olunacaq dərəcədə hesablama vaxtını azaltmaqla yanaşı müdafiə səviyyəsini də artırmağa imkan verir.



DÜST P 34.11-94 XEŞLƏMƏ STANDARTI
Xeş-funksiyanın generasiya edilməsi üçün DÜST P 34.11-94 alqoritmi çox əlverişlidir. Alqoritm Rusiya Federasiyasının dövlət müəssisələrində və bəzi kommersiya təşkilatlarında xeşləmə alqoritmi kimi istifadə edilir.

Alqoritm aşağıdakı addımlar ardıcıllığı ilə yerinə yetirilir.



Birinci addım. Xeş-kəmiyyəti registri instalizasiya olunur.

İkinci addım. Xeşlənən verilənlər xeş-kəmiyyət blokunda interaktiv hesablanır (burada 256 bit verilənlər öndəki blokun xeş-kəmiyyəti registrində saxlanılır).

Ücüncü addım. Məlumatın təhlil edilməmiş hissəsi bit “sıfır”ları ilə 256 bitə qədər doldurulur.

Ə D Ə B İ Y Y A T

1.Əlizadə M.N. və başqaları “Kompüter sistemləri və şəbəkələrinin informasiya təhlükəsizliyi” Dərslik, MSV NƏŞR, 2017-cı il, 608 səh.

2.Əlizadə M.N. v. başqaları “İnformasiya təhlükəsizıliyi” Dərs vəsaiti, MSV NƏŞR, 2018-cı il, 392 səh.

3.Əlizadə M.N. və başqaları “Mühəndis sistemlərinin informasiya təhlükəsizıliyi ( Laborator praktikumu və seminar dərslərin aparılması üçün)” Dərs vəsaiti, MSV NƏŞR, 2018-cı il, 604 səh.

4.Əlizadə M.N. və başqaları “İnformasiyanın qorunması və kriptoqrafiya” (Magistr səviyyəsində təhsil alanlar üçün) Dərs vəsaiti, “İqtisad Universiteti” nəşrfiyyatı, 2019-cı il, 492 səh.

5.ƏlizadəM.N. və başqaları “İnformasiyanın qorunması (qısa kurs)” Dərs vəsaiti, MSV NƏŞR, 2019-cu il, 224 səh.

6.Əlizadə M.N., Hacızadə S.M. “İnformasiyanın qorunması və kriptologiya (Magistr səviyyəsində təhsil alanlar üçün)”, Dərs vəsaiti, MSV NƏŞR, 2020-ci il, 520 səh.

MÖVZU 6 VƏ 7




HÜCUMLARIN AŞKAR OLUNMA TEXNOLOGİYASI.
MÜDAFİƏNİN TƏHLİLİ VƏ HÜCUMLARIN AŞKAR OLUNMASI

Bir neçə illər bundan öncə informasiya sistemlərinin təhlükəsizliyini etibarlı müdafiə etmək mümkün idi. Bunun üçün ənənəvi müdafiə üsullarından: identifikasiya, autentifikasiya, əlyetənliyin məhdudlaşdırılması, şifrələmə və s. istifadə olunurdu. Açıq kompüter şəbəkələrinin əmələ gəlməsi və inkişafı bu sahədə vəziyyəti çox dəyişdi.

Şəbəkə əməliyyat sistemlərinə, tətbiqi proqramlara, korporativ informasiya sistemlərinə mümkün hücumların sayı günü-gündən artdı. Bu baxımdan müdafiənin təhlili və kompüterlərə edilən hücumların aşkarlanması sistemləri istənilən müasir müəssisələrdə istifadə olunan şəbəkələrin təhlükəsizlik sisteminin əsas elementinə çevrildi.

İndiki zamanda heç bir kəsi inandırmaq lazım deyil ki, informasiya sistemlərini mütləq virusların hücumundan qorumaq üçün antivirus proqramlarından istifadə edilməlidir. Qərb analitiklərinin hesablamalarına görə hər il virusların, şəbəkə soxulcanlarının, “troya at”larının və digər ziyanverici proqramların informasiya sistemlərinə hücumunun qarşısının alınmasına sərf olunan məbləğ milyardlarla dollar təşkil edir. Hər il dünyada 2-dən 10-a qədər yeni virus növləri yaradılır. Bu baxımdan kompüter sistemləri biznesin əsasını təşkil etdiyi üçün və bununla yanaşı çoxlu sayda şirkətlər verilənlər bazasında dəyərli informasiyaları saxladıqlarından antivirus müdafiəsi şirkətlərdə həll olunan informasiya və iqtisadiyyat ilə bağlı suallar ilə yanaşı dayanır.

Korporativ informasiya sistemlərinin effektiv müdafiəsi qəbul edilən həllin düzgünlüyündən asılıdır. Korporativ informasiya sistemlərinin problemlərinin həlli real vaxt rejimində işləyən və yüksək həssaslığa malik olan, informasiya infrastrukturunun dəyişməsinə adaptasiya edilmiş mexanizmin tətbiqi ilə birbaşa bağlıdır.

MÜDAFİƏNİN TƏHLİLİ VƏ

HÜCUMLARIN AŞKAR OLUNMASI
Şəbəkə təhlükəsizliyi ilə məşğul olan bir çox xarici ölkələrdə yerləşən aparıcı müəssisələr sistemin edilən hücumlara zəifliyini nəzərə almaqla tutarlı səviyyədə yanaşmalar hazırlamışlar. Bunlardan istifadə etməklə sistemlərdə baş vermiş köhnə problemlər ilə yeni yaranmış problemlər üz-üzə qoyularaq araşdırılır və müvafiq müdafiə tədbirləri həyata keçirilir. Bu sahədə ISS şirkəti (Internet Security Systems) tutarlı səviyyədə addımlar atmış və Təhlükəsizliyin adaptiv idarə edilmə modelini (ANS - Adaptive Network Security) yaratmışdır. Model informasiyanın təhlükəsizliyi vasitələri ilə məşğul olan bir çox şirkətlər tərəfindən inkişaf etdirilməklə yanaşı satış bazarında da özünəməxsus lazımı yer tutumuşdur. Rusiyada bu sahədə sayılan modellərdən birinə nümunə kimi Moskva şəhərində yerləşən EİB “İnformmüdafiə”ni göstərmək olar.
TƏHLÜKƏSİZLİYİN ADAPTİV İDARƏ EDİLMƏSİNİN KONSEPSİYASI
Korporativ informasiya sistemlərinin zəif nöqtələrinə pozucu tərəfindən edilən hədələrin həyata keçirilməsini sistemə olunan hücum kimi saymaq düzgündür. Korporativ informasiya sistemlərinin zəif nöqtələri (yerləri, qovşaqları və ya düyünləri) dedikdə korporativ informasiya sistemlərinin istənilən xarakteristikası və ya elementi başa düşülür. Zəif nöqtələrdən istifadə edən bədəməlli şəxs (pozucu) sistemə ziyan vurmaqla pis əməllərinin həyata keçməsinə nail olur.

Korporativ informasiya sistemləri özündə dörd səviyyəni birləşdirir:

1.İstifadəçilərin qarşılıqlı əlaqəsinə cavabdehlik daşıyan tətbiqi proqram təminatı səviyyəsi. Bu səviyyədə işləyən informasiya sisteminə nümunə kimi WinWord mətn redaktorunu, Excel elektron prosessorunu, Outlook poçt proqramını və s. göstərmək olar.

2.İnformasiya sistemlərində verilənlərin təhlili və verilənlərin saxlanılmasına cavabdehlik daşıyan verilənlər bazasını idarəetmə sistemi səviyyəsi. Bu səviyyədə işləyən informasiya sisteminə nümunə kimi MS SQL Server, Sybase, MS Access və VBİS Oracle verilənlər bazasını idarəetmə sistemini göstərmək olar.

3.Verilənlər bazasını idarəetmə sisteminə və tətbiqi proqram təminatına xidmətə cavabdehlik daşıyan əməliyyat sistemi səviyyəsi. Bu səviyyədə işləyən informasiya sisteminə nümunə kimi Microsoft Windows NT/2000/XP, Sun Solaris, Novell Netware və s. əməliyyat sistemlərini göstərmək olar.

4.İnformasiya sistemlərində qovşaqların qarşılıqlı əlaqəsinə cavabdehlik daşıyan şəbəkə səviyyəsi. Bu səviyyədə işləyən informasiya sisteminə nümunə kimi TCP/IP, IPS/SPX və SMB/NetBIOS şəbəkə sistemlərini göstərmək olar.

Pisniyyətli insan korporativ informasiya sistemlərinin təhlükəsizliyini pozmaq üçün geniş spektrə malikdir. Bu imkanlar pisniyyətli insan tərəfindən öndə verilmiş bütün səviyyələrdə həyata keçirilə biləndir. Məsələn, MS SQL Server verilənlər bazasını idarəetmə sistemi ilə əlaqəli maliyyə informasiyasına icazə verilməmiş əlyetənliyi əldə etməkdən ötrü bədəməlli insan onun üçün əlverişli olan aşağıdakı imkanlardan birini həyata keçirə bilər:


  • Şəbəkə vasitəsilə ötürülən verilənlərin tutulmasını (şəbəkə səviyyəsi);

  • Fayl sisteminə bilavasitə müraciət etməklə verilənlər bazasındakı faylların oxunmasını (əməliyyat sistemi səviyyəsi);

  • Verilənlər bazasını idarəetmə sistemi vasitələrindən istifadə etməklə lazımlı verilənlərin oxunmasını (VBİS səviyyəsi);

  • MS Query –dən istifadə etməklə SQL-sorğularının köməyilə verilənlər bazasındakı qeydlərin oxunmasını. Bundan istifadə edən pisniyyətli insan verilənlər bazası idarəetmə sistemindəki qeydlərə əlyetənlik əldə edir (tətbiqi proqram təminatı səviyyəsi).

Əksər ənənəvi kompüter vasitələrinin müdafiə sistemini quran zaman 1970-1980-cı illərdə hazırlanmış əlyetənliyin məhdudlaşdırılmasının klassik modelindən istifadə olunurdu. Belə mexanizmlərin çatışmazlıqları (əlyetənliyin məhdudlaşdırılması, autentifikasiya, süzgəcləmə və başqaları) onunla bağlıdır ki, onları yaradan zaman müasir hücumlarla bağlı çoxlu sayda aspektlər nəzərə alınmamışdır.

Korporativ informasiya sistemlərinə edilən hücumların həyata keçirilmə mərhələlərini nəzərdən keçirək (aşağıdakı şəkilə nəzər sal).



Birinci mərhələ pisniyyətli insanın bu və ya digər hücumu yerinə yetirməsi üçün zəmin yaratmasıdır. Pisniyyətli insan sistemdə zəif yerləri (nöqtələri) tapmağa çalışır.

İkinci mərhələdə (bu əsas mərhələ sayılır) sistemdə axtarış nəticəsində tapılmış zəif nöqtələrə hücum həyata keçirilir.

Üçüncü (sonuncu) mərhələdə pisniyyətli insan hücumu tamamlayır və sistemə soxulduğu yerlərdə əmələ gəlmiş izləri gizlətməyə çalışır. Prinsip etibarı ilə birinci və üçüncü mərhələ hücum sayıla bilər.

Qeyd etmək lazımdır ki, şəbəkələrarası ekranda, autentifikasiya serverlərində, əlyetənliyə məhdudiyyət sistemlərində mövcud müdafiə mexanizmləri ancaq hücumların realizə olunma mərhələsində işləyir.

Əslində bu mexanizmlər o hücumlardan müdafiəni həyata keçirirlər ki, onlar yerinə yetirilmə prosesindədirlər. Daha effektiv olardı ki, sistemə ediləcək hücumların qabağı əvvəlcədən alınaydı. Odur ki, informasiyanın təhlükəsizliyinin təmin edilməsinə kompleks yanaşma öndə göstərilən üç mərhələdən birgə istifadə ilə bağlı olmalıdır.

Əksər təşkilatlarda administratorların və istifadəçilərin mütamadi olaraq informasiya sistemlərində konfiqurasiyanı dəyişmə faktı çox vaxt nəzərə alınmır. Nəticədə informasiya sisteminin əməliyyat sistemi və əlavələr ilə bağlı yeni zəif nöqtələri yaranır. Bununla yanaşı informasiya və şəbəkə texnologiyaları həddindən artıq tez dəyişir, mütamadi olaraq yeni əməliyyat sistemləri yaranır. Şəbəkə texnologiyalarının sürətli inkişafına baxmayaraq təhlil göstərir ki, vaxt keçdikcə korporativ informasiya sistemlərinin müdafiəsinin təmin edilməsi lazımı səviyyəni tuta bilmir, informasiyaya nəzərə alınmamış hücumlar edilir, sistemin zəif nöqtələrinin sayı artır.

Bir çox hallarda müəssisələrdə yaranmış problemi həll etmək üçün xüsusi yanaşmalardan istifadə olunur. Belə yanaşmalar adətən əlyetən resursların axma səviyyəsinə uyğun həyata keçirilməlidir. Deməli, təhlükəsizlik administratorları yaranmış təhlükələrə reaksiya verməklə yanaşı onlara məlum olan təhlükələrə də reaksiya verməlidir. Araşdırmalar göstərir ki, təhlükəsizlik riskləri hiss ediləcək dərəcədə çoxdur. Korporativ informasiya sistemlərinin müdafiə edilməsinə ciddi nəzarətin olunması və bu məsələyə kompleks yanaşma müəssisədə təhlükəsizlik siyasətini təmin etməklə yanaşı təhlükəsizliklə bağlı riskləri də minimuma endirməyə imkan yaradır.

Təhlükəsizliyə adaptiv yanaşma təhlükəsizlik risklərinə nəzarət etməklə yanaşı real vaxt rejimində onlara reaksiya verməyə də imkan verir. Bu məqsədlə idarə edilən prosesləri və vasitələri düzgün layihələndirmək vacib məsələdir.

Adaptiv təhlükəsizlik üç əsas elementdən ibarətdir:


  • Müdafiənin təhlili texnologiyası (security assessment);

  • Hücumları aşkar edən texnologiya (intrusion detection);

  • Riskləri idarə edən texnologiya (risk management).

Riskin qiymətləndirilməsi sistemdə zəif nöqtərlərin üzə çıxarılmasından və reytinqindən (potensial təsirin vurduğu ciddi ziyanın dərəcəsinin müəyyənləşdirilməsi), şəbəkənin altsistemindən (kritiklik nöqteyi-nəzərdən), hədələrdən (hədələrin realizə olunması baxımından) və i.a. ibarətdir. Bilirik ki, şəbəkənin konfiqurasiyası (xarici görünüşü) daim yenilənir (dəyişir), odur ki, riskin qiymətləndirilməsi daim aparılmalıdır. Yəni, korporativ informasiya sistemlərində müdafiə sisteminin qurulması zamanı risk birinci növbədə öz qiymətini almalıdır.

Müdafiənin təhlili – bu şəbəkədə zəif nöqtələrin axtarılmasıdır. Şəbəkə birləşmələrdən, qovşaqlardan, hostlardan, işçi stansiyalardan, əlavələrdən və verilənlər bazasından ibarətdir. Butün sadalananlar onların müdafiə edilməsinin effektivliyinin qiymətləndirilməsinə, həmçinin şəbəkədə məlum olmayan zəif nöqtələrin axtarılmasına ehtiyac duyurlar. Müdafiənin təhlili texnologiyası şəbəkəni araşdırdıqdan sonra onda “zəif” nöqtələri tapır, onlar haqqında olan məlumatı ümumiləşdirir, nəticə çıxarır və nəhayət, onları hesabat formasında çap edir. Əgər sistem bu texnologiyanı realizə edirsə, onda sistemdə adaptiv təşkiledicilər mövcuddur, deməli onun köməyilə zəif nöqtələrin məruz qaldığı hücumlar əl ilə deyil, avtomatik aradan qaldırılacaqdır. Mühafizənin təhlili texnologiyası fəaliyyətdə olan üsuldur və müəssisəyə imkan verir ki, istər xaricdən, istərsə də daxildən baş verə biləcək hücumların qarşısı vaxtında alınsın, müəssisə təhlükəsizlik siyasətini düzgün həyata keçirə bilsin.

Mühafizənin təhlili texnologiyasını identifikasiya edən bir neçə problemi sadalayaq:



  • Sistemdə yaranmış “Lük” (Back door – kanalizasiya anbarının ağzı) və “Troya atı” növlü proqramlar;

  • Parolların zəifliyi;

  • Mühafizə olunmayan sistemə daxil olan hücumlara və “xidmətdən imtina” növlü hücumlara həssaslıq;

  • Əməliyyat sistemində lazım olan yenilənmənin olmaması (patch, hotfix);

  • Şəbəkələrarası ekranın, Veb-serverlərin və verilənlər bazasının düzgün sazlanmaması;

  • Və daha digərləri.

Hücumların aşkar edilməsi prosesi korporativ şəbəkədə baş verən şübhəli hadisələrin qiymətləndirilməsidir. Hücumların aşkar edilməsi əməliyyat sisteminin qeydolunma jurnalının yazılması və ya hücumun bilavasitə təhlil edilməsi ilə realizə edilir. Şəbəkənin qovşaqlarında və seqmentlərində yerləşmiş hücumun aşkar olunma təşkilediciləri müxtəlif hadisələri və baş verənləri qiymətləndirir (şəkilə nəzər sal).

Adaptiv təşkiledici modeli – təhlükəsizliyin adaptiv idarə etmə modeli (ANS  - Adaptive Network Security) müdafiənin modifikasiya prosesinə cavabdehlik daşıyır və onu sistemdə olan zəif nöqtələr barədə sonuncu informasiya ilə məlumatlandırır.

Adaptiv təşkiledici modeli həmçinin hücumun aşkarolunma təşkiledicilərini də modifikasiya edir (modifikasiya zamanı hücum haqqında son informasiya istifadə olunur). Buna nümunə kimi verilənlər bazasında antivirus proqramlarının yenilənməsini göstərmək olar.

Şəbəkənin adaptiv təhlükəsizlik modelindən istifadə edilməsi praktiki olaraq bütün hədələrə nəzarət etməyə və həmin hədələri aradan qaldırmağa imkan verir (şəkilə nəzər sal).

Bununla yanaşı modeldən istifadə etməklə şəbəkədən pisniyyətli insanların sui-istifadə etməsini azaltmaqla bərabər şirkətin rəhbərliyini və inzibatçılarını şəbəkədə baş vermiş təhlükələr haqqında da məlumatlandırmaq mümkündür. Qeyd etmək lazımdır ki, istifadə edilən bu model əvvəllər istifadə olunan modellərdən (əlyetənliyin məhdudlaşdırılması, autentifikasiya və i.a.) imtinaya imkan vermir, yeni texnologiyalardan istifadənin hesabına həmin modellərin funksional imkanlarını genişləndirir. Müasir tələblərə uyğun olaraq sistemin informasiya təhlükəsizliyini təmin etmək üçün təşkilatı əlavə olaraq təhlükəsizliklə bağlı təşkiledicilərlə (müdafiənin təhlilinə cavab verə bilən, hücumları müəyyənləşdirən, riskləri idarə edən) “doldurmaq” lazımdır.


MÜDAFİƏNİN TƏHLİLİ TEXNOLOGİYASI
Korporativ informasiya sistemlərindən istifadə edən təşkilatlarda təhlükəsizlik siyasətinin təşkil edilməsi ilə bağlı vəziyyət müntəzəm yoxlanılmalıdır. Bununda əsasında təşkilatda informasiyanın mühafizə mexanizmindən necə istifadə olunması və bu mexanizmin nə dərəcədə realizə edilməsi mütamadi olaraq nəzarətdə saxlanılmalıdır. Məsələnin bu şəkildə qoyuluşu dövrü olaraq informasiya sistemlərinin təşkiledicilərinin dəyişdirilməsində və yenilənməsində, əməliyyat sistemlərinin konfiqurasiyasının dəyişilməsində və i.a. özünü göstərir.

Araşdırmalar göstərir ki, şəbəkə administratorları korporativ şəbəkənin bütün qovşaqlarının bu şəkildə yoxlanmasının həyata keçirilməsinə kifayət qədər vaxt ayıra bilmir. Odur ki, təşkilatda informasiyanın müdafiəsi ilə məşğul olan şöbə mütəxəssisləri daim informasiya təhlükəsizliyini təmin edən mexanizmlərə ehtiyac duyurlar. Bu proses müdafiənin təhlili üçün yararlı olan vasitələri avtomatlaşdırmağa köməklik edir. Prosesi ədəbiyyatlarda təhlükəsizlik skanerləri (security scanners) adlandırırlar.

Müdafiənin təhlili vasitələrindən istifadə edilməsi korporativ şəbəkələrdə istifadə olunan zəif nöqtələrin müəyyən edilməsinə, həmçinin pisniyyətli insanın bundan istifadə etməsinə qədər həmin zəif nöqtələrin təhlükəsizlik baxımından aradan qaldırılmasına imkan verir. Ümumiyyətlə, ədəbiyyatlarda müdafiənin təhlil olunmasını müəssisə gözətçisinin fəaliyyəti ilə uyğunlaşdırırlar, çünki o da mütamadi olaraq işlədiyi müəssisə binalarının bütün mərtəbələrində yoxlamalar aparmaqla (açıq qapıların və pəncərələrin bağlanması, dəhlizlərdə boş-boşuna yanan lampaların söndürülməsi və s. problemlər) öz vəzifəsini həyata keçirir. Burada isə təşkilat binasının əvəzinə korporativ şəbəkə çıxış edir, açıq qalmış qapı və pəncərələri şəbəkənin zəif nöqtələri əvəz edir.

Mühafizənin təhlili vasitələri korporativ şəbəkəyə edilən hücumun birinci mərhələsində işləyir. Şəbəkədə zəif nöqtələrin tapılması və vaxtında aradan qaldırılması edilən hücumların realizə edilməsinin qarşını alır, bununda nəticəsındə bu vasitələrin istismar edilməsinə çəkilən xərc minimuma enir.

Müdafiənin təhlili vasitələri şəbəkə səviyyəsində, əməliyyat sistemi və əlavələr səviyyəsində işləyə bilir. Onlar zəif nöqtələrin tapılmasını, yoxlamaların mütamadi yerinə yetirilməsini və informasiya sistemlərinin daxilinə “girməklə” bütün səviyyələrdə araşdırmaları apara bilirlər.

Müdafiənin təhlili vasitələrinin ən çox yayılmış forması şəbəkə servislərinin və protokollarının müdafiə olunmasının təhlili vasitələridir. Bu əsasən istifadə edilən protokolların universallığı ilə bağlıdır. Belə protokollardan (məsələn, IP, TCP, HTTP, FTP, SMTP və i.a.) istifadə edilməsi şəbəkə sistemlərinin əhatə etdiyi sahələrdə işləyən informasiya sistemlərinin müdafiə edilməsinin yoxlanma effektifliyini yüksək səviyyədə yerinə yetirməyə imkan verir.

Yayılma dərəcəsinə görə ikinci yerdə əməliyyat sistemlərinin mühafizəsinin təhlili vasitələri dayanır. Bu da əsasən istifadə olunan əməliyyat sistemlərinin (məsələn, UNIX və Windows NT əməliyyat sistemləri) universallığı ilə yanaşı onlardan geniş dairənin istifadəsi ilə əlaqədardır.

Mühafizənin təhlili vasitələri indiki zamanda ancaq geniş yayılmış tətbiq sistemlərindən Veb-baruzer və verilənlər bazasını idarə etmə sistemləri (VBİS-lər) üçün mövcuddur.

Müdafiənin təhlili vasitələrinin tətbiqi qısa zaman ərzində korporativ şəbəkənin bütün nöqtələrini müəyyən etməyə, testləşdirməni aparmağa, şəbəkədə istifadə olunan bütün protokolları və servisləri üzə çıxarmağa, onların sazlanmasına, həm daxildən, həm də ki, xaricdən təsir edən icazə verilməmiş əlyetənliyin qarşısının alınmasına imkan verir. İstifadə olunan müdafiənin təhlili vasitələrinin skanerə olunması əmələ gəlmiş çatışmazlıqların mərhələ-mərhələ aradan qaldırılmasına və bundan ötrü lazım olan tövsiyyələrin hazırlanmasına yardımçıdır.

Aydın məsələdir ki, təhlükəsizlik siyasəti ilə bağlı istifadə olunan üsullar informasiya təhlükəsizliyi sahəsində çalışan mütəxəssisi əvəz edə bilməz. Bu baxımdan müdafiənin təhlili vasitələri sadəcə olaraq həll ediləcək məsələləri avtomatlaşdırmaqda mütəxəssisə köməkçidir.


ŞƏBƏKƏ PROTOKOLLARININ VƏ SERVİSLƏRİNİN MÜDAFİƏSİNİN TƏHLİLİ ÜÇÜN YARARLI OLAN VASİTƏLƏR
Abonentlərin qarşılıqlı əlaqəsi istənilən şəbəkədə iki və daha çox qovşaqlar arasında informasiya mübadiləsi prosedurunu müəyyən edən şəbəkə protokollarından və servislərindən istifadəyə əsaslanır. Şəbəkə protokollarının və servislərinin hazırlanması zamanı onlara təhlil olunan informasiyanın təhlükəsizliyinin təmin edilməsi baxımından müəyyən tələblər (adətən bu tələblər məsələnin həlli üçün kifayət etmir) qoyulur. Odur ki, bir çox hallarda şəbəkənin zəif nöqtərləri ilə əlaqəli olan şəbəkə protokollarında müəyyən çatışmazlıqlar barədə məlumatlar müşahidə edilir. Nəticədə şəbəkədə istifadə olunan şəbəkə protokollarının və servislərinin daim yoxlanılmasına ehtiyac duyulur.

Müdafiənin təhlili sistemi sistemdə zəif nöqtələrin tapılması üçün testlər seriyası həyata keçirir. Bu testlər korporativ şəbəkələrə hücum edən pisniyyətli insanın yerinə yetirdiyi əməllər ilə oxşarlıq təşkil edir.

Şəbəkədə zəif nöqtələrin aşkar edilməsi üçün skanerləmə əməliyyatının aparılması nəticəsində yoxlanılan sistem haqqında öncədən informasiya əldə etməyə imkan yaranır. Skanerləmə əməliyyatı geniş yayılmış məşhur hucumların (məsələn, normadan artıq alınmış parol üsulu - brute force – “kobud güc” – ilə həyata keçirilən hücumlar) sistemə daxil olmasını imitasiya etməklə tamamlanır. Şəbəkə səviyyəsində müdafiənin təhlili vasitələrinin köməyi ilə təkcə İnternetdən istifadə zamanı korporativ şəbəkə daxil olan icazə verilməmiş əlyetənlik testdən kiçirilmir. Bununla yanaşı təşkilatın təhlükəsizlik səviyyəsində qiymətləndirilməsi, proqram və aparat təminatından istifadə etməklə şəbəkənin effektiv sazlanmasına nəzarət də həyata keçirilir.

İndiki zamanda 10-dan çox məşhur vasitələr mövcuddur. Onların köməyilə şəbəkədə zəif nöqtələrin tapılmasının avtomatlaşdırılması yerinə yetirilir. Bunlara misal olaraq kommersiya xarakterli Internet Security System Inc. şirkətinin istehsalı olan İnternet Scanner –i, Cisco System şirkətinin istehsalı olan NetSonar –ı, Network Associates şirkətinin istehsalı olan CyberCop Scanner –i göstərmək olar.

Kommersiya xarakterli Internet Security System Inc. şirkətinin istehsalı olan İnternet Scanner –in tipik sxemi şəkildə verilən kimidr.

Müdafiənin təhlili vasitələrinin cari sinifi təkcə şəbəkə protokollarının və servislərinin zəif nöqtələrini deyil, şəbəkənin işinə cavabdehlik daşıyan tətbiqi proqram və sistem təminatını da təhlil edir. Belə təminata Veb, FTP və poçt serverini, şəbəkələrarası ekranı, brauzerləri və başqalarını aid etmək olar.


ƏMƏLİYYAT SİSTEMLƏRİNİN MÜDAFİƏSİNİN

TƏHLİLİ ÜÇÜN YARARLI OLAN VASİTƏLƏR
Əməliyyat sistemlərinin sazlanmasını yoxlamaq üçün təyin olunmuş bu sinif vasitələr onun müdafiə olunmasına təsir göstərirlər. Belə sazlanmalara aşağıdakıları aid etmək mümkündür:

  • İstifadəçinin uçot qeydləri (account), məsələn, parolun uzunluğu və fəaliyyət göstərmə müddəti;

  • Sistem fayllarına istifadəçinin əlyetənlik hüququ;

  • Sistem fayllarının zəif nöqtələri;

  • Patçın müəyyən edilməsi (patch) və i.a.

Əməliyyat sistemi səviyyəsində sistemin müdafiəsinin təhlili həmçinin əməliyyat sisteminin quruluşunun dəyişdirilməsi üçün də istifadə oluna bilər. Müdafiənin təhlili vasitələrindən fərqli olaraq şəbəkə səviyyəsində müdafiədə sistemin verilənləri sistemin xaricdən deyil, daxildən skanerə olunmasına imkan verir. Daha doğrusu onlar pisniyyətli insanın xarici hücumlarını imitasiya etmir.

Əməliyyat sistemi səviyyəsində sistemin müdafiəsinin təhlilinin bəzi (məsələn, System Scanner şirkətinin istehsalı olan Internet Security Systems) növləri tez-tez aşkar olunan, təhlükəsizlik siyasətini təmin etməyən, amma təşkilat tərəfindən qəbul edilmiş problemləri avtomatik olaraq kanarlaşdırmaqla yanaşı sistemin parametrlərini də korrektə edir.


HÜCUMLARI AŞKARLAYAN

TEXNOLOGİYA
Şəbəkə və informasiya texnologiyaları o qədər sürətlə dəyişirlər ki, statik müdafiə mexanizminə aid olan əlyetənliyə məhdudiyyət sistemi, şəbəkələrarası ekran, autentifikasiya sistemi bir çox hallarda effektiv mühafizəni təmin edə bilmir. Odur ki dinamik üsullardan istifadə edilməsi məsləhət bilinir. Üsulun köməyilə təhlükəsizliyin pozulmasını operativ şəkildə aşkar etməklə yanaşı pozuntuların qarşısını almaq da mümkündür. Belə texnologiyalardan biri hücumların aşkar edilmə texnologiyasıdır.

Mahiyyət etibarı ilə hücumları aşkar edən proses korporativ şəbəkədə baş verən şübhəli fəaliyyətin qiymətləndirilməsi prosesi sayıla bilər. Başqa sözlə, hücumun aşkar edilməsi (intrusion detection) – hesablama və ya şəbəkə resurslarına istiqamətlənmiş, şübhəli fəaliyyətə reaksiya verən və onu identifikasiya edən prosesdir.


ŞƏBƏKƏ İNFORMASİYASININ TƏHLİLİ ÜSULLARI
Hücumların effektiv aşkar edilmə sistemi alınmış informasiyanın təhlili üsullarından çox asılıdır. Birincisi, hücumu aşkar edən sistemlərdə 1980-cı illərdə işlənib hazırlanmış, hücumların statistik aşkar edilmə üsullarından istifadə olunurdu. İndiki zamanda statistik aşkar edilmə üsullarına bir neçə yeni üsul əlavə edilmişdir. Bu üsullara ekspert sistemini, qeyri-səlis məntiqi və neyron şəbəkələrini aid etmək olar.

Statistik üsul. Üsul statistik yanaşmaya əsaslanır. Üsulda riyazi statistik aparatdan və subyektin davranışına adaptasiyadan (uyğunlaşmadan) istifadə olunur.

Əvvəllər təhlil edilən bütün subyektlər üçün müəyyən profildən istifadə edilirdi və istifadə olunan profildən istənilən yapma, icazə verilməmiş fəaliyyət hesab olunurdu. Statistik üsullar universaldır, mümkün hücum barədə müəyyən məlumata malik olmaq üçün bilik tələb edilmir. Amma bunlara baxmayaraq onlardan istifadə edən zaman müəyyən problemlər yaranır:



  • “Statistik” sistemlər hadisələrin sıra ilə gedişinə həssas deyil; bir çox hallarda eyni bir hadisə onların gedişi sırasından asılı olaraq anamaliya və ya normal fəaliyyəti xarakterizə edə bilir;

  • Anomal (qeyri-adi) fəaliyyəti adekvat identifikasiya etmək üçün aşkar olunmuş hücumlar sisteminin sərhəd (kandar) qiymətlərini vermək çox çətindir;

  • “Statistik” sistemlər zaman ötdükcə pisniyyətli insan (pozucu) tərəfindən “oyrənilə” bilər, çünki pisniyyətli insanın sistemə hücumu normal haldır.

Qeyd etmək lazımdır ki, statistik üsullar bəzi hallarda (məsələn, istifadəçi özünü lazımı səviyyədə apara bilmir və ya istifadəçi icazə verilməmiş fəaliyyəti adi bir hadisə sayır) tətbiq olunmurlar.

Ekspert sistemləri. Belə sistemlər insanın-ekspertin biliyini əhatə etməklə yanaşı müəyyən qanunlar toplumundan ibarətdir. Hücumların aşkarlanması üçün ekspert üsullarından geniş istifadə olunur. Hər bir üsul hücum haqqında informasiyanı qanun şəklində formalaşdırır. Qanunlar hadisələrin ardıcıllığı kimi və ya siqnatura kimi qeyd edilə bilər. Qanunlardan istənilən birini yerinə yetirən zaman icazə verilməmiş fəaliyyətin həll olunması qəbul edilir. Belə yanaşmanın üstünlüyü praktiki olaraq yalançı həyacanın olmaması ilə bağlıdır.

Ekspert sisteminin verilənlər bazası indiki zamanda əksər hücumların ssenarilərindən ibarətdir. Bu baxımdan ekspert sistemini daim yeniləmək lazımdır. Ekspert sistemi qeydiyyat jurnalında qeyd edilənlərə baxış keçirməyə imkan verir. Odur ki, yenilənmə ya nəzərə alınmamalı, ya da ki, administrator tərəfindən əl ilə yerinə yetirilməlidir. Nəticədə ekspert sistemi imkanlar baxımından zəifləyir. Pis halda bütün şəbəkənin müdafiə qabiliyyəti aşağı düşür, istifadəçi yanılır və sistemin mühafizə qabiliyyətini tutarlı səviyyədə qiymətləndirə bilmir.

Ekspert sisteminin əsas çatışmazlığı məlum olmayan hücumların qabağının alına bilməməsidir. Odur ki, sistemə məlum hücumlarda cüzi dəyişikliklər edildikdə, sistem edilən hucumları aşkar etməkdə çətinliklərlə üzləşmiş olur.

Neyron şəbəkələr. Hücumları aşkar edən əksər müasir üsullar qanunlara və ya statistik yanaşmaya əsaslanmaqla nəzarət olunan məkanın bir para təhlil formasından istifadə edir. Nəzarət olunan məkan kimi qeydiyyat jurnalı və ya şəbəkə trafiki çıxış edə bilər. Təhlil öncədən seçilmiş müəyyən qanunlara söykənir. Qanunlar administrator və ya hücumu aşkar edən sistem tərəfindən yaradılır.

İstənilən hücumun zamana görə və ya pisniyyətli insanlar arasında bölünməsi ekspert sistemi tərəfindən çətinliklə aşkar edilir. Sistemə edilən müxtəlif xarakterli hücumların və müxtəlif xüsusiyyətə malik xakerlərin vurduğu ziyanların qarşısını hətta mütəxəssislər belə almaqda çətinlik çəkirlər. Bununla yanaşı edilən hücumların ekspert sistemi tərəfindən bütün diapazonda identifikasiya edilməsi heç vaxt istifadəçiyə lazımı təminatı vermir.

Neyron şəbəkələrdən istifadə edilməsi ekspert sisteminin göstərilən probleminin həll edilməsinə yardımçıdır. Ekspert sistemlərindən fərqli olaraq neyron şəbəkəsi informasiyanın təhlilini yerinə yetirməklə yanaşı edilmiş hücumları elmi yanaşma ilə araşdıraraq təhlil də edir.

Neyron şəbəkənin üstünlüyü ondan ibarətdir ki, edilən hücum aşkarlandıqda şəbəkə pisniyyətli insanı üzə çıxarmaqla yanaşı onun nəyə qadir olduğunu “öyrənir”, qərəzlə edilmiş hücumun elementlərini identifikasiya edir.

Yazılan hər bir üsul bir sıra üstünlüklərə və çatışmazlıqlara malikdir. Odur ki, indiki zamanda elə bir sistem tapmaq olmaz ki, göstərilən üsullardan ancaq birindən istifadə etsin. Beləliklə, belə nəticəyə gəlmək olur ki, edilən hücumlara qarşı mübarizə aparmaq üçün mütləq göstərilən üsulların toplumundan istifadə etmək lazımdır.


Yüklə 18,48 Mb.

Dostları ilə paylaş:
1   ...   4   5   6   7   8   9   10   11   ...   39




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin